Exploração Zero-Click do iPhone descarta spyware Pegasus em jornalista russo exilado

Views: 183
0 0
Read Time:5 Minute, 20 Second

Um relatório desta semana sobre o spyware Pegasus aparecendo em um iPhone pertencente à premiada jornalista russa Galina Timchenko destacou novamente as aparentemente inúmeras maneiras que o governo e as agências de aplicação da lei parecem ter para fornecer a odiosa ferramenta de vigilância nos dispositivos alvo.

Timchenko é um jornalista investigativo russo exilado e cofundador do Meduza, um site de notícias em russo e inglês com sede em Riga, Letônia. Em 22 de junho, a Apple enviou a Timchenko uma notificação de ameaça avisando-a de que seu dispositivo provavelmente seria alvo de um ataque patrocinado pelo Estado. A Apple lançou no início deste ano notificações de ameaças de spyware , que são projetadas especificamente para ajudar os usuários que a empresa determina que estão sendo alvos individuais por causa do que fazem.

Alvo para espionagem

O diretor técnico da Meduza entrou em contato com o Citizen Lab da Universidade de Toronto para obter ajuda para entender o que poderia ter sido o alerta. Pesquisadores do Citizen Lab, que ganharam reputação ao longo dos anos por sua capacidade de conduzir investigações sobre incidentes de espionagem digital, analisaram artefatos forenses do telefone de Timchenko e rapidamente determinaram que alguém havia instalado o Pegasus nele em fevereiro.

Citizen Lab e Access Now , uma organização sem fins lucrativos que defende os direitos humanos na era digital, colaboraram na investigação do incidente e divulgaram dois relatórios separados sobre o assunto esta semana.

“Acreditamos que a infecção pode ter durado de dias a semanas após a exploração inicial”, disse Citizen Lab. “A infecção foi conduzida por meio de uma exploração de zero clique, e os rastreamentos forenses nos levam a avaliar com moderada confiança que ela foi alcançada por meio da exploração PWNYOURHOME visando o HomeKit e o iMessage da Apple.” Nem o Citizen Lab nem o Access Now atribuíram o ataque a qualquer ator específico do Estado-nação.

PWNYOURHOME é uma das três explorações de zero clique do iOS 15 e iOS 16 que o Citizen Lab determinou anteriormente que os clientes do Grupo NSO usaram em 2022 para lançar o Pegasus em iPhones alvo. A exploração bifásica de zero clique visa primeiro a funcionalidade de casa inteligente HomeKit integrada aos iPhones e, em seguida, usa o processo iMessage para essencialmente violar as proteções do dispositivo e permitir a entrega do Pegasus nele.

As outras duas explorações que o Citizen Lab descobriu foram: FINDMYPWN, uma exploração em duas fases que tem como alvo o recurso Find My do iPhone e a funcionalidade iMessage; e LatentImage, outra exploração que envolve o recurso Find My do iPhone.

Enxurrada de explorações e vulnerabilidades do iOS

As explorações estão entre um número crescente que visa usuários do iPhone. No início deste mês, o Citizen Lab relatou ter encontrado um agente de ameaça encadeando duas vulnerabilidades de dia zero sem clique no iOS 16.6 – a versão mais recente – para entregar o Pegasus. Citizen Lab, que está rastreando a exploração como Blastpass , descreveu-a como permitindo a entrega do Pegasus sem qualquer interação do usuário e pediu a todos que atualizassem imediatamente seus dispositivos.

Nos últimos meses, outros descobriram outras vulnerabilidades no iOS que os invasores exploraram ativamente antes que a Apple tomasse conhecimento delas e as corrigisse.

No início deste ano, por exemplo, a Kaspersky descobriu uma campanha de espionagem plurianual sobre usuários de iOS , onde um provável ator de ameaça estatal explorou até três dias zero no sistema operacional móvel da Apple para invadir dispositivos alvo. A agência de inteligência da Rússia, o Serviço Federal de Segurança da Federação Russa (FSB), atribuiu os ataques – sem qualquer evidência – à Agência de Segurança Nacional dos EUA (NSA) e alegou que tinham impactado milhares de diplomatas e outros indivíduos do país.

Não há nenhum relatório até agora que sugira que algum dos clientes do Grupo NSO tenha explorado as falhas de dia zero que a Kaspersky relatou para entregar o Pegasus. Mas a enxurrada de explorações e vulnerabilidades que os pesquisadores em geral descobriram recentemente no ambiente iOS sugere que os adversários – especialmente aqueles com siglas de três letras – têm várias maneiras de colocar o spyware nos dispositivos visados.

Eles conseguiram ‘tudo o que queriam’

Meduza, que também publicou um relatório sobre o incidente na quarta-feira, descreveu o spyware no iPhone de Timchenko como provavelmente tendo permitido ao perpetrador acessar tudo em seu dispositivo. Isso incluía senhas corporativas, correspondência, nomes de funcionários da Meduza, detalhes de contas bancárias e, o que é mais preocupante, as identidades dos colaboradores do site de notícias que vivem na Rússia. “Eles conseguiram tudo”, disse o relatório, citando o editor-chefe da Meduza, Ivan Kolpakov. “Tudo o que eles queriam.”

Pegasus é uma controversa ferramenta de vigilância para dispositivos móveis do Grupo NSO, uma empresa israelense que desenvolve e vende ferramentas de vigilância e inteligência cibernética para governos, inteligência e autoridades policiais. O spyware permite que os clientes acessem e extraiam praticamente tudo o que desejarem de um iPhone, smartphone Android ou outro dispositivo móvel. Uma vez instalado em um dispositivo alvo, o Pegasus pode interceptar e transmitir mensagens, e-mails, arquivos de mídia, senhas e informações detalhadas de localização. Ele também emprega diversas técnicas sofisticadas para evitar a detecção por antivírus e outras ferramentas de detecção de ameaças.

O próprio Grupo NSO afirma que só vende a tecnologia a agências autorizadas para fins legítimos de combate ao crime e vigilância.

Mas os críticos criticaram fortemente a ferramenta e o grupo NSO por permitirem aos governos, especialmente em países com práticas deficientes em matéria de direitos humanos, espiar e tentar silenciar jornalistas, dissidentes, activistas de direitos humanos e opositores políticos. Em 2021, uma base de dados vazada de mais de 50.000 números de telefone que vários clientes do Grupo NSO selecionaram para vigilância listou cerca de 180 jornalistas de países como Índia, Hungria e México. A base de dados também continha números de telefone pertencentes a numerosos activistas de direitos humanos, advogados, líderes sindicais, médicos, políticos e diplomatas.

Meduza citou um pesquisador sênior do Citizen Lab dizendo que os clientes da NSO “normalmente gastam dezenas de milhões de dólares e potencialmente mais para ter acesso ao Pegasus”.

FONTE: DARKREADING

POSTS RELACIONADOS