Af Eskil Sørensen, 19/04/23
Den israelske leverandør af spyware NSO Group har brugt mindst tre hidtil ukendte iOS '0-kliks-udnyttelser' i 2022. Det skriver Security Week med henvisning til en rapport fra Citizen Lab.
NSO Groups er kendt for at udvikle Pegasus, som er et spywareprogram, der bruges mod fremtrædende personer, journalister og menneskerettighedsaktivister og er ofte blevet leveret til udvalgte iPhones ved hjælp af 0-klik og/eller 0-dagssårbarheder.
Arbejder med menneskerettigheder
Security Week fortæller i historien, at Citizen Lab er en gruppe under University of Toronto, der fokuserer på research inden for menneskerettigheder og sikkerhed. Gruppen stødte på de nye iOS-udnyttelser, mens de undersøgte malware-infektioner på iPhones hos menneskerettighedsforkæmpere i Mexico.
En af Citizen Labs opdagelser har fået navnet PwnYourHome. Det er en to-trins udnyttelse, der er rettet mod HomeKit og iMessage. Den er blevet brugt mod iOS 15 og 16 enheder fra oktober 2022.
En anden udnyttelse er rettet mod ’Find My’-funktionen og iMessage. Den har fået navnet FindMyPwn og blev brugt mod iOS 15-iPhones siden juni 2022. Begge FindMyPwn- og PwnYourHome-udnyttelser blev brugt som 0-dagssårbarheder.
Den tredje, LatentImage, blev kun set på én enhed og brugt af NSO i 2022.
Det fremgår, at Apple blev informeret om Citizen Labs resultater i oktober 2022 og januar 2023. En af de udnyttede sårbarheder i angrebene er CVE-2023-23529. Det er en 'type confusion' WebKit sårbarhed, der påvirker iOS, iPadOS og macOS. Apple rettede sårbarheden i nyere modeller i februar i år og senere i ældre modeller. Den 14. februar føjede CISA problemet til sit katalog over kendte udnyttede sårbarheder.
Afslører ikke IoC’erne
Det er uklart, hvilke andre sårbarheder, der er blevet anvendt til udnyttelserne, men Apple har efter det oplyste udsendt meddelelser til udvalgte brugere i november/december 2022 og i marts 2023.
Citizen Lab opdagede de nye udnyttelser efter at have fundet 'Indicators of Compromise', der menes at være forbundet med Pegasus-angreb. Citizen Lab har besluttet ikke at afsløre IoC’erne, da NSO Group muligvis udnytter oplysningerne til at sikre, at fremtidige angreb ikke opdages.
Citizen Lab og Microsoft har for nylig beskrevet en iOS-malware, der er udviklet af en israelsk-baseret spywareleverandør ved navn QuaDream. Virksomheden beskrives som en konkurrent til NSO, men er ifølge Security Week ’angiveligt ved at lukke ned, blandt andet på grund af de seneste afsløringer’.
Links:
https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/