總部設(shè)在以色列的NSO集團(tuán)利用蘋(píng)果iMessage中一個(gè)未知的零點(diǎn)擊漏洞，將Pegasus或Candiru惡意軟件植入到了政治家、記者和社會(huì)活動(dòng)家的iPhone手機(jī)上。

Citizen實(shí)驗(yàn)室在周一的一份報(bào)告中公布了這一發(fā)現(xiàn)，稱有65人通過(guò)一個(gè)名為HOMAGE的iPhone漏洞感染了惡意軟件。報(bào)告稱，這個(gè)以色列公司NSO集團(tuán)和第二家公司Candiru是2017年至2020年期間發(fā)生的這些攻擊活動(dòng)的幕后推手。

Candiru，又名Sourgum，它是一家商業(yè)公司，據(jù)稱它會(huì)向世界各地的政府出售DevilsTongue惡意監(jiān)控軟件。蘋(píng)果iMessage HOMAGE漏洞就是一個(gè)所謂的零點(diǎn)擊漏洞，這意味著不需要和受害者進(jìn)行任何互動(dòng)，就可以在預(yù)定的目標(biāo)上偷偷地安裝惡意軟件。自2019年以來(lái)，蘋(píng)果的iOS軟件版本不再受到HOMAGE攻擊的影響。

加泰羅尼亞的政治家和活動(dòng)家成為了攻擊目標(biāo)

Citizen實(shí)驗(yàn)室報(bào)告的作者寫(xiě)道，此次黑客攻擊涵蓋了加泰羅尼亞國(guó)家的各個(gè)社會(huì)領(lǐng)域，從學(xué)者、活動(dòng)家到一些非政府組織(NGO)。加泰羅尼亞的政府和民選官員也是此次廣泛攻擊的目標(biāo)，其中就包括了約翰-斯科特-雷爾頓、埃利斯-坎波、比爾-馬爾扎克、巴赫-阿卜杜勒-拉扎克、西耶納-安斯蒂斯、戈茲德-伯庫(kù)、薩爾瓦托雷-索利馬諾和羅恩-迪伯特。

他們寫(xiě)道，從加泰羅尼亞政府的最高層到歐洲議會(huì)的成員、立法者，以及他們的工作人員和家庭成員都成為了目標(biāo)。

關(guān)于誰(shuí)發(fā)動(dòng)了這些攻擊?研究人員說(shuō)，最終也沒(méi)有發(fā)現(xiàn)該行動(dòng)是由哪個(gè)組織發(fā)動(dòng)的，但是有證據(jù)表明西班牙當(dāng)局可能正是此次行動(dòng)的幕后推手。它指出西班牙國(guó)家情報(bào)中心(CNI)可能是主謀，并引用了該組織曾經(jīng)的監(jiān)視和間諜丑聞的歷史。

惡意軟件的具體分析

針對(duì)加泰羅尼亞進(jìn)行攻擊的攻擊者至少使用了兩個(gè)漏洞對(duì)受害者進(jìn)行了攻擊：零點(diǎn)擊漏洞和惡意短信。鑒于零點(diǎn)擊漏洞不需要受害者進(jìn)行任意交互，因此防御起來(lái)很有難度。

Citizen實(shí)驗(yàn)室稱，攻擊者是利用了iOS的零點(diǎn)擊漏洞(HOMAGE)以及NSO集團(tuán)用來(lái)傳播其Pegasus惡意軟件的惡意短信漏洞來(lái)對(duì)用戶進(jìn)行攻擊的。

研究人員寫(xiě)道："HOMAGE漏洞似乎是在2019年的最后幾個(gè)月才被犯罪分子使用的，它使用到了一個(gè)iMessage零點(diǎn)擊組件。在com.apple.mediastream.mstreamd進(jìn)程中啟動(dòng)一個(gè)WebKit實(shí)例，在com.apple.private. alloy.photostream中可以查找到Pegasus電子郵件地址。"

據(jù)悉，HOMAGE在2019年和2020年也被使用過(guò)6次。Citizen實(shí)驗(yàn)室表示，運(yùn)行移動(dòng)操作系統(tǒng)版本大于13.1.3(2019年9月發(fā)布)的蘋(píng)果設(shè)備不會(huì)受到攻擊。

攻擊活動(dòng)中使用到的其他惡意軟件和漏洞

研究人員說(shuō)，KISMET零點(diǎn)擊漏洞最近也被用于網(wǎng)絡(luò)攻擊。2020年12月，Citizen實(shí)驗(yàn)室表示，36名記者的手機(jī)被四個(gè)獨(dú)立的APTs感染了KISMET，此次攻擊可能與沙特阿拉伯或阿聯(lián)酋有關(guān)。

NSO集團(tuán)在對(duì)加泰羅尼亞的攻擊中所利用的WhatsApp緩沖區(qū)溢出漏洞(CVE-2019-3568)，此前Citizen實(shí)驗(yàn)室就曾在2019年報(bào)告過(guò)，并在2019年5月發(fā)布了補(bǔ)丁。當(dāng)時(shí)，《金融時(shí)報(bào)》報(bào)道了一家據(jù)信是NSO集團(tuán)的私人公司發(fā)動(dòng)了零日攻擊。

研究人員說(shuō)，作為針對(duì)加泰羅尼亞攻擊的一部分，有四個(gè)人使用了Candiru間諜軟件公司的間諜軟件從而成為了受害者。這些攻擊會(huì)試圖利用兩個(gè)現(xiàn)已打過(guò)補(bǔ)丁的零日漏洞(CVE-2021-31979，CVE-2021-33771)來(lái)進(jìn)行權(quán)限提升。兩者都是由微軟發(fā)現(xiàn)并在2021年7月發(fā)布了補(bǔ)丁。

研究人員寫(xiě)道，我們這里總共發(fā)現(xiàn)了七封含有Candiru間諜軟件的電子郵件，這些郵件都含有stat[.]email的鏈接。Candiru的間諜軟件也顯示，Candiru是為廣泛攻擊設(shè)備而設(shè)計(jì)的工具，該工具可以竊取設(shè)備的文件以及瀏覽器的相關(guān)內(nèi)容，但也會(huì)竊取保存在加密的Signal Messenger Desktop應(yīng)用程序中的信息。

2021年8月，Citizen實(shí)驗(yàn)室報(bào)告說(shuō)，最近NSO集團(tuán)的Pegasus間諜軟件使用了一個(gè)此前從未見(jiàn)過(guò)的零點(diǎn)擊iMessaging漏洞來(lái)非法監(jiān)視Bahraini的政治活動(dòng)家。

Citizen實(shí)驗(yàn)室認(rèn)為這些攻擊活動(dòng)是 “大量且無(wú)節(jié)制濫用” 用戶隱私的例子，表明目前在向政府客戶和其他人出售間諜軟件方面嚴(yán)重缺乏監(jiān)管約束。

現(xiàn)在可以確定的是，NSO集團(tuán)、Candiru、其他同行業(yè)的公司以及它們的各種集團(tuán)，都還沒(méi)有完全建立起防止濫用間諜軟件的基本的保障措施。

本文翻譯自：https://threatpost.com/catalangate-spyware/179336/如若轉(zhuǎn)載，請(qǐng)注明原文地址。