نشرت شركة NSO Group الإسرائيلية لبرامج التجسس ما لا يقل عن ثلاث عمليات استغلال جديدة "بدون نقرة" ضد أجهزة iPhone في عام 2022 لاختراق الدفاعات التي أقامتها شركة Apple ونشر Pegasus ، وفقًا لأحدث النتائج من Citizen Lab.
قال المختبر متعدد التخصصات ومقره جامعة تورنتو: "نشر عملاء NSO Group على نطاق واسع ما لا يقل عن ثلاثة سلاسل استغلال تعمل بنقرة واحدة على iOS 15 و iOS 16 ضد أهداف المجتمع المدني في جميع أنحاء العالم" .
NSO Group هي الشركة المصنعة لـ Pegasus ، وهو سلاح إلكتروني متطور قادر على استخراج المعلومات الحساسة المخزنة في الجهاز - على سبيل المثال ، الرسائل والمواقع والصور وسجلات المكالمات ، من بين أمور أخرى - في الوقت الفعلي. يتم تسليمه عادةً إلى أجهزة iPhone المستهدفة باستخدام عمليات الاستغلال التي تتم بدون نقرة و / أو عمليات الاستغلال التي تتم بدون انتظار.
في حين تم الترويج له كأداة لوكالات إنفاذ القانون لمكافحة الجرائم الخطيرة مثل الاعتداء الجنسي على الأطفال والإرهاب ، فقد تم نشره أيضًا بشكل غير قانوني من قبل الحكومات الاستبدادية للتجسس على المدافعين عن حقوق الإنسان والمدافعين عن الديمقراطية والصحفيين والمعارضين وغيرهم.
دفع سوء استخدام Pegasus الحكومة الأمريكية إلى إضافة NSO Group إلى قائمة الحظر التجاري الخاصة بها في أواخر عام 2021 ، حيث رفعت شركة Apple دعوى قضائية خاصة بها ضد الشركة لاستهداف مستخدميها.
في يوليو 2022 ، تبين أن برنامج التجسس قد تم استخدامه ضد النشطاء التايلانديين المشاركين في الاحتجاجات المؤيدة للديمقراطية في البلاد بين أكتوبر 2020 ونوفمبر 2021 باستخدام اثنين من مآثر النقر الصفري المسمى KISMET و FORCEDENTRY .
اثنان من أهداف الحملة الأخيرة التي اكتشفها Citizen Lab تشمل المدافعين عن حقوق الإنسان من Centro PRODH ، الذي يمثل ضحايا عمليات القتل والاختفاء خارج نطاق القضاء التي ارتكبها الجيش المكسيكي. وقعت الاقتحامات في يونيو 2022.
استلزم ذلك استخدام ثلاث سلاسل استغلال متباينة يطلق عليها اسم LATENTIMAGE و FINDMYPWN و PWNYOURHOME والتي عززت عيوبًا مختلفة في iOS 15 و iOS 16 كأيام صفرية لاختراق الأجهزة وإطلاق Pegasus في النهاية -
- LATENTIMAGE (إصدار iOS 15.1.1 ، تم اكتشافه في يناير 2022) - ثغرة يشتبه في أنها تتضمن ميزة Find My على iPhone و SpringBoard
- FINDMYPWN (إصدارات iOS 15.5 و 15.6 ، تم اكتشافها في يونيو 2022) - ثغرة من مرحلتين تستخدم خدمة Find My و iMessage
- PWNYOURHOME (إصدار iOS 16.0.3 ، تم اكتشافه في أكتوبر 2022) - استغلال على مرحلتين يجمع بين وظيفة HomeKit المضمنة في أجهزة iPhone و iMessage لتجاوز حماية BlastDoor
في إشارة مشجعة ، قالت Citizen Lab إنها وجدت دليلًا على تدخل وضع Lockdown لإحباط محاولة هجوم PWNYOURHOME ، محذرة المستخدمين من أنه حظر أطرافًا غير معروفة باستخدام Gmail و Yahoo! حسابات من محاولة "الوصول إلى منزل".
يمثل هذا التطوير أول مثال موثق علنًا حيث نجح وضع Lockdown ، المصمم خصيصًا لتقليل سطح هجوم iPhone ، في حماية الفرد من أي حل وسط.
ومع ذلك ، أشار Citizen Lab إلى أن NSO Group "ربما توصلت إلى طريقة لتصحيح مشكلة الإخطار ، مثل وضع بصمات الأصابع Lockdown Mode." قامت Apple منذ ذلك الحين بشحن العديد من التحسينات الأمنية إلى HomeKit في iOS 16.3.1 وأرسلت إشعارات إلى الضحايا المستهدفين في نوفمبر وديسمبر 2022 ومارس 2023.
النتائج هي أحدث مثال على تقنيات الهجوم المتطورة الخاصة بـ NSO لاقتحام أجهزة iPhone دون الحاجة إلى أي أهداف لاتخاذ أي إجراء لإثارة العدوى.
كما أنها تتزامن أيضًا مع تحقيق جديد أجرته صحيفة نيويورك تايمز يكشف عن استخدام المكسيك لبرنامج Pegasus لاستهداف المدافعين عن حقوق الإنسان في الأشهر الأخيرة ، ويوضح بالتفصيل كيف أصبحت البلاد أول مستخدم وأكثرهم إنتاجًا لبرامج التجسس.
في مؤشر آخر على الطبيعة المتفشية لمثل هذه الحملات ، كشفت Jamf Threat Labs عن دليل على ناشط في مجال حقوق الإنسان مقيم في الشرق الأوسط بالإضافة إلى صحفي مجري مستهدف ببرامج تجسس. لم يتم الكشف عن أسمائهم.
يعد الهجوم الذي يستهدف جهاز iPhone الخاص بالصحفي مهمًا أيضًا لحقيقة أن الجهاز كان iPhone 6s ، والذي لم يعد متوافقًا مع أحدث إصدار من iOS ، مما يشير إلى ميل الجهات الفاعلة في التهديد لاستغلال نقاط الضعف المعروفة وغير المعروفة لتحقيق أهدافها .
بينما تقوم Apple بإصلاحات للمنافذ الخلفية للعيوب الحرجة للأجهزة القديمة (الإصدار الحالي المدعوم من iPhone 6s هو iOS 15.7.5 ) ، من المهم ملاحظة أنه لا تتم معالجة جميع الثغرات الأمنية للأجهزة القديمة.
وقال جامف: "نتيجة لذلك ، يمكن للجهات الفاعلة في التهديد أن تستمر في استغلال نقاط الضعف التي لم يتم إصلاحها والتي تم تصحيحها على الأجهزة المدعومة الأحدث ، مما قد يمنح المهاجمين مزيدًا من الوقت والمزيد من المعلومات للوصول عن بُعد إلى الأجهزة المستهدفة" .
للحماية من هجمات برامج التجسس ، يوصى بتطبيق آخر تحديثات نظام التشغيل ، وترقية الأجهزة القديمة إلى طرازات iPhone أو iPad الأحدث ، والنظر في تمكين وضع Lockdown .
حذر المركز الوطني للأمن الإلكتروني في المملكة المتحدة (NCSC) ، في تقرير استشاري صدر في 19 أبريل 2023 ، من أن "انتشار الأدوات الإلكترونية التجارية سيشكل تهديدًا متزايدًا للمنظمات والأفراد على مستوى العالم".
وقالت الوكالة: "إن الانتشار التجاري للأدوات والخدمات السيبرانية يقلل من الحواجز أمام دخول الجهات الفاعلة الحكومية وغير الحكومية في الحصول على القدرات والمعلومات الاستخباراتية التي لن يكونوا قادرين على تطويرها أو الحصول عليها بطريقة أخرى" .