Pericoloso exploit zero-day dell'iPhone usato da hacker governativi ora corretto da Apple

Quando si tratta di privacy, le agenzie governative non sono sempre state dalla parte giusta della legge, ed è proprio per questo motivo che le rivelazioni di Snowden hanno avuto un impatto così enorme. Il 10 agosto, Ahmed Mansoor, un attivista per i diritti umani degli Emirati Arabi Uniti, ha ricevuto un messaggio strano da un numero sconosciuto sul suo iPhone. Il messaggio conteneva un hyperlink piuttosto ingannevole che recitava “Nuovi segreti sulla tortura degli Emiratini nelle prigioni statali.”

Mansoor era già stato vittima di hacker governativi che utilizzavano prodotti disponibili in commercio e questo link lo ha reso ancora più sospettoso. L’attivista ha quindi inoltrato il messaggio a un ricercatore del Citizen Lab di nome Bill Marczak. Dopo un esame ravvicinato, è stato ulteriormente stabilito che il sospetto di Mansoor era corretto. Il messaggio non era altro che una copertura che trasportava un malware sofisticato come payload. Il malware era, infatti, una tripla minaccia che avrebbe sfruttato tre diverse vulnerabilità nell’iOS di Apple che erano sconosciute al mondo (ora corrette).

Le segnalazioni del Citizen Lab e della società di sicurezza mobile Lookout hanno confermato che l’attaccante avrebbe ottenuto accesso completo all’iPhone di Mansoor se avesse aperto il link. Le aziende di sicurezza hanno ulteriormente dichiarato che il malware era “Uno dei pezzi più sofisticati di software di cyber spionaggio che abbiamo mai visto.” Non commettete errori, sfruttare i zero-day o bug sconosciuti nell’iPhone non può essere l’opera di un hacker di strada. Dobbiamo renderci conto che strumenti del valore di fino a un milione di dollari sono stati strumentali in questo attacco che consiste nel jailbreak remoto di un iPhone.

I criminali informatici si sono travestiti da un sindacato organizzato e, in effetti, è stato rivelato in precedenza che i fornitori offrono ransomware come servizi, proprio come Software as a Service (SaaS). Tornando al punto, l’azienda (sicuro chiamarla così) che ha fornito l’exploit zero-day agli hacker è una società di sorveglianza a basso profilo con sede in Israele chiamata NSO Group.

NSO è stata notoria per aver fornito malware sofisticati ai governi che richiedevano di mirare agli smartphone delle loro vittime, rimanendo nel frattempo dietro porte chiuse. Considerando la natura della sua attività, l’azienda è stata per lo più in modalità stealth, ma secondo informazioni recentemente trapelate, ha ricevuto un finanziamento di 120 milioni di dollari a una valutazione di 1 miliardo di dollari, ancora una volta la grande quantità di denaro che cambia mani preannuncia problemi per i suoi futuri exploit.

Mike Murray, vicepresidente di Lookout, è stato piuttosto animato riguardo all’intero episodio e questo è come descrive il malware con le sue stesse parole: “Praticamente ruba tutte le informazioni sul tuo telefono, intercetta ogni chiamata, intercetta ogni messaggio di testo, ruba tutte le email, i contatti, le chiamate FaceTime. Praticamente crea una backdoor in ogni meccanismo di comunicazione che hai sul telefono” e ha aggiunto ulteriormente che “Ruba tutte le informazioni nell’app Gmail, tutti i messaggi di Facebook, tutte le informazioni di Facebook, i tuoi contatti di Facebook, tutto da Skype, WhatsApp, Viber, WeChat, Telegram—tu nomina.”

I ricercatori hanno utilizzato il loro iPhone dimostrativo per scoprire come il malware ha infettato il dispositivo. Inoltre, le misure deprimenti adottate dalle agenzie governative mostrano il tipo di informazioni che giornalisti, attivisti e dissidenti proteggono. Spesso sono queste persone a fronteggiare la minaccia oggi, ma nel prossimo futuro potrebbero essere anche cittadini comuni come te e me.

La Traccia

Come è stata catturata la NSO può essere spiegato da una catena di eventi che ulteriormente diffondono su come è stato progettato il malware. Fino al 10 agosto, i ricercatori non erano stati in grado di trovare i campioni del malware che gli hacker utilizzavano, fino a quando Mansoor non li ha guidati verso di esso. Dopo aver esaminato il link, si sono resi conto che il spyware comunicava con un server e un indirizzo IP che avevano fortunatamente identificato in passato. Ciò che li ha aiutati ulteriormente è stato che un altro server registrato a un dipendente della NSO puntava allo stesso indirizzo IP.

Le cose hanno iniziato a diventare più chiare quando i ricercatori hanno visto la stringa di codice nel malware reale che recitava “PegasusProtocol” che è stata immediatamente collegata al nome in codice dello spyware della NSO, Pegasus. La NSO è stata profilata dal The Wall Street Journal e nella descrizione piuttosto breve l’azienda aveva rivelato di aver venduto i propri prodotti al governo messicano e stava persino attirando alcune attenzioni dalla CIA. Poiché Apple ha già corretto la vulnerabilità, i zero-day in questione sono stati eliminati. Detto ciò, sarebbe sicuro presumere che la NSO potrebbe ancora essere armata con alcuni di questi e la rivelazione attuale non è qualcosa che distruggerebbe le loro operazioni.

Correzione di Apple

La correzione di Apple è inclusa in iOS 9.3.5 e si consiglia agli utenti iOS di aggiornare immediatamente i propri dispositivi. Dan Guido, CEO della società di cybersecurity, afferma che questo tipo di attacchi raramente vede la luce del giorno e sono quasi mai catturati nel “wild”. Il Messico sembra essere il miglior cliente dei team di hacking in tutto il mondo e organizzazioni come la NSO stanno semplicemente portando tutto al livello successivo.

Vittime e tentativi

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Mansoor non è l’unica vittima di questo spyware e in precedenza era un giornalista messicano, Rafael Cabrera, che ha ricevuto messaggi simili. Come per Mansoor, i messaggi inviati a Rafael erano anch’essi accompagnati da titoli ingannevoli. Sia Mansoor che Rafael sembrano essere scampati all’attacco poiché sono abituati a guardarsi le spalle, una caratteristica che la maggior parte di noi non ha. Per concludere, la completa privacy sembra essere un mito ed è quasi impossibile proteggersi da tali attacchi. Mentre il produttore di smartphone potrebbe destinare più fondi per rendere i propri telefoni sicuri, la domanda per armi informatiche aumenterà anche. Speriamo solo che i ricercatori di aziende come Citizen Labs siano in allerta per esporre tali hack e stabilire una sorta di rinascita.