Desítky iPhonů od novinářů Al-Džazíry prý napadeny zero-click spywarem

Ještě se pořádně neuklidnila situace okolo útoku Sunburnt na software společnosti SolarWinds a už tu máme další velký útok. Tentokrát bylo clem 36 novinářů a jiných představitelů Al-Džazíry, případně Al Araby TV. Podle dosavadního šetření byly při útoku, jež spočíval v instalaci špehovacího softwaru, využity nástroje společnosti NSO Group. Ta dodává spywary a podobné nástroje vládám ke sledování nejrůznějších cílů. V tomto případě mělo jít o využití zranitelnosti KISMET v mobilních telefonech Apple iPhone. Šlo o zero-day chybu, na kterou v dané době (v červenci 2020) nejenže nebyla oprava, ale současně šlo o zero-click chybu. To znamená, že uživatel se nijak nemusí zasadit o infikování svého zařízení. To se dá provést jednoduše zasláním závadné zprávy, v tomto případě do aplikace iMessage.

 

 

Tamer Almisshal je jedním z novinářů Al-Džazíry, který měl podezření, že je jeho telefon hacknutý. V lednu 2020 tak souhlasil s nainstalování speciální VPN aplikace od Citizen Lab s monitorováním internetového provozu. 19. července 2020 se dle logů VPN připojení jeho telefon opakovaně připojil k nezobvyklým serverům Applu na iCloudu (88 % všech připojení na iCloud za celou dobu monitorování provozu se stalo právě během jedné hodiny 19. července) a poté se připojil k instalačnímu serveru se spywarem Pegasus od NSO Group. Připojení na iCloud měla na svědomí standardní aplikace imagent, která je součástí iMessage a FaceTime. Poté, co se připojil k serverům s instalací spywaru Pegasus, se telefon připojil k dalším třem IP adresám a uploadoval celkem 270 MB dat. Útoků se dočkala např. i Rania Dridi z Al Araby TV.

 

 

Další vyšetřování ukazovalo, že sledování komunikace zajišťovali čtyři operátoři, Monarchy sledující 18 telefonů, Sneaky Kestrel, který sledovat 15 telefonů (včetně jednoho, který monitoroval i Monarchy), dále to byl Center-1 s jedním a Center-2 se 3 telefony. Kdo za nimi stojí, není úplně jisté, ale Citizen Lab říká, že Sneaky Kestrel je se střední pravděpodobností navázán na vládu Spojených Arabských Emirátů a Monarchy pak na Saúdskou Arábii. Tato podezření podporuje fakt, že Monarchy cílil především na cíle z Saúdské Arábie, zatímco Sneaky Kestrel zejména ze SAE. Navíc oba státy mají být zákazníky NSO Group a uživateli softwaru Pegasus.

 

Tento spyware umí nahrávat audio pomocí mikrofonu (jak běžné okolí telefonu, tak i hovory), pořizovat snímky, sledovat polohu zařízení a dostat se dokonce i k uloženým přihlašovacím informacím. Nyní už spyware nefunguje, protože chyba byla opravena v iOSu 14. Zástupci společnosti NSO Group říkají, že se vše točí v rovině spekulací a nikde nejsou důkazy přímého spojení se společností.

 

Zdroj: citizenlab.ca, bbc.com