Recém descoberto, um exploit zero-click do iPhone está sendo usada em ataques de spyware do NSO Group a políticos, jornalistas e ativistas catalães.
Pesquisadores de ameaças digitais do Citizen Lab descobriram uma nova exploração do iMessage sem cliques usada para instalar o spyware do NSO Group em iPhones pertencentes a políticos, jornalistas e ativistas catalães.
Exploit zero-click do iPhone está sendo usada em ataques de spyware
A falha de segurança zero-click anteriormente desconhecida do iOS, apelidada de HOMAGE, afeta algumas versões anteriores ao iOS 13.2 (a versão estável mais recente do iOS é 15.4).
Ele foi usado em uma campanha visando pelo menos 65 pessoas com o spyware Pegasus da NSO entre 2017 e 2020, juntamente com o exploit Kismet iMessage e uma falha no WhatsApp.
Entre as vítimas desses ataques, o Citizen Lab citou deputados catalães do Parlamento Europeu (MEPs), todos os presidentes catalães desde 2010, bem como legisladores catalães, juristas, jornalistas e membros de organizações da sociedade civil e suas famílias.
“Entre os alvos catalães, não vimos nenhuma instância do exploit HOMAGE usado contra um dispositivo executando uma versão do iOS superior a 13.1.3. É possível que o exploit tenha sido corrigido no iOS 13.2”, disse o Citizen Lab.
6/ WILD: while doing #Pegasus forensics, at the 11th hour on this project, @billmarczak actually discovered another NSO iOS Zero-Click 0day!
We call it #Homage
We think it stopped working by 13.2 so if you are updated, you're likely OK.
We notified @apple. pic.twitter.com/cedwp20pVb
— John Scott-Railton (@jsrailton) April 18, 2022
“Não temos conhecimento de nenhuma exploração de dia zero e clique zero implantada contra alvos catalães após o iOS 13.1.3 e antes do iOS 13.5.1.”
O laboratório de pesquisa acadêmica relatou e forneceu à Apple os artefatos forenses necessários para investigar a exploração e diz que não há evidências de que os clientes da Apple que usam as versões mais recentes do iOS estejam expostos a ataques HOMAGE.
“Neste momento, o Citizen Lab não está atribuindo conclusivamente essas operações de hackers a um governo específico, no entanto, uma série de evidências circunstanciais apontam para um forte vínculo com uma ou mais entidades do governo espanhol”, acrescentou o Citizen Lab.
Conforme relatado pela Reuters, o spyware NSO também foi usado em ataques direcionados a altos funcionários da Comissão Europeia no ano passado, incluindo o Comissário Europeu de Justiça.
De acordo com o diretor do Citizen Lab, Ron Deibert, várias infecções suspeitas com o spyware Pegasus nas redes oficiais do Reino Unido também foram relatadas pelo Citizen Lab ao governo do Reino Unido.
Uma suspeita de infecção em um dispositivo pertencente a um funcionário do Gabinete do Primeiro Ministro foi associada a operadores da Pegasus ligados aos Emirados Árabes Unidos, enquanto ataques relacionados ao Ministério das Relações Exteriores e da Commonwealth do Reino Unido ligados aos Emirados Árabes Unidos, Índia, Chipre e Jordânia.
O Ministério das Relações Exteriores da Finlândia disse em janeiro que dispositivos de diplomatas finlandeses foram infectados com o spyware Pegasus do NSO Group depois que funcionários do Departamento de Estado dos EUA também descobriram que seus iPhones foram hackeados para instalar o mesmo spyware.
O Parlamento Europeu está criando uma comissão de inquérito (que realizará sua primeira reunião em 19 de abril) para investigar violações da lei da UE decorrentes do uso do NSO Pegasus e spyware equivalente.
O Pegasus, uma ferramenta de spyware desenvolvida pela empresa de vigilância israelense NSO Group, é comercializado como software de vigilância licenciado para governos em todo o mundo para “investigar crime e terror”.
“O spyware penetra secretamente em telefones celulares (e outros dispositivos) e é capaz de ler textos, ouvir chamadas, coletar senhas, rastrear locais, acessar o microfone e a câmera do dispositivo alvo e coletar informações de aplicativos”, explicou o Citizen Labs.
“Chamadas e bate-papos criptografados também podem ser monitorados. A tecnologia pode até manter o acesso às contas na nuvem das vítimas após o término da infecção.”