به گزارش کارگروه بینالملل سایبربان؛ جاسوسافزار پگاسوس (Pegasus) متعلق به گروه بدنام اسرائیلی «NSO»، علیرغم گزارشهایی که در حال پایان دادن به فعالیتهای خود است، همچنان به تهدید خود ادامه میدهد. اکسپلویتهای صفر کلیک جدیدی که از سوی ناظران در سیتیزن لب (Citizen Lab) کشف شد، 2 سطح مختلف حمله از راه دور را در آیفونهای «iOS 15» و «iOS 16» هدف قرار دادند.
به گفته محققان سیتیزن لب، «PWNYOURHOME» و «FINDMYPWN» اولین اکسپلویتهای بدون کلیک هستند که از راه دور و به طور همزمان 2 سطح حمله اَپل را هدف قرار میدهند. استفاده از اکسپلویتهای صفر کلیک علیه iOS چیز جدیدی نیست، زیرا تحقیقات گذشته تاکتیکهای مشابهی را علیه دستگاههای «iOS 14» با نرمافزار جاسوسی پگاسوس گروه NSO نشان داده است.
گروه NSO به دلیل توسعه و توزیع نرمافزارهای جاسوسی پگاسوس که به طور گسترده از سوی بخش خصوصی و دولتی در سراسر جهان برای اهداف نظارتی علیه روزنامهنگاران، فعالان حقوق بشر و مدنی، سیاستمداران و سایر افراد استفاده میشود، بدنام است.
در ماه ژانویه امسال، دادگاه عالی درخواست گروه NSO برای صدور اعتبار را رد کرد که منجر به ادامه شکایت علیه شرکت اسرائیلی شد. مِتا به عنوان مالک واتسآپ، NSO را به نصب پگاسوس روی دستگاههای کاربران از طریق دسترسی غیرقانونی به سرورهای واتسآپ برای نظارت بر 1400 فرد متهم کرد.
آخرین تحقیقات Citizen Lab نشان داد که 3 سوءاستفاده دیگر با کلیک صفر مرتبط با NSO Group برای هک کردن دستگاههای iOS 15 و iOS 16 استفاده میشود. این تاکتیکها در طول تحقیقات طولانی مدت آنها در مورد کمپین NSO علیه چندین گروه حقوق بشر مکزیکی کشف شد.
مدافعان شبکه باید توجه داشته باشند که این تاکتیکهای جدید نشان میدهند که گروه NSO در حال تشدید تلاشهای خود برای جلوگیری از تجزیه و تحلیل تاکتیکهای محققان با مسدود کردن همه آثار آلودگی است. حتی زمانی که شرکت اسرائیلی موفق نیست، این تلاشها را کم نمیکند.
اولین مورد، PWNYOURHOME، یک اکسپلویت iOS است که میتواند به مهاجم کمک کند تا به برنامه «iMessage» نفوذ کند تا نرمافزار «HomeKit» را تغییر دهد. این مشکل برای اَپل فاش شد که بعداً آسیبپذیری موجود در بهروزرسانی «iOS 16.3.1» را برطرف کرد.
این حمله در 2 مرحله اجرا میشود که هر مرحله فرآیند iOS متفاوتی را هدف قرار میدهد. مرحله اول از یک خرابی دیمون در برنامه HomeKit استفاده و سپس به سمت دانلود تصاویر «PNG» از برنامه iMessage حرکت میکند که باعث خرابی «BlastDoor» میشود. سیتیزن لب نتوانست تعیین کند که چگونه این اکسپلویت از BlastDoor خارج میشود، اما دریافت که این اکسپلویت بعداً پگاسوس را از طریق مؤلفه iOS به نام «mediaserverd» راهاندازی میکند.
به نظر میرسد که استفاده از ویژگی «Lockdown Mode» اَپل میتواند با موفقیت حملات PWNYOURHOME اعمالشده بهوسیله فروشنده بدنام نرمافزارهای جاسوسی را مسدود کند، زیرا این عملکرد به کاربران هشدار میدهد که اقدام به حمله از طریق نمایشگر اعلانها قابل مشاهده است.
با این حال، هیچ نشانهای وجود ندارد که NSO استفاده از این اکسپلویت را متوقف و این گروه ممکن است راهی برای اصلاح مشکل اعلان مانند انگشت نگاری در حالت قفل کردن پیدا کرده باشد.
دومین اکسپلویت، FINDMYPWN، به طور مؤثر فرآیند «fmfd» را در عملکرد «Find My» دستگاههای iOS 15.5 و iOS 15.6 هدف قرار میدهد. اکسپلویت امکان نوشتن و حذف موارد را در دایرکتوری کش فراهم میکند. Citizen Lab اطلاعات قانونی مربوط به سوءاستفاده را محدود میکند تا گروه NSO را از تاکتیکهای فرار احتمالی مطلع نکند.
یک سوءاستفاده نهایی پس از ارزیابی مجدد پزشکی قانونی قبلی از سوی محققان مشاهده شد. «LATENTIMAGE» اولین بار در ژانویه 2022 ظاهر شد و دستگاههای iOS 15 را تحت تأثیر قرار داد. شواهد حاکی از آن است که این اکسپلویت از تابع «Find My» نیز استفاده میکند، اما نقطه دسترسی اولیه آن تأیید نشده است.
کارشناسان معتقدند که برای سیتیزن لب، استفاده از سطوح حمله چندگانه باید توسعهدهندگان را تشویق کند تا به طور کلی درباره امنیت دستگاه فکر کنند و کل سطح قابل دسترسی از طریق یک شناسه واحد را به عنوان یک سطح واحد در نظر بگیرند.
علاوه بر این، محققان نوشتند :
«کاهشهای بهرهبرداری مدرن مانند کدهای احراز هویت اشارهگر بهطور قابلتوجهی آزادی مهاجم را برای اجرای کد دلخواه روی دستگاه کاهش میدهد. اما PWNYOURHOME نشان میدهد که مهاجمهای دنیای واقعی میتوانند راههای عملی برای رفع این کاهشها، مانند استفاده مجدد از نشانگرهای امضاشده واقع در افستهای شناخته شده در حافظه پنهان مشترک iOS، پیدا کنند.»
در حالیکه گروه NSO به این تاکتیکها ادامه میدهد، Citizen Lab تأکید کرد که باید Lockdown Mode با موفقیت اهداف را از حملات مداوم مطلع کند؛ و با وجود اینکه هیچ ابزاری درمان کننده نیست، این ویژگی میتواند تأثیر روشهای حمله مشابه را کاهش دهد.
