Любовь к трем эксплойтам
Печально известный разработчик шпионского ПО, израильская фирма NSO Group, использовала как минимум три критически опасных эксплойта к мобильной операционной системе Apple iOS в 2022 г. К такому выводу пришли эксперты компании CitizenLab, расследовавшие деятельность NSO Group после кибератак, направленных на двух правозащитников в Мексике.
Эксплойты, а точнее, их комбинации, использовались в атаках по всему миру. Особую опасность они представляли в силу того, что их установка на мобильные устройства жертв производилась совершенно незаметно для последних.
Первый из трех эксплойтов, названный Citizen Lab Pwnyourhome, применялся против iPhone с версиями iOS 15 и 16 с октября 2022 г. По мнению экспертов, это двухэтапный эксплойт, где сначала производится атака на процесс HomeKit (homed), а затем на процесс сервиса iMessage (MessagesBlastDoorService).
Фото: ru.freepikHomeKit - это фреймворк, который позволяет превратить мобильное устройство в консоль управления смарт-устройствами в доме. Это требует определенных настроек в HomeKit. Однако, как выяснили эксперты, эксплойт срабатывает даже в тех случаях, когда никаких настроек пользователь не производил.
Второй эксплойт, Findmypwn, использовался NSO Group против устройств на базе iOS 15 с июня 2022 г. Это также двухступенчатый эксплойт, который атакует сперва процесс FindMy, позволяющий обнаруживать физическое местоположение устройств Apple, а затем - iMessage.
Третий эксплойт получил название Latentimage; его обнаружили на одном устройстве, и в CitizenLab полагают, что NSO разработали его только в 2022 г.
В течение короткого периода NSO Group атаковали также устройства под управлением iOS 16 с активированной функцией Lockdown Mode. Обладатели таких устройств получали предупреждения при каждой попытки использования эксплойта Pwnyourhomeпротив их устройств. Есть основания полагать, что эксплойт впоследствии был усовершенствован так, чтобы обходить эту блокировку.
Впрочем, экспертам Citizen Lab не удалось найти ни одного аппарата с активным режимом Lockdown Mode, против которого эксплойт успешно сработал.
В Citizen Lab рекомендуют активировать описанную функцию всем пользователям iPhone, имеющим основания полагать, что они станут объектом слежки.
Citizen Lab сообщили о результатах своего расследования Apple в октябре 2022 и январе 2023 гг. Apple проинформировала жертв атак в ноябре, декабре 2022 г. и марте 2023 г.
А воз и ныне там
NSO Group является разработчиком коммерческой платформы для кибершпионажа Pegasus. В то время как сам разработчик утверждает, что продает свою разработку только государственным организациям, борющимся с терроризмом, существуют множественные свидетельства того, что это неправда. Pegasus очень часто используется для слежки за журналистами, правозащитниками, диссидентами и другими людьми, которые могут находиться в оппозиции к властям того или иного государства, но не иметь никакого отношения ни к терроризму, ни криминалу.
«Раз за разом NSO Group демонстрирует неразборчивость в том, кому они предоставляют возможность использовать свои разработки и эксплойты, - говорит, директор по информационной безопасности компании SEQ. - Хуже того, они плодят вредоносные программы, которые потом становятся своего рода ориентиром для других злоумышленников, так что впору говорить об обширном побочном ущербе».
В 2021 г. эксперты Совета по правам человека ООН потребовали ввести глобальный мораторий на распространение шпионских программных комплексов, подобных Pegasus.