Một cách khai thác zero-click trước đây chưa được biết đến trong iMessage của Apple đã được sử dụng để cài đặt phần mềm gián điệp đánh thuê từ NSO Group và Candiru chống lại ít nhất 65 cá nhân như một phần của “hoạt động bí mật kéo dài nhiều năm.”
“Các nạn nhân bao gồm các thành viên của Nghị viện châu Âu, Tổng thống Catalan, các nhà lập pháp, luật gia và thành viên của các tổ chức xã hội dân sự”, Phòng thí nghiệm Citizen của Đại học Toronto cho biết trong một báo cáo mới. “Các thành viên trong gia đình cũng bị nhiễm trong một số trường hợp.”
Trong số 65 cá nhân, 63 người đã được nhắm mục tiêu với Pegasus và bốn người khác bị nhiễm Candiru, với ít nhất hai chiếc iPhone thuộc về cả hai bị xâm phạm. Các sự cố được cho là chủ yếu xảy ra từ năm 2017 đến năm 2020.
Các cuộc tấn công liên quan đến việc vũ khí hóa một phần mềm khai thác iOS có tên HOMAGE để có thể xâm nhập vào các thiết bị chạy phiên bản trước iOS 13.2, được phát hành vào ngày 28 tháng 10 năm 2019. Cần lưu ý rằng phiên bản mới nhất của iOS là iOS 15.4.1.
Mặc dù các cuộc xâm nhập không được quy cho một chính phủ hoặc thực thể cụ thể, Citizen Lab ngụ ý có mối liên hệ với chính phủ Tây Ban Nha, viện dẫn căng thẳng đang diễn ra giữa đất nước và cộng đồng tự trị Catalonia trong bối cảnh kêu gọi độc lập của Catalan.
Các phát hiện được xây dựng dựa trên một báo cáo trước đó của The Guardian và El País vào tháng 7 năm 2020 tiết lộ một trường hợp gián điệp chính trị trong nước nhằm vào những người ủng hộ độc lập Catalan sử dụng lỗ hổng trong WhatsApp để cung cấp phần mềm giám sát Pegasus.
Bên cạnh việc dựa vào lỗ hổng WhatsApp hiện đã được vá (CVE-2019-3568), các cuộc tấn công còn sử dụng nhiều phương thức khai thác iMessage không nhấp chuột và tin nhắn SMS độc hại để hack iPhone của các mục tiêu Catalan bằng Pegasus trong khoảng thời gian ba năm.
“Khai thác HOMAGE dường như đã được sử dụng trong những tháng cuối năm 2019 và liên quan đến thành phần không nhấp chuột iMessage đã khởi chạy phiên bản WebKit trong quy trình com.apple.mediastream.mstreamd, theo sau com.apple.private.alloy .photostream tra cứu địa chỉ email Pegasus, “các nhà nghiên cứu cho biết.
Vấn đề có thể đã được Apple đóng lại trong phiên bản iOS 13.2, vì việc khai thác được quan sát là chỉ xảy ra với các thiết bị chạy iOS phiên bản 13.1.3 trở xuống. Cũng được đưa vào sử dụng là một chuỗi khai thác khác có tên KISMET đã có mặt trong iOS 13.5.1.
Mặt khác, bốn cá nhân bị xâm nhập bằng phần mềm gián điệp của Candiru là nạn nhân của một cuộc tấn công kỹ thuật xã hội dựa trên email được thiết kế để lừa các nạn nhân mở các liên kết có vẻ hợp pháp về COVID-19 và các tin nhắn mạo danh Mobile World Congress (MWC), một triển lãm thương mại hàng năm diễn ra ở Barcelona.
Cả phần mềm gián điệp của Pegasus và Candiru (được Microsoft gọi là DevilsTongue) đều được thiết kế để bí mật có được quyền truy cập rộng rãi vào thông tin nhạy cảm được lưu trữ trong các thiết bị di động và máy tính để bàn.
“Phần mềm gián điệp […] Các nhà nghiên cứu cho biết có khả năng đọc văn bản, nghe cuộc gọi, thu thập mật khẩu, theo dõi vị trí, truy cập micrô và camera của thiết bị mục tiêu, đồng thời thu thập thông tin từ các ứng dụng. Công nghệ này thậm chí có thể duy trì quyền truy cập vào tài khoản đám mây của nạn nhân sau khi quá trình lây nhiễm kết thúc. “
Các liên kết đến Pegasus và Candiru của Tập đoàn NSO xuất phát từ sự chồng chéo về cơ sở hạ tầng, với các hoạt động hack có thể là công việc của một khách hàng có quan hệ với chính phủ Tây Ban Nha do thời gian của các cuộc tấn công và mô hình nạn nhân, Citizen Lab cho biết.
Các nhà nghiên cứu kết luận: “Vụ việc đáng chú ý vì tính chất không thể kiềm chế của các hoạt động hack”.
“Nếu chính phủ Tây Ban Nha phải chịu trách nhiệm về trường hợp này, nó đặt ra câu hỏi cấp thiết về việc liệu có sự giám sát thích hợp đối với các cơ quan an ninh và tình báo của đất nước hay không, cũng như liệu có một khuôn khổ pháp lý mạnh mẽ mà các nhà chức trách cần tuân theo để thực hiện bất kỳ hoạt động hack nào hay không. . “
.
