Apple’ın iMessage’ında daha önce bilinmeyen bir sıfır tıklama açığı, “çok yıllı gizli bir operasyonun” parçası olarak NSO Group ve Candiru’dan paralı casus yazılımları en az 65 kişiye yüklemek için kullanıldı.
Toronto Üniversitesi Vatandaş Laboratuvarı, “Kurbanlar arasında Avrupa Parlamentosu Üyeleri, Katalan Başkanları, yasa koyucular, hukukçular ve sivil toplum kuruluşlarının üyeleri yer aldı” dedim yeni bir raporda. “Bazı durumlarda aile üyeleri de enfekte oldu.”
65 kişiden 63’ü Pegasus tarafından hedef alındı ve diğer dördü Candiru ile enfekte oldu, en az ikisine ait iPhone’lar her ikisiyle de tehlikeye girdi. Olayların çoğunlukla 2017-2020 yılları arasında meydana geldiği söyleniyor.
Saldırılar, 28 Ekim 2019’da piyasaya sürülen iOS 13.2’den önceki sürümleri çalıştıran cihazlara sızmayı mümkün kılan HOMAGE adlı bir iOS açığının silahlandırılmasını içeriyordu. iOS’un en son sürümünün iOS 15.4.1 olduğunu belirtmekte fayda var.
İzinsiz girişler belirli bir hükümete veya kuruluşa atfedilmese de, Citizen Lab, ülke ile Katalonya özerk topluluğu arasında devam eden gerginliklere atıfta bulunarak İspanyol hükümetiyle bir bağlantı olduğunu ima etti. Katalan bağımsızlığı.
Bulgular bir önceki rapor The Guardian ve El País tarafından Temmuz 2020’de yayınlanan bu haber, Pegasus gözetim yazılımını sağlamak için WhatsApp’taki bir güvenlik açığını kullanan Katalan bağımsızlık yanlısı destekçileri hedef alan bir yerel siyasi casusluk vakasını ortaya çıkardı.
Artık yamalı WhatsApp güvenlik açığına güvenmenin yanı sıra (CVE-2019-3568), saldırılar Katalan hedeflerinin iPhone’larını üç yıllık bir süre boyunca Pegasus ile hacklemek için birden fazla sıfır tıklamalı iMessage açıklarından ve kötü niyetli SMS mesajlarından yararlandı.
“HOMAGE istismarı 2019’un son aylarında kullanılıyor gibi görünüyor ve bir com.apple.private.alloy’un ardından com.apple.mediastream.mstreamd sürecinde bir WebKit örneğini başlatan bir iMessage sıfır tıklama bileşeni içeriyordu. Pegasus e-posta adresi için .photostream araması,” dedi araştırmacılar.
İstismarın yalnızca iOS 13.1.3 ve daha düşük sürümlerini çalıştıran cihazlarda başlatıldığı gözlemlendiğinden, sorunun iOS 13.2 sürümünde Apple tarafından kapatıldığına inanılıyor. Ayrıca, iOS 13.5.1’de bulunan KISMET adlı başka bir istismar zinciri de kullanıma sunuldu.
Öte yandan, Candiru’nun casus yazılımıyla güvenliği ihlal edilen dört kişi, kurbanları COVID-19 hakkında görünüşte meşru bağlantılar ve Mobil Dünya Kongresi’ni taklit eden mesajlar açmaları için kandırmak için tasarlanmış e-posta tabanlı bir sosyal mühendislik saldırısının kurbanlarıydı (MWC), Barselona’da gerçekleşen yıllık bir ticaret fuarı.
Hem Pegasus hem de Candiru’nun casus yazılımı (Microsoft tarafından DevilsTongue olarak adlandırılır), mobil ve masaüstü cihazlarda depolanan hassas bilgilere gizlice kapsamlı erişim sağlamak üzere tasarlanmıştır.
“casus yazılım […] metinleri okuyabilir, aramaları dinleyebilir, şifreleri toplayabilir, konumları takip edebilir, hedef cihazın mikrofonuna ve kamerasına erişebilir ve uygulamalardan bilgi toplayabilir.” dedim. “Şifreli aramalar ve sohbetler de izlenebilir. Teknoloji, enfeksiyon sona erdikten sonra bile kurbanların bulut hesaplarına erişimi koruyabilir.”
Citizen Lab, NSO Group’un Pegasus ve Candiru’ya olan bağlantılarının altyapı çakışmalarından kaynaklandığını ve hackleme operasyonlarının saldırıların zamanlaması ve mağduriyet kalıpları nedeniyle İspanyol hükümetiyle bağları olan bir müşterinin çalışması olabileceğini söyledi.
Araştırmacılar, “Hackleme faaliyetlerinin sınırsız doğası nedeniyle vaka dikkate değer” dedi.
“İspanyol hükümeti bu davadan sorumluysa, ülkenin istihbarat ve güvenlik kurumları üzerinde uygun bir gözetim olup olmadığı ve yetkililerin herhangi bir bilgisayar korsanlığı faaliyetini üstlenirken uyması gereken sağlam bir yasal çerçeve olup olmadığı konusunda acil soruları gündeme getiriyor. “