Опасная уязвимость нулевого дня для iPhone, использованная правительственными хакерами, теперь исправлена Apple

Когда речь идет о конфиденциальности, государственные учреждения не всегда были на правильной стороне закона, именно по этой причине утечки Сноудена произвели такой огромный эффект. 10 августа Ахмед Мансур, активист по правам человека из ОАЭ, получил странное сообщение от неизвестного номера на своем iPhone. Сообщение содержало довольно кликбейтную гиперссылку с текстом “Новые секреты о пытках эмиратцев в государственных тюрьмах.”

Мансур ранее стал жертвой правительственных хакеров, использующих коммерчески доступные продукты, и эта ссылка только усилила его подозрения. Активист переслал сообщение исследователю из Citizen Lab по имени Билл Марчак. После тщательного изучения было установлено, что подозрения Мансура были правы. Сообщение было ничем иным, как прикрытием, которое содержало сложный вредоносный код в качестве полезной нагрузки. Вредоносное ПО на самом деле представляло собой тройную угрозу, которая использовала три разные уязвимости в iOS Apple, о которых мир не знал (сейчас они исправлены).

Отчеты от Citizen Lab и компании мобильной безопасности Lookout подтвердили, что злоумышленник получил бы полный доступ к iPhone Мансура, если бы он открыл ссылку. Безопасные фирмы также заявили, что вредоносное ПО было “одним из самых сложных образцов кибершпионского программного обеспечения, которые мы когда-либо видели.” Не ошибитесь, использование уязвимостей нулевого дня или неизвестных ошибок в iPhone не может быть делом хакера из заднего переулка. Мы должны осознать, что инструменты стоимостью до одного миллиона долларов сыграли ключевую роль в этой атаке, которая заключалась в удаленном джейлбрейке iPhone.

Киберпреступники маскируются под организованный синдикат, и на самом деле ранее было раскрыто, что поставщики предлагают программное обеспечение-вымогатель как услугу, так же как программное обеспечение как услугу (SaaS). Возвращаясь к теме, компания (безопасно назвать ее так), которая предоставила уязвимость нулевого дня хакерам, является малозаметной наблюдательной организацией из Израиля под названием NSO Group.

NSO прославилась тем, что поставляла сложное вредоносное ПО правительствам, которым требовалось нацелиться на смартфоны своих жертв, оставаясь при этом за закрытыми дверями. Учитывая характер своего бизнеса, компания в основном действовала в скрытом режиме, но согласно недавно утекшей информации, она была профинансирована на сумму 120 миллионов долларов при оценке в 1 миллиард долларов, что еще раз подчеркивает проблемы с ее будущими эксплойтами.

Майк Мюррей, вице-президент Lookout, был довольно эмоционален по поводу всей этой ситуации, и вот как он описывает вредоносное ПО своими словами: “Оно в основном крадет всю информацию на вашем телефоне, перехватывает каждый звонок, перехватывает каждое текстовое сообщение, крадет все электронные письма, контакты, звонки FaceTime. Оно также в основном создает заднюю дверь для всех механизмов связи, которые у вас есть на телефоне” и он добавил, что “Оно крадет всю информацию в приложении Gmail, все сообщения Facebook, всю информацию Facebook, ваши контакты Facebook, все из Skype, WhatsApp, Viber, WeChat, Telegram — вы назовите это.”

Исследователи использовали свой демонстрационный iPhone, чтобы выяснить, как вредоносное ПО заразило устройство. Также подавляющие меры, предпринятые государственными учреждениями, демонстрируют, какую информацию защищают журналисты, активисты и диссиденты. Часто именно эти люди сталкиваются с угрозой сегодня, но в ближайшем будущем это могут быть и обычные граждане, такие как вы и я.

Следы

Как NSO была поймана, можно объяснить цепочкой событий, которая далее распространяет информацию о том, как было разработано вредоносное ПО. До 10 августа исследователи не могли найти образцы вредоносного ПО, которое использовали хакеры, пока Мансур не привел их к нему. После изучения ссылки они поняли, что шпионское ПО связывалось с сервером и IP-адресом, который им повезло зафиксировать в прошлом. Что помогло им еще больше, так это то, что другой сервер, зарегистрированный на сотрудника NSO, указывал на тот же IP-адрес.

Ситуация стала яснее, когда исследователи увидели строку кода в самом вредоносном ПО, которая гласила “PegasusProtocol”, что сразу же было связано с кодовым названием шпионского ПО NSO, Pegasus. NSO была профилирована The Wall Street Journal, и в довольно коротком описании компания раскрыла, что они продавали свои товары мексиканскому правительству и даже привлекали внимание ЦРУ. Поскольку Apple уже исправила уязвимость, уязвимости нулевого дня были устранены. Тем не менее, можно с уверенностью предположить, что у NSO все еще могут быть некоторые из них, и текущее раскрытие не является чем-то, что могло бы разрушить их операции.

Исправление Apple

Исправление Apple включено в iOS 9.3.5, и пользователям iOS рекомендуется немедленно обновить свои устройства. Дэн Гуидо, генеральный директор компании по кибербезопасности, говорит, что такие атаки редко становятся известными и почти никогда не ловятся в “дикой природе”. Мексика, похоже, является лучшим клиентом команд хакеров по всему миру, и такие организации, как NSO, просто поднимают это на следующий уровень.

Жертвы и попытки

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Мансур не единственная жертва этого шпионского ПО, ранее мексиканскому журналисту Рафаэлю Кабрере также были отправлены подобные сообщения. Как и в случае с Мансуром, сообщения, отправленные Рафаэлю, также были пропитаны кликбейтными заголовками. Оба, Мансур и Рафаэль, похоже, избежали атаки, так как они привыкли быть настороже, что является чертой, которой у большинства из нас нет. В заключение, полная конфиденциальность кажется мифом, и почти невозможно защититься от таких атак. Хотя производитель смартфонов может выделить больше средств для обеспечения безопасности своих телефонов, спрос на кибероружие также возрастет. Мы просто надеемся, что исследователи из таких компаний, как Citizen Labs, находятся на чеку, чтобы разоблачить такие хакерские атаки и установить своего рода возрождение.