CatalanGate间谍软件与NSO集团有关

总部设在以色列的NSO集团利用苹果iMessage中一个未知的零点击漏洞,将Pegasus或Candiru恶意软件植入到了政治家、记者和社会活动家的iPhone手机上。

Citizen实验室在周一的一份报告中公布了这一发现,称有65人通过一个名为HOMAGE的iPhone漏洞感染了恶意软件。报告称,这个以色列公司NSO集团和第二家公司Candiru是2017年至2020年期间发生的这些攻击活动的幕后推手。

Candiru,又名Sourgum,它是一家商业公司,据称它会向世界各地的政府出售DevilsTongue恶意监控软件。苹果iMessage HOMAGE漏洞就是一个所谓的零点击漏洞,这意味着不需要和受害者进行任何互动,就可以在预定的目标上偷偷地安装恶意软件。自2019年以来,苹果的iOS软件版本不再受到HOMAGE攻击的影响。

加泰罗尼亚的政治家和活动家成为了攻击目标

Citizen实验室报告的作者写道,此次黑客攻击涵盖了加泰罗尼亚国家的各个社会领域,从学者、活动家到一些非政府组织(NGO)。加泰罗尼亚的政府和民选官员也是此次广泛攻击的目标,其中就包括了约翰-斯科特-雷尔顿、埃利斯-坎波、比尔-马尔扎克、巴赫-阿卜杜勒-拉扎克、西耶纳-安斯蒂斯、戈兹德-伯库、萨尔瓦托雷-索利马诺和罗恩-迪伯特。

他们写道,从加泰罗尼亚政府的最高层到欧洲议会的成员、立法者,以及他们的工作人员和家庭成员都成为了目标。

关于谁发动了这些攻击?研究人员说,最终也没有发现该行动是由哪个组织发动的,但是有证据表明西班牙当局可能正是此次行动的幕后推手。它指出西班牙国家情报中心(CNI)可能是主谋,并引用了该组织曾经的监视和间谍丑闻的历史。

恶意软件的具体分析

针对加泰罗尼亚进行攻击的攻击者至少使用了两个漏洞对受害者进行了攻击:零点击漏洞和恶意短信。鉴于零点击漏洞不需要受害者进行任意交互,因此防御起来很有难度。

Citizen实验室称,攻击者是利用了iOS的零点击漏洞(HOMAGE)以及NSO集团用来传播其Pegasus恶意软件的恶意短信漏洞来对用户进行攻击的。

研究人员写道:"HOMAGE漏洞似乎是在2019年的最后几个月才被犯罪分子使用的,它使用到了一个iMessage零点击组件。在com.apple.mediastream.mstreamd进程中启动一个WebKit实例,在com.apple.private. alloy.photostream中可以查找到Pegasus电子邮件地址。"

据悉,HOMAGE在2019年和2020年也被使用过6次。Citizen实验室表示,运行移动操作系统版本大于13.1.3(2019年9月发布)的苹果设备不会受到攻击。

攻击活动中使用到的其他恶意软件和漏洞

研究人员说,KISMET零点击漏洞最近也被用于网络攻击。2020年12月,Citizen实验室表示,36名记者的手机被四个独立的APTs感染了KISMET,此次攻击可能与沙特阿拉伯或阿联酋有关。

NSO集团在对加泰罗尼亚的攻击中所利用的WhatsApp缓冲区溢出漏洞(CVE-2019-3568),此前Citizen实验室就曾在2019年报告过,并在2019年5月发布了补丁。当时,《金融时报》报道了一家据信是NSO集团的私人公司发动了零日攻击。

研究人员说,作为针对加泰罗尼亚攻击的一部分,有四个人使用了Candiru间谍软件公司的间谍软件从而成为了受害者。这些攻击会试图利用两个现已打过补丁的零日漏洞(CVE-2021-31979,CVE-2021-33771)来进行权限提升。两者都是由微软发现并在2021年7月发布了补丁。

研究人员写道,我们这里总共发现了七封含有Candiru间谍软件的电子邮件,这些邮件都含有stat[.]email的链接。Candiru的间谍软件也显示,Candiru是为广泛攻击设备而设计的工具,该工具可以窃取设备的文件以及浏览器的相关内容,但也会窃取保存在加密的Signal Messenger Desktop应用程序中的信息。

2021年8月,Citizen实验室报告说,最近NSO集团的Pegasus间谍软件使用了一个此前从未见过的零点击iMessaging漏洞来非法监视Bahraini的政治活动家。

Citizen实验室认为这些攻击活动是 “大量且无节制滥用” 用户隐私的例子,表明目前在向政府客户和其他人出售间谍软件方面严重缺乏监管约束。

现在可以确定的是,NSO集团、Candiru、其他同行业的公司以及它们的各种集团,都还没有完全建立起防止滥用间谍软件的基本的保障措施。