A fabricante israelense de spyware NSO Group implantou pelo menos três novos exploits "zero-click" contra iPhones em 2022 para infiltrar as defesas erguidas pela Apple e implantar o Pegasus, de acordo com as últimas descobertas do Citizen Lab.
"Os clientes da NSO Group amplamente implantaram pelo menos três cadeias de exploração zero-click do iOS 15 e iOS 16 contra alvos da sociedade civil em todo o mundo", disse o laboratório interdisciplinar sediado na Universidade de Toronto.
A NSO Group é a fabricante do Pegasus, uma sofisticada arma cibernética capaz de extrair informações sensíveis armazenadas em um dispositivo, como mensagens, localizações, fotos e registros de chamadas, entre outros, em tempo real.
Geralmente, é entregue a iPhones-alvo usando exploits zero-click e/ou zero-day.
Embora tenha sido apresentado como uma ferramenta para agências de aplicação da lei combaterem crimes graves, como abuso sexual infantil e terrorismo, também foi implantado ilegalmente por governos autoritários para espionar defensores dos direitos humanos, defensores da democracia, jornalistas, dissidentes e outros.
O uso indevido do Pegasus levou o governo dos EUA a incluir a NSO Group em sua lista de bloqueio comercial no final de 2021, com a Apple apresentando sua própria ação judicial contra a empresa por direcionar seus usuários.
Em julho de 2022, foi revelado que o spyware foi usado contra ativistas tailandeses envolvidos nos protestos pró-democracia do país entre outubro de 2020 e novembro de 2021, usando dois exploits zero-click chamados KISMET e FORCEDENTRY.
Dois dos alvos da última campanha descoberta pelo Citizen Lab incluem defensores dos direitos humanos do Centro PRODH, que representa vítimas de assassinatos e desaparecimentos extrajudiciais do Exército mexicano.
As intrusões ocorreram em junho de 2022.
Isso envolveu o uso de três cadeias de exploração díspares chamadas LATENTIMAGE, FINDMYPWN e PWNYOURHOME, que armaram várias falhas no iOS 15 e iOS 16 como zero-days para penetrar nos dispositivos e, finalmente, lançar o Pegasus -
LATENTIMAGE (versão iOS 15.1.1, detectada em janeiro de 2022) - Uma exploração que se suspeita envolver o recurso Encontre meu iPhone e o SpringBoard;
FINDMYPWN (versões iOS 15.5 e 15.6, detectada em junho de 2022) - Uma exploração em duas fases que faz uso da funcionalidade Encontre meu e do iMessage;
PWNYOURHOME (versão iOS 16.0.3, detectada em outubro de 2022) - Uma exploração em duas fases que combina a funcionalidade HomeKit integrada aos iPhones e o iMessage para contornar as proteções BlastDoor.
Em um sinal encorajador, o Citizen Lab disse ter encontrado evidências de que o Modo de Bloqueio entrou em ação para bloquear uma tentativa de ataque PWNYOURHOME, avisando os usuários que bloqueou partes desconhecidas com contas do Gmail e do Yahoo! de tentar "acessar uma Casa".
O desenvolvimento marca a primeira instância publicamente documentada em que o Modo de Bloqueio, que é projetado para reduzir a superfície de ataque do iPhone, protegeu com sucesso alguém de uma invasão.
Dito isso, o Citizen Lab apontou que a NSO Group "pode ter descoberto uma maneira de corrigir o problema de notificação, como por meio da impressão digital do Modo de Bloqueio".
Desde então, a Apple enviou várias melhorias de segurança para o HomeKit no iOS 16.3.1 e enviou notificações para as vítimas direcionadas em novembro e dezembro de 2022 e março de 2023.
As descobertas são o exemplo mais recente das técnicas de ataque em evolução da NSO para invadir iPhones sem exigir que os alvos tomem qualquer ação para acionar a infecção.
Elas também coincidem com uma nova investigação do New York Times descobrindo o uso do Pegasus pelo México para direcionar defensores dos direitos humanos nos últimos meses, detalhando como o país se tornou o primeiro e mais prolífico usuário do spyware.
Em mais uma indicação da natureza pervasiva dessas campanhas, a Jamf Threat Labs descobriu evidências de um ativista dos direitos humanos com base no Oriente Médio, bem como um jornalista húngaro sendo alvo de spyware.
Seus nomes não foram divulgados.
O ataque direcionado ao iPhone do jornalista também é significativo pelo fato de o dispositivo ser um iPhone 6s, que não é mais compatível com a versão mais recente do iOS, indicando a inclinação dos atores de ameaças para explorar vulnerabilidades conhecidas e desconhecidas para atingir seus objetivos.
Embora a Apple faça a portabilidade de correções para falhas críticas para dispositivos mais antigos (a versão atual suportada pelo iPhone 6s é o iOS 15.7.5), é importante observar que nem todas as vulnerabilidades são abordadas para dispositivos legados.
"Como resultado, os atores de ameaças podem continuar a explorar vulnerabilidades não corrigidas que foram corrigidas em dispositivos mais novos suportados, potencialmente dando aos atacantes mais tempo e mais informações para obter acesso remoto a dispositivos direcionados", disse a Jamf.
Para se proteger contra ataques de spyware, é recomendável aplicar as últimas atualizações do sistema operacional, atualizar dispositivos obsoletos para modelos mais novos de iPhone ou iPad e considerar habilitar o Modo de Bloqueio.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), em um aviso divulgado em 19 de abril de 2023, alertou que "a proliferação de ferramentas cibernéticas comerciais representará uma ameaça crescente para as organizações e indivíduos em todo o mundo".
"A proliferação comercial de ferramentas e serviços cibernéticos reduz a barreira de entrada para atores estatais e não estatais obterem capacidade e inteligência que de outra forma não seriam capazes de desenvolver ou adquirir", disse a agência.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...