Citizen Labによると 、その従業員はLookout Securityと協力して、iOSカーネルの2つの脆弱性とWebKitの1つの脆弱性が使用されたアラブ首長国連邦のAhmed Mansourの人権活動家の監視を確立する試みを調査できました。 8月10〜11日、彼はUAEの刑務所で拷問を受けている囚人に関する情報を入手するためにリンクをたどるように求めるSMSメッセージを受け取りました。 代わりに、何かが間違っていると疑って、アーメドは情報セキュリティの専門家に頼りました。
会社の従業員は自分の携帯電話をハニポットとして使用したことがあります。そのおかげで、マンスールに向けられたマルウェアを分析できました。 痕跡はNSOグループとUAE政府につながりました。
NSOグループ
NSO Groupはイスラエルに本拠を置く会社です。 ブルームバーグによると、ベンチャーキャピタリズムに特化したアメリカのLLC Francisco Partners Managementを所有している(または所有している; 10億ドルで売るバイヤーを見つけることに関する情報がある)。 NSO Groupの製品の1つはPegasusと呼ばれるスパイウェアであり、さまざまな政府機関に販売されています。
NSOグループの共同設立者は、情報保護サービスを提供するKaymera社にも関与しています。 組織のウェブサイトには、サイバー戦争の両側でのゲームを報告するブルームバーグの記事のコピーが含まれています。
ペガサス
SMSメッセージは、その後のPegasusのインストールの攻撃ベクトルの1つであることが知られています。 被害者は、いわゆる「アノニマイザー」へのリンクをたどります。「アノニマイザー」はインストールサーバーに接続し、ユーザーエージェントによる対応するエクスプロイトを発行します。
アーメドを攻撃するために、トライデントという一般名で3つの脆弱性が使用されました。 それらの1つを使用すると、WebKitを介して悪意のあるコードを実行できます。 次に、必要な特権を取得するために、XNUカーネルコードのエラーが悪用されます。
Appleニュースレターの抜粋:
iOS 9.3.5が利用可能になり、以下に対処します。
カーネル
対象:iPhone 4s以降、iPad 2以降、iPod touch(第5世代)以降
影響:アプリケーションがカーネルメモリを開示できる可能性があります。
説明:入力サニタイズの改善により、検証の問題に対処しました。
CVE-2016-4655:シチズンラボとLookout
カーネル
対象:iPhone 4s以降、iPad 2以降、iPod touch(第5世代)以降
影響:アプリケーションがカーネル権限で任意のコードを実行できる可能性があります
説明:メモリ処理の改善により、メモリ破損の問題に対処しました。
CVE-2016-4656:シチズンラボとLookout
Webkit
対象:iPhone 4s以降、iPad 2以降、iPod touch(第5世代)以降
影響:悪意を持って作成されたWebサイトにアクセスすると、任意のコードが実行される可能性があります。
説明:メモリ処理の改善により、メモリ破損の問題に対処しました。
CVE-2016-4657:シチズンラボとLookout
PegasusにはCydia Substrateフレームワークが含まれており、これはiMessage、Gmail、Viber、Facebook、WhatsApp、Telegram、Skype、Line、KakaoTalk、WeChat、Surespot、Imo.im、Mail.Ru、Tangoなどのさまざまなアプリケーションでの実装に使用されます、VK、およびクラスメート。 カレンダー、連絡先、パスワードも読み込まれます。
マルウェアは、HTTPSおよびSMSを介して管理サーバーと通信できます。
おわりに
シチズンラボによると、この攻撃は非常に洗練されており、まれです。 そのようなエクスプロイトには、数十万から最大で百万ドルの費用がかかります。 Appleはすぐに対応し、バージョン9.3.5をリリースすることで約10日で問題を解決しました。
これは抑圧的な政権による活動家の迫害の最初のケースではありません。 明らかに、それらをサポートする企業は、人間の生活よりもお金を大切にしています。 イスラエルでは、スパイウェアをエクスポートするには特別なライセンスが必要です。 したがって、NSOグループが申請を提出し、拒否を受け取らなかった場合、ワームはオフィスだけでなく政府の人間であることがわかります。