Skip to main content

Группа из 37 журналистов стала жертвой уязвимости iMessage, которая существует уже год, позволяя злоумышленникам, предположительно работающим на правительства, шпионить за деятельностью журналистов.

В отчете Citizen Lab Университета Торонто утверждается, что раскрыта операция, которая проводилась в июле и августе 2020 года правительственными агентами. Кампания атаковала 37 iPhone, принадлежащих журналистам, продюсерам, ведущим и руководителям организаций, занимающихся сбором новостей, при этом главной целью была Аль-Джазира.

В атаках использовалось шпионское ПО Pegasus от NSO Group, в частности уязвимость, известная как «Kismet». Считается, что уязвимость была «невидимым эксплойтом с нулевым щелчком в iMessage» и была эксплойтом нулевого дня против iOS 13.5.1 и, возможно, других выпусков.

Журналы взломанных iPhone, собранные Citizen Lab, показывают, что ряд клиентов NSO Group также использовали тот же эксплойт в период с октября по декабрь 2019 года, что позволяет предположить, что он не обнаруживался или не исправлялся в течение значительного периода времени.

Группу атаковали четыре оператора Pegasus, в том числе один, известный как «Монархия», который был приписан Саудовской Аравии, в то время как «Подлая пустельга», как предполагалось, совершала атаки от имени ОАЭ.

Вполне вероятно, что операторы были связаны с наследными принцами двух стран, поскольку в иске ведущая телекомпании Al Jazeera обвинила эту пару во взломе ее iPhone и распространении подделанных фотографий жертвы.

После атаки iPhone жертвы начинает выгружать большие объемы данных, иногда достигающие сотен мегабайт, без ведома пользователя. Считается, что передаваемые данные включали окружающий звук, записанный микрофоном, содержимое зашифрованных телефонных звонков, фотографии, сделанные камерой, местоположение устройства и, возможно, любые сохраненные пароли или учетные данные.

В заявлении Apple, увиденном The Guardian, говорится, что эти атаки «строго нацелены на национальные государства» против отдельных лиц. «Мы всегда призываем клиентов загружать последнюю версию программного обеспечения, чтобы защитить себя и свои данные», — добавила Apple, хотя и сообщила, что не может самостоятельно проверить результаты анализа Citizen Lab.

Похоже, что вектор атаки не работает для iPhone, обновленных для работы под управлением iOS 14 или новее, что может означать, что устройства, использующие эту операционную систему, в настоящее время безопасны.