Citizen Lab avdekker en flerårig kampanje rettet mot den autonome regionen i Spania, kalt Catalonia.
En ukjent null-klikk-utnyttelse i Apples iMessage ble brukt av den israelsk-baserte NSO Group til å plante enten Pegasus eller Candiru malware på iPhones eid av politikere, journalister og aktivister.
Citizen Lab, i samarbeid med katalansk-baserte forskere, ga ut funnet i en rapport mandag som hevder at 65 personer ble målrettet eller infisert med skadelig programvare via en iPhone-sårbarhet kalt HOMAGE. Det hevder det kontroversielle israelske firmaet NSO Group og et andre firma Candiru sto bak kampanjene som fant sted mellom 2017 og 2020.
Candiru, aka Sourgum, er et kommersielt firma som angivelig selger DevilsTongues overvåkingsskadevare til myndigheter over hele verden. Apple iMessage HOMAGE-feilen er en såkalt null-klikk-sårbarhet, noe som betyr at ingen interaksjon fra ofrene er nødvendig for å i det skjulte installere skadelig programvare på tiltenkte mål. Siden 2019 er ikke lenger versjoner av Apples iOS-programvare sårbare for HOMAGE-angrep.
Katalanske politikere og aktivister målrettet
"Hackingen dekker et spekter av sivilsamfunnet i Catalonia, fra akademikere og aktivister til ikke-statlige organisasjoner (NGOer). Catalonias regjering og folkevalgte ble også omfattende målrettet," skrev forfatterne av Citizen Lab-rapporten som inkluderte John Scott-Railton, Elies Campo, Bill Marczak, Bahr Abdul Razzak, Siena Anstis, Gözde Böcü, Salvatore Solimano og Ron Deibert.
De skrev at "de høyeste nivåer av katalansk regjering til medlemmer av Europaparlamentet, lovgivere og deres ansatte og familiemedlemmer" var også målrettet.
Angående hvem som ledet angrepene? Forskere sa at det "ikke definitivt tilskrev operasjonene til en spesifikk enhet", men bevis tyder på at spanske myndigheter sannsynligvis sto bak operasjonen. Den kalte ut Spanias nasjonale etterretningssenter (CNI) som den sannsynlige hjernen, med henvisning til organisasjonens historie med overvåkings- og spionasjeskandaler.
CatalanGate: Spesifikasjoner for skadelig programvare
De katalanske angriperne infiserte ofre gjennom minst to utnyttelser: null-klikk utnyttelser og ondsinnede SMS-meldinger. Nullklikk-utnyttelser er utfordrende å forsvare seg mot, gitt at de ikke krever at ofrene deltar i noen aktivitet.
Citizen Lab hevder at ofrene ble målrettet mot Pegasus-malware ved bruk av null-klikk iOS-utnyttelsen (HOMAGE) og en kjent sårbarhet for ondsinnede SMS-meldinger, rundt 20215, brukt av NSO-gruppen for å spre Pegasus-skadevare.
Forskere skrev: «HOMAGE-utnyttelsen ser ut til å ha vært i bruk i løpet av de siste månedene av 2019, og involverte en iMessage zero-click-komponent som lanserte en WebKit-forekomst i com.apple.mediastream.mstreamd-prosessen, etter en com.apple. private.alloy.photostream-oppslag for en Pegasus-e-postadresse."
HOMAGE ble også antatt å ha blitt brukt seks ganger i 2019 og 2020. Citizen Lab sa at Apple-enheter som kjører en versjon av det mobile operativsystemet større enn 13.1.3 (utgitt september 2019) ikke er sårbare for angrep.
Annen skadelig programvare/utnyttelse som brukes i kampanjer
Forskere sa at KISMET zero-click-utnyttelsen også ble brukt i angrepene. I desember 2020, Citizen Lab sa telefoner til 36 journalister ble infisert med KISMET av fire separate APT-er, muligens knyttet til Saudi-Arabia eller UAE.
WhatsApp buffer overflow bug (CVE-2019-3568), utnyttet av NSO Group i CatalanGate-angrepene, hadde tidligere blitt rapportert av Citizen Lab i 2019 og ble lappet i mai 2019. På det tidspunktet Financial Times rapporterte at et "privat selskap" antas å være NSO-gruppen opprettet nulldagsangrepet for å selge til sine kunder.
Som en del av de katalanske angrepene sier forskere at fire individer ble målrettet eller infisert ved å bruke Candiru-spywarefirmaets spyware, også kalt Candiru. Disse angrepene forsøkte å dra nytte av to nå korrigerte zero-day bugs (CVE-2021-31979, CVE-2021-33771) – begge Windows Kernel Elevation of Privilege Vulnerabilities – ble brukt av Candiru. Begge ble oppdaget av Microsoft og lappet i juli 2021.
"Vi identifiserte totalt syv e-poster som inneholder Candiru-spyware, via lenker til domenenavnstat[.]e-post," skrev forskere. "Candirus spyware viste at Candiru var designet for omfattende tilgang til offerets enhet, for eksempel å trekke ut filer og nettleserinnhold, men også stjele meldinger lagret i den krypterte Signal Messenger Desktop-appen."
I august 2021, Citizen Lab rapporterte en iMessaging-utnyttelse som aldri tidligere var sett, med null klikk hadde blitt brukt til å ulovlig spionere på Bahraini-aktivister med NSO Groups Pegasus-spyware.
Citizen Lab beskrev kampanjene som "høyt volum" og eksempler på "uhemmet misbruk" av personvern som peker på et "alvorlig fravær av regulatoriske begrensninger" over salg av spionprogrammer til offentlige kunder og andre.
«Det er nå godt etablert at NSO Group, Candiru, andre selskaper som dem, så vel som deres ulike eierskapsgrupper, totalt har mislyktes i å få på plass selv de mest grunnleggende sikringene mot misbruk av spionprogrammer. Det vi finner i Spania er nok en tiltale mot denne industrien», skrev den.
