NSO Group, производитель шпионского инструмента Pegasus
Pegasus, шпионское ПО, используемое правительствами для тайного взлома iPhone журналистов и политических оппонентов, в 2022 году в Мексике использовало три эксплойта с нулевым кликом, затрагивающие iOS 15 и iOS 16.
NSO Group — печально известный создатель Pegasus, инструмента наблюдения, который продается правительствам и правоохранительным органам по всему миру для слежки за человеческими устройствами. Шпионское ПО, широко используемое для взлома iPhone правозащитников и журналистов, представляет собой серьезную угрозу безопасности и конфиденциальности людей, представляющих интерес для клиентов NSO Group.
Хотя ранее было обнаружено, что Pegasus использует эксплойты с нулевым кликом для взлома системы безопасности iOS 14, Citizen Lab обнаружила случаи, когда еще три эксплойта с нулевым кликом. На этот раз эти трое использовались для проникновения в iPhone под управлением iOS 15 и iOS 16.
Группа обнаружила новые эксплойты в октябре 2022 года в рамках расследования, проведенного мексиканской организацией по защите цифровых прав человека Ren ed Defensa de los Derechos Digitales. Изучив iPhone, используемые правозащитниками в Мексике, три эксплойта были обнаружены как совершенно новые способы заражения устройств Pegasus.
Было обнаружено, что в некоторых случаях нападения совпадали с событиями 2022 года в «деле Айотзинапы», касающимися исчезновения студентов, протестовавших против практики найма учителей в 2015 году. Правозащитная организация Centro PRODH и мексиканские сотрудники юридической помощи стали жертвами новой волны инфекций. на протяжении 2022 года.
Три эксплойта iPhone с нулевым кликом
Было обнаружено, что первый эксплойт под названием «FINDMYPWN» работает с iOS 15.5 и iOS 15.6 и использует процесс fmfd, связанный с Find My. Было замечено, что при завершении и повторном запуске процесса эксплойт приводит к записи и удалению элемента в каталоге кеша, связанном с Find My.
Об эксплойте было опубликовано относительно мало информации, отчасти потому, что исследования продолжаются, но также и для продолжения исследований. Индикаторы заражения не публикуются, поскольку Citizen Lab считает, что NSO Group пытается избежать обнаружения, и предоставление таких подробностей поможет производителю шпионского ПО.
Второй эксплойт под названием «PWNYOURHOME» представляет собой двухэтапный эксплойт с нулевым кликом, где каждый этап нацелен на разные процессы. На первом этапе использовался сбой демона в HomeKit, за которым последовала загрузка изображений PNG из iMessage, что привело к сбою BlastDoor.
Неясно, как эксплойт выходит из песочницы BlastDoor, но известно, что эксплойт в конечном итоге запускает Pegasus через mediaserverd.
CitizenLab сообщила Apple о проблеме с HomeKit, что привело к исправлению в iOS 16.3.1.
Похоже, что режим блокировки в iOS предупреждает пользователей о попытках атаки на iPhone с помощью эксплойта, отображая уведомления о попытках доступа к дому. Однако, поскольку нет никаких признаков того, что NSO прекратила развертывание эксплойта, возможно, NSO выяснила, как избежать запуска уведомлений.
После обнаружения обоих эксплойтов третий был обнаружен после того, как команда перепроверила криминалистический анализ более ранних случаев. Эксплойт, датируемый январем 2022 года и затрагивающий iOS 15, получил название «LATENTIMAGE» из-за того, что на устройстве остается «очень мало следов».
Считается, что эксплойт использует Find My, хотя Citizen Lab не смогла определить, был ли это первоначальный вектор атаки.
Постоянная угроза
По данным Citizen Lab, Pegasus продолжает представлять угрозу из-за эволюции атак. Два из трех являются первыми эксплойтами с нулевым щелчком, которые наблюдала команда, которые используют две отдельные удаленные поверхности атаки на iPhone.
«Как мы отметили в этом отчете, эскалация усилий NSO Group по блокированию исследователей и сокрытию следов инфекции, хотя и все еще безуспешных, подчеркивает сложные проблемы такого рода расследований, включая балансировку публикации индикаторов при сохранении способности идентифицировать будущие инфекции. », — пишет Citizen Lab.
Пользователям с высоким уровнем риска Citizen Lab предлагает включить режим блокировки из-за «увеличения затрат на злоумышленников».
также настоятельно рекомендует регулярно обновлять устройства при выпуске новых обновлений программного обеспечения. Поскольку они включают исправления ошибок и обновления безопасности, лучше использовать последнюю версию защиты, чем нет.
![Satechi выпускает тонкую механическую клавиатуру и анонсирует складные зарядные устройства Qi2 для нескольких устройств [U]](https://applepro.news/wp-content/uploads/2024/04/1714073720_satechi-vypuskaet-tonkuyu-mehanicheskuyu-klaviaturu-i-anonsiruet-skladnye-zaryadnye-ustrojstva-100x100.jpg)
