Ang kilalang-kilalang Pegasus spyware ay bumalik sa balita ngayong linggo habang ang isang pangkat ng mga mananaliksik sa seguridad ay nagha-highlight ng isang bagong”triple threat”ng mga pagsasamantala na ginagamit ng malware upang magsagawa ng mga naka-target na cyberattack sa buong 2022.
Ang Pegasus ay isang”pang-industriya”na spyware na tool na binuo ng kumpanya ng teknolohiyang Israeli na NSO Group, na kunwari ay para lamang gamitin sa mga pagsusumikap sa kontra-terorismo ng mga pamahalaan. Habang umiikot ang Pegasus mula pa noong 2014, naging headline ito dalawang taon na ang nakalipas nang ang isang forensic analysis na isinagawa ng Amnesty International at ang Citizen Lab ng University of Toronto ay nagsiwalat ng spyware ay responsable para sa”laganap, paulit-ulit at patuloy na labag sa batas na pagsubaybay at mga pang-aabuso sa karapatang pantao,”na ginamit upang i-target at tiktikan ang dose-dosenang”mga tagapagtanggol ng karapatang pantao (human rights defenders) at mga mamamahayag sa buong mundo.”
Sa isang pambihirang hakbang, kasunod na inilunsad ng Apple ang isang napakalaking kaso laban sa NSO Group, na naglalarawan sa kumpanya at sa mga nagtatrabaho para dito bilang”amoral na mga mersenaryo sa ika-21 siglo na lumikha ng napakahusay na makinarya sa cyber-surveillance na nag-aanyaya sa nakagawian at lantarang pang-aabuso.” Nag-set up din ito ng pondo para sa mga organisasyon tulad ng Citizen Lab at Amnesty Tech upang tumulong sa kanilang pananaliksik at adbokasiya sa cyber surveillance, na nagtanim dito ng paunang $10 milyon at nangangakong idagdag sa pot mula sa anumang pinsalang dulot ng demanda laban sa NSO Group.
Habang umaasa ang Apple na idemanda ang NSO Group, nakalulungkot, mabagal ang paggalaw ng mga korte, at pansamantala, patuloy na ginagamit ang Pegasus para sa mga kasuklam-suklam na layunin. Naging tahimik ang mga bagay-bagay kasunod ng isang ulat sa kalagitnaan ng 2021 na ang Pegasus spyware ay na-target ang mga opisyal ng U.S. State Department. Gayunpaman, isang bagong ulat ng ?Citizen Lab? ay nagpapakita na ang Pegasus ay aktibo pa rin ngunit lumilipad sa ilalim ng radar sa nakalipas na taon o higit pa.
Isang Zero-Click Triple Threat
Sa partikular, natuklasan ng mga mananaliksik sa Citizen Lab ang tatlong bagong”zero-click exploit chain”na ginamit ng Pegasus sa buong 2022 upang palakasin ang mga cyber attack laban sa karapatang pantao mga tagapagtanggol, mamamahayag, at iba pang”target ng lipunang sibil”sa buong mundo.
Malayo sa paggamit para sa nakasaad na layunin nitong kontra-terorismo at paglaban sa human trafficking at iba pang organisadong krimen, ang Pegasus ay lumilitaw na sa halip ay naging kasangkapan ng mapang-aping mga rehimen.. Ang pinakabagong mga target ng Pegasus na tinukoy ng Citizen Labs ay kinasasangkutan ng dalawang tagapagtanggol ng karapatang pantao mula sa Centro PRODH, isang organisasyon sa Mexico na kumakatawan sa mga biktima ng pang-aabuso ng militar tulad ng extrajudicial killings at sapilitang pagkawala.
Ang mga impeksyon sa Pegasus sa mga miyembro ng Centro PRODH ay bumalik sa hindi bababa sa 2015, habang bumabalik ang Citizen Lab nagpapaliwanag sa ulat nito:
“Isang malawakang isinapubliko na kaso ng pagkawala na may kaugnayan sa kasong ito ng impeksyon sa spyware ay naganap noong Setyembre 2015 nang isang grupo ng 43 mag-aaral sa isang guro sapilitang nawala ang training college matapos maglakbay sa Iguala upang iprotesta ang mga kasanayan sa pagkuha ng guro. Ang kanilang kasunod na pagkawala ay tinutukoy bilang”Iguala mass kidnapping,”o simpleng”Ayotzinapa case.”Noong 2017, iniulat namin na tatlong miyembro ng Mexican legal aid at organisasyon ng karapatang pantao, Centro PRODH, ang na-target ng Pegasus spyware, kasama ang mga investigator na sangkot sa kaso ng Ayotzinapa. Sa oras ng pag-target, na noong 2016, kinakatawan ng Centro PRODH ang mga pamilya ng mga nawawalang estudyante.”
Gayunpaman, habang nagpapatuloy ang larong pusa-at-mouse sa pagitan ng Apple at Pegasus, kinailangan ng NSO Group na maging mas malikhain sa paghahanap ng mga bagong pagsasamantala, kabilang ang tinatawag na”zero-click”na mga kahinaan kung saan maaaring i-install ng Pegasus ang sarili nito at magsimulang mag-espiya sa isang iPhone nang hindi nangangailangan ng anumang pakikipag-ugnayan mula sa user.
Nakita ng Citizen Lab ang tatlo sa mga ito mapanganib na pagsasamantala sa dalawang iPhone na nagpapatakbo ng iOS 15 at iOS 16, na ginagamit ng mga tauhan ng Centro PRODH. Ang isa ay kay Jorge Santiago Aguirre Espinosa, ang Direktor ng Centro PRODH, na nakilala rin bilang target ng Pegasus noong 2017. Ang isa pa ay kay María Luisa Aguilar Rodríguez, International Coordinator sa Centro PRODH. Ang Pegasus ay naiulat na aktibo sa device ni G. Aguirre noong Hunyo 22, 2022, ang parehong petsa kung kailan nagsagawa ang komisyon ng katotohanan ng Mexico ng seremonya na naglulunsad ng pagsisiyasat nito sa mga pang-aabuso sa karapatang pantao ng hukbo ng Mexico. Ang telepono ni Ms. Rodríguez ay na-infect kinabukasan at pagkatapos ay na-infect sa dalawang iba pang okasyon noong Setyembre 2022.
Ang tatlong pagsasamantala, na tinatawag na LATENTIMAGE, FINDMYPWN, at PWNYOURHOME, lahat ay sinasamantala ang mga kahinaan sa seguridad sa iOS 15 at iOS 16, partikular na may mga depekto sa code na pinagbabatayan ng mga feature ng Find My, Messages, at Home ng Apple. Karamihan sa mga pag-atake ay natagpuan sa mga device na nagpapatakbo ng iOS 15 dahil kasalukuyan iyon noong panahong iyon, bagama’t ang PWNYOURHOME ay na-deploy laban sa iOS 16.0.3.
Sa kabutihang palad, ang Citizen Lab ay hindi nakakita ng anumang mga kaso ng mga ito sa mga device na nagpapatakbo ng iOS 16.1 o mas bago. Iminumungkahi nito na na-patch na ng Apple ang mga kapintasan na ito at sa kaso ng PWNYOURHOME, ibinahagi ng mga mananaliksik ang”forensic artifact”na nakatulong sa Apple na itayo ang mga bagay gamit ang HomeKit sa iOS 16.3.1.
Sa kasamaang-palad, marahil ay sandali na lamang bago ang NSO Group ay makahanap ng mga bago na maaaring pagsamantalahan. Iyon ang dahilan kung bakit palaging magandang ideya na panatilihing na-update ang iyong iPhone sa pinakahuling bersyon ng iOS — lalo na kapag ang mga tala sa paglabas ng Apple ay nagpapahiwatig ng mga patch para sa mga kahinaan na”aktibong pinagsamantalahan.”
Paggamit ng Lockdown Mode ng iOS 16
Napansin din ng mga mananaliksik ng Citizen Lab na nag-trigger ang PWNYOURHOME ng mga babala sa mga device kung saan na-enable ang bagong high-security Lockdown Mode ng Apple. Sa una, ang pagsasamantala ay nag-trigger ng mga notification ng isang hindi kilalang user na sumusubok na mag-access sa isang Home, na nagpapakita na gumagana ang Lockdown Mode ayon sa disenyo.
Kahit na ang mga susunod na bersyon ng pagsasamantala ay tila nakahanap ng paraan upang harangan ang mga notification, ang mga mananaliksik ay walang nakitang katibayan na maaari talaga nitong i-bypass ang Lockdown Mode — patahimikin lamang ang mga notification na nag-alerto sa isang user sa hindi awtorisadong mga pagtatangka sa pag-access.
Sa kabila ng mapanlinlang na kalikasan ng Pegasus, ang magandang balita para sa karamihan sa atin ay nananatili itong isang naka-target na pag-atake. Dagdag pa, ang mga tool na binuo ng NSO Group ay ibinebenta lamang sa mga pamahalaan, kaya naman ito ay tinutukoy bilang”state-sponsored spyware.”Siyempre, hindi lahat ng ahensya ng gobyerno ay etikal pagdating sa surveillance. Gayunpaman, ligtas pa ring sabihin na malamang na hindi mo makatagpo ang Pegasus maliban kung kasangkot ka sa uri ng trabaho na maaaring makakuha ng atensyon ng isang tiwaling rehimen.
Para sa mga user na “high-risk,” doon nanggagaling ang Lockdown Mode ng Apple sa. Bagama’t nagsasangkot ito ng napakaraming kompromiso sa kakayahang magamit para sa karamihan ng mga ordinaryong tao, lubos itong hinihikayat ng Citizen Lab para sa sinumang nag-iisip na maaaring nasa panganib silang ma-target ng Pegasus o iba pang spyware na inisponsor ng estado.
