نشرت شركة مجموعة إن إس أو الإسرائيلية لبرامج التجسس ما لا يقل عن ثلاث عمليات استغلال جديدة "بدون نقر" ضد أجهزة ايفون في عام 2022 لاختراق الدفاعات التي أقامتها شركة ابل ونشر بيغاسوس ، وفقًا لأحدث النتائج من Citizen Lab.
قال المختبر متعدد التخصصات ومقره جامعة تورنتو: "نشر عملاء مجموعة إن إس أو على نطاق واسع ما لا يقل عن ثلاثة سلاسل استغلال تعمل بنقرة واحدة على iOS 15 و iOS 16 ضد أهداف المجتمع المدني في جميع أنحاء العالم".
مجموعة إن إس أو هي الشركة المصنعة لـ بيغاسوس، وهو سلاح إلكتروني متطور قادر على استخراج المعلومات الحساسة المخزنة في الجهاز - على سبيل المثال ، الرسائل والمواقع والصور وسجلات المكالمات ، من بين أمور أخرى - في الوقت الفعلي. يتم تسليمها عادةً إلى أجهزة ايفون المستهدفة باستخدام عمليات الاستغلال التي تتم بدون نقرة و / أو عمليات الاستغلال التي تتم بدون يوم.
في حين تم الترويج له كأداة لوكالات إنفاذ القانون لمكافحة الجرائم الخطيرة مثل الاعتداء الجنسي على الأطفال والإرهاب ، فقد تم نشره أيضًا بشكل غير قانوني من قبل الحكومات الاستبدادية للتجسس على المدافعين عن حقوق الإنسان والمدافعين عن الديمقراطية والصحفيين والمعارضين وغيرهم.
دفع إساءة استخدام بيغاسوس الحكومة الأمريكية إلى إضافة مجموعة إن إس أو إلى قائمة الحظر التجاري الخاصة بها في أواخر عام 2021 ، حيث رفعت شركة ابل دعوى قضائية خاصة بها ضد الشركة لاستهداف مستخدميها.
في يوليو 2022 ، تبين أن برنامج التجسس قد تم استخدامه ضد النشطاء التايلانديين المشاركين في الاحتجاجات المؤيدة للديمقراطية في البلاد بين أكتوبر 2020 ونوفمبر 2021 باستخدام اثنين من مآثر النقر الصفري المسماة KISMET و FORCEDENTRY.
اثنان من أهداف الحملة الأخيرة التي كشف عنها Citizen Lab تشمل المدافعين عن حقوق الإنسان من Centro PRODH ، الذي يمثل ضحايا عمليات القتل والاختفاء خارج نطاق القضاء التي ارتكبها الجيش المكسيكي. وقعت الاقتحامات في يونيو 2022.
استلزم ذلك استخدام ثلاث سلاسل استغلال متباينة يطلق عليها اسم LATENTIMAGE و FINDMYPWN و PWNYOURHOME والتي عززت عيوبًا مختلفة في iOS 15 و iOS 16 كأيام صفرية لاختراق الأجهزة وإطلاق Pegasus في النهاية -
LATENTIMAGE (إصدار iOS 15.1.1 ، تم اكتشافه في كانون الثاني (يناير) 2022) - ثغرة يشتبه في أنها تتضمن ميزة Find My على iPhone و SpringBoard
FINDMYPWN (إصدارات iOS 15.5 و 15.6 ، تم اكتشافها في يونيو 2022) - ثغرة من مرحلتين تستخدم خدمة Find My و iMessage
PWNYOURHOME (إصدار iOS 16.0.3 ، تم اكتشافه في أكتوبر 2022) - استغلال على مرحلتين يجمع بين وظيفة HomeKit المضمنة في أجهزة iPhone و iMessage لتجاوز حماية BlastDoor
في إشارة مشجعة ، قالت Citizen Lab إنها وجدت دليلًا على تدخل وضع Lockdown لإحباط محاولة هجوم PWNYOURHOME ، محذرة المستخدمين من أنه حظر أطرافًا غير معروفة باستخدام Gmail و Yahoo! حسابات من محاولة "الوصول إلى منزل".
يمثل هذا التطوير أول مثال موثق علنًا حيث نجح وضع Lockdown ، المصمم خصيصًا لتقليل سطح هجوم ايفون، في حماية الفرد من أي اختراق.
ايفون بدون نقرة
ومع ذلك ، أشار Citizen Lab إلى أن مجموعة إن إس أو "ربما تكون قد توصلت إلى طريقة لتصحيح مشكلة الإخطار ، مثل وضع بصمات الأصابع Lockdown Mode." قامت ابل منذ ذلك الحين بشحن العديد من التحسينات الأمنية إلى HomeKit في iOS 16.3.1 وأرسلت إشعارات إلى الضحايا المستهدفين في نوفمبر وديسمبر 2022 ومارس 2023.
النتائج هي أحدث مثال على تقنيات هجوم NSO المتطورة لاقتحام أجهزة ايفون دون الحاجة إلى أي أهداف لاتخاذ أي إجراء لإطلاق العدوى.
كما أنها تتزامن أيضًا مع تحقيق جديد أجرته صحيفة نيويورك تايمز يكشف عن استخدام المكسيك لبرنامج Pegasus لاستهداف المدافعين عن حقوق الإنسان في الأشهر الأخيرة ، ويوضح بالتفصيل كيف أصبحت البلاد أول مستخدم وأكثرهم إنتاجًا لبرامج التجسس.
في مؤشر آخر على الطبيعة المتفشية لمثل هذه الحملات ، كشفت Jamf Threat Labs عن دليل على ناشط في مجال حقوق الإنسان مقيم في الشرق الأوسط بالإضافة إلى صحفي مجري مستهدف ببرامج تجسس. لم يتم الكشف عن أسمائهم.
يعد الهجوم الذي يستهدف جهاز ايفون الخاص بالصحفي مهمًا أيضًا لحقيقة أن الجهاز كان ايفون 6s، والذي لم يعد متوافقًا مع أحدث إصدار من نظام التشغيل iOS ، مما يشير إلى ميل الجهات الفاعلة في التهديد لاستغلال نقاط الضعف المعروفة وغير المعروفة لتحقيق أهدافها.
بينما تقوم ابل بإصلاحات المنفذ الخلفي للعيوب الحرجة في الأجهزة القديمة (الإصدار الحالي المدعوم من iPhone 6s هو iOS 15.7.5) ، من المهم ملاحظة أنه لا تتم معالجة جميع الثغرات الأمنية للأجهزة القديمة.
قال جامف: "نتيجة لذلك ، يمكن للجهات الفاعلة في التهديد مواصلة استغلال الثغرات الأمنية غير المصححة التي تم تصحيحها على الأجهزة المدعومة الأحدث ، مما قد يمنح المهاجمين مزيدًا من الوقت والمزيد من المعلومات للوصول عن بُعد إلى الأجهزة المستهدفة".
للحماية من هجمات برامج التجسس ، يوصى بتطبيق آخر تحديثات نظام التشغيل ، وترقية الأجهزة القديمة إلى طرز ايفون أو ايباد الأحدث ، والنظر في تمكين وضع Lockdown.
حذر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ، في تقرير استشاري صدر في 19 أبريل 2023 ، من أن "انتشار الأدوات الإلكترونية التجارية سيشكل تهديدًا متزايدًا للمنظمات والأفراد على مستوى العالم.
قال المختبر متعدد التخصصات ومقره جامعة تورنتو: "نشر عملاء مجموعة إن إس أو على نطاق واسع ما لا يقل عن ثلاثة سلاسل استغلال تعمل بنقرة واحدة على iOS 15 و iOS 16 ضد أهداف المجتمع المدني في جميع أنحاء العالم".
مجموعة إن إس أو هي الشركة المصنعة لـ بيغاسوس، وهو سلاح إلكتروني متطور قادر على استخراج المعلومات الحساسة المخزنة في الجهاز - على سبيل المثال ، الرسائل والمواقع والصور وسجلات المكالمات ، من بين أمور أخرى - في الوقت الفعلي. يتم تسليمها عادةً إلى أجهزة ايفون المستهدفة باستخدام عمليات الاستغلال التي تتم بدون نقرة و / أو عمليات الاستغلال التي تتم بدون يوم.
في حين تم الترويج له كأداة لوكالات إنفاذ القانون لمكافحة الجرائم الخطيرة مثل الاعتداء الجنسي على الأطفال والإرهاب ، فقد تم نشره أيضًا بشكل غير قانوني من قبل الحكومات الاستبدادية للتجسس على المدافعين عن حقوق الإنسان والمدافعين عن الديمقراطية والصحفيين والمعارضين وغيرهم.
دفع إساءة استخدام بيغاسوس الحكومة الأمريكية إلى إضافة مجموعة إن إس أو إلى قائمة الحظر التجاري الخاصة بها في أواخر عام 2021 ، حيث رفعت شركة ابل دعوى قضائية خاصة بها ضد الشركة لاستهداف مستخدميها.
في يوليو 2022 ، تبين أن برنامج التجسس قد تم استخدامه ضد النشطاء التايلانديين المشاركين في الاحتجاجات المؤيدة للديمقراطية في البلاد بين أكتوبر 2020 ونوفمبر 2021 باستخدام اثنين من مآثر النقر الصفري المسماة KISMET و FORCEDENTRY.
اثنان من أهداف الحملة الأخيرة التي كشف عنها Citizen Lab تشمل المدافعين عن حقوق الإنسان من Centro PRODH ، الذي يمثل ضحايا عمليات القتل والاختفاء خارج نطاق القضاء التي ارتكبها الجيش المكسيكي. وقعت الاقتحامات في يونيو 2022.
استلزم ذلك استخدام ثلاث سلاسل استغلال متباينة يطلق عليها اسم LATENTIMAGE و FINDMYPWN و PWNYOURHOME والتي عززت عيوبًا مختلفة في iOS 15 و iOS 16 كأيام صفرية لاختراق الأجهزة وإطلاق Pegasus في النهاية -
LATENTIMAGE (إصدار iOS 15.1.1 ، تم اكتشافه في كانون الثاني (يناير) 2022) - ثغرة يشتبه في أنها تتضمن ميزة Find My على iPhone و SpringBoard
FINDMYPWN (إصدارات iOS 15.5 و 15.6 ، تم اكتشافها في يونيو 2022) - ثغرة من مرحلتين تستخدم خدمة Find My و iMessage
PWNYOURHOME (إصدار iOS 16.0.3 ، تم اكتشافه في أكتوبر 2022) - استغلال على مرحلتين يجمع بين وظيفة HomeKit المضمنة في أجهزة iPhone و iMessage لتجاوز حماية BlastDoor
في إشارة مشجعة ، قالت Citizen Lab إنها وجدت دليلًا على تدخل وضع Lockdown لإحباط محاولة هجوم PWNYOURHOME ، محذرة المستخدمين من أنه حظر أطرافًا غير معروفة باستخدام Gmail و Yahoo! حسابات من محاولة "الوصول إلى منزل".
يمثل هذا التطوير أول مثال موثق علنًا حيث نجح وضع Lockdown ، المصمم خصيصًا لتقليل سطح هجوم ايفون، في حماية الفرد من أي اختراق.
ايفون بدون نقرة
ومع ذلك ، أشار Citizen Lab إلى أن مجموعة إن إس أو "ربما تكون قد توصلت إلى طريقة لتصحيح مشكلة الإخطار ، مثل وضع بصمات الأصابع Lockdown Mode." قامت ابل منذ ذلك الحين بشحن العديد من التحسينات الأمنية إلى HomeKit في iOS 16.3.1 وأرسلت إشعارات إلى الضحايا المستهدفين في نوفمبر وديسمبر 2022 ومارس 2023.
النتائج هي أحدث مثال على تقنيات هجوم NSO المتطورة لاقتحام أجهزة ايفون دون الحاجة إلى أي أهداف لاتخاذ أي إجراء لإطلاق العدوى.
كما أنها تتزامن أيضًا مع تحقيق جديد أجرته صحيفة نيويورك تايمز يكشف عن استخدام المكسيك لبرنامج Pegasus لاستهداف المدافعين عن حقوق الإنسان في الأشهر الأخيرة ، ويوضح بالتفصيل كيف أصبحت البلاد أول مستخدم وأكثرهم إنتاجًا لبرامج التجسس.
في مؤشر آخر على الطبيعة المتفشية لمثل هذه الحملات ، كشفت Jamf Threat Labs عن دليل على ناشط في مجال حقوق الإنسان مقيم في الشرق الأوسط بالإضافة إلى صحفي مجري مستهدف ببرامج تجسس. لم يتم الكشف عن أسمائهم.
يعد الهجوم الذي يستهدف جهاز ايفون الخاص بالصحفي مهمًا أيضًا لحقيقة أن الجهاز كان ايفون 6s، والذي لم يعد متوافقًا مع أحدث إصدار من نظام التشغيل iOS ، مما يشير إلى ميل الجهات الفاعلة في التهديد لاستغلال نقاط الضعف المعروفة وغير المعروفة لتحقيق أهدافها.
بينما تقوم ابل بإصلاحات المنفذ الخلفي للعيوب الحرجة في الأجهزة القديمة (الإصدار الحالي المدعوم من iPhone 6s هو iOS 15.7.5) ، من المهم ملاحظة أنه لا تتم معالجة جميع الثغرات الأمنية للأجهزة القديمة.
قال جامف: "نتيجة لذلك ، يمكن للجهات الفاعلة في التهديد مواصلة استغلال الثغرات الأمنية غير المصححة التي تم تصحيحها على الأجهزة المدعومة الأحدث ، مما قد يمنح المهاجمين مزيدًا من الوقت والمزيد من المعلومات للوصول عن بُعد إلى الأجهزة المستهدفة".
للحماية من هجمات برامج التجسس ، يوصى بتطبيق آخر تحديثات نظام التشغيل ، وترقية الأجهزة القديمة إلى طرز ايفون أو ايباد الأحدث ، والنظر في تمكين وضع Lockdown.
حذر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ، في تقرير استشاري صدر في 19 أبريل 2023 ، من أن "انتشار الأدوات الإلكترونية التجارية سيشكل تهديدًا متزايدًا للمنظمات والأفراد على مستوى العالم.