Een voorheen onbekende zero-click exploit in Apple’s iMessage werd gebruikt om huurspy-spyware van NSO Group en Candiru te installeren tegen ten minste 65 personen als onderdeel van een “meerjarige clandestiene operatie”.
“Slachtoffers waren onder meer leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties”, aldus het Citizen Lab van de Universiteit van Toronto. zei in een nieuw rapport. “In sommige gevallen waren ook familieleden besmet.”
Van de 65 personen waren 63 het doelwit van Pegasus en vier anderen waren besmet met Candiru, waarbij iPhones van ten minste twee waren gecompromitteerd met beide. De incidenten zouden zich vooral tussen 2017 en 2020 hebben voorgedaan.
De aanvallen omvatten de bewapening van een iOS-exploit genaamd HOMAGE die het mogelijk maakte om de apparaten te penetreren met versies vóór iOS 13.2, die op 28 oktober 2019 werd uitgebracht. Het is vermeldenswaard dat de nieuwste versie van iOS iOS 15.4.1 is.
Hoewel de inbreuken niet zijn toegeschreven aan een specifieke regering of entiteit, impliceerde het Citizen Lab een connectie met de Spaanse autoriteiten op basis van een “reeks van indirect bewijs”, daarbij verwijzend naar aanhoudende spanningen tussen het land en de autonome gemeenschap van Catalonië te midden van oproepen tot Catalaanse onafhankelijkheid.
De bevindingen bouwen voort op een eerder rapport van The Guardian en El País in juli 2020, waarin een geval aan het licht kwam van binnenlandse politieke spionage gericht op Catalaanse pro-onafhankelijkheidsaanhangers die een kwetsbaarheid in WhatsApp gebruikten om de Pegasus-surveillanceware te leveren.
Naast het vertrouwen op de nu gepatchte WhatsApp-kwetsbaarheid (CVE-2019-3568), de aanvallen maakte gebruik van meerdere zero-click iMessage-exploits en kwaadaardige sms-berichten om de iPhones van Catalaanse doelen met Pegasus te hacken gedurende een periode van drie jaar.
“De HOMAGE-exploit lijkt in de laatste maanden van 2019 in gebruik te zijn geweest en betrof een iMessage zero-click-component die een WebKit-instantie lanceerde in het com.apple.mediastream.mstreamd-proces, na een com.apple.private.alloy .photostream opzoeken voor een Pegasus-e-mailadres”, aldus de onderzoekers.
Het probleem wordt waarschijnlijk door Apple opgelost in versie iOS 13.2, aangezien werd waargenomen dat de exploit alleen werd gebruikt tegen apparaten met iOS-versie 13.1.3 en lager. Er wordt ook een andere exploitketen gebruikt, KISMET genaamd, die aanwezig was in iOS 13.5.1.
Aan de andere kant waren de vier personen die waren gecompromitteerd met de spyware van Candiru het slachtoffer van een op e-mail gebaseerde social engineering-aanval die was ontworpen om de slachtoffers te misleiden tot het openen van schijnbaar legitieme links over COVID-19 en berichten die zich voordeden als het Mobile World Congress (MWC), een jaarlijkse vakbeurs die plaatsvindt in Barcelona.
Zowel Pegasus als Candiru’s spyware (door Microsoft DevilsTongue genoemd) is ontwikkeld om heimelijk uitgebreide toegang te krijgen tot gevoelige informatie die is opgeslagen op mobiele en desktopapparaten.
“De spyware […] is in staat om teksten te lezen, naar oproepen te luisteren, wachtwoorden te verzamelen, locaties te volgen, toegang te krijgen tot de microfoon en camera van het doelapparaat en informatie uit apps te verzamelen, “de onderzoekers zei. “Versleutelde oproepen en chats kunnen ook worden gecontroleerd. De technologie kan zelfs toegang houden tot de cloudaccounts van slachtoffers nadat de infectie is beëindigd.”
De links naar Pegasus en Candiru van NSO Group komen voort uit infrastructuuroverlappingen, waarbij de hackoperaties waarschijnlijk het werk zijn van een klant met banden met de Spaanse overheid vanwege de timing van de aanvallen en de slachtofferpatronen, aldus het Citizen Lab.
“De zaak is opmerkelijk vanwege het ongeremde karakter van de hackactiviteiten”, concluderen de onderzoekers.
“Als de Spaanse regering verantwoordelijk is voor deze zaak, roept ze dringende vragen op of er voldoende toezicht is op de inlichtingen- en veiligheidsdiensten van het land, en of er een robuust wettelijk kader is dat de autoriteiten moeten volgen bij het uitvoeren van hackactiviteiten .”
