В Мексике шпионский скандал стал причиной острого политического кризиса, в результате которого своего поста может лишиться вновь избранный глава государства Андрес Мануэль Лопес Обрадор.

На этот раз в повестке - новый кейс со следами израильского spyware Pegasus на телефоне Камило Висенте Овалье, главного уполномоченного в правительстве Мексики по правам человека.

Дело в том, что именно он в составе спецкомиссии должен был согласно обещаниям президента и расследовать события грязной войны, а также другие крупнейшие скандалы с нарушениями прав человека в Мексике.

А теперь ему придется - начать с себя.

И все бы ничего, но только две недели назад шпионское ПО Pegasus было найдено и в телефоне заместителя министра по правам человека в министерстве и давнего союзника президента, Алехандро Энсинаса, другого участника из той же комиссии по расследованию.

Согласно заключениям специалистов Citizen Lab, наиболее вероятным заказчиком слежки могла стать мексиканская армия.

Причем, еще в апреле The New York Times сообщала, что мексиканское МО оставалось единственным агентством в Мексике, все еще эксплуатирующим Pegasus.

Citizen Lab выяснили также, что еще при предыдущем президенте Энрике Пенья Ньето, мексиканское правительство агрессивно использовало Pegasus для мониторинга драгдиллеров, журналистов, активистов и оппозицию. А сменивший его Лопес Обрадови должен был положить конец незаконному шпионажу.

Естественно, в качестве официальной реакцией администрации Лопеса стало заявление о том, что Генеральная прокуратура и национальное разведагентство CISEN когда-то использовали Pegasus, но больше не используют.

А военные вовсе сообщили, что использовали вредоносное ПО только в период с 2011 по 2013 год, несмотря на утекшие документы о приобретении ПО от 2019 года.

Как бы то ни было, расследования инициируются, софт работает, борцы за права борются - а SecAtor продолжает наблюдение.

Владельцы яблочных устройств все чаще становятся целями изощренных кибератак, как это было в случае с АРТ-кампаниями Operation Triangulation, шпионским ПО Pegasus и Predator.

Однако к ним теперь присовокупились и традиционные фишинговые атаки. Совсем недавно первый инцидент произошел с пользователем из КНР.

Как удалось выяснить, с помощью вредоносного фишингового приложения для iOS под названием Рецепт Дацюань в App Store злоумышленник смог злоупотребить легитимной авторизацией Apple, чтобы обойти 2FA и полностью взять под контроль Apple ID жертвы.

Хакеру удалось привязать к Apple ID свой номер, сбросить и стереть девайс, а затем сгенерировать более 20 платежных ордеров, которые, как выяснилось, оказалось не так просто отменить.

Все технические детали еще изучаются, но атака сработала, несмотря на все заявленные меры безопасности Apple, включая и 2FA. А значит, схема рабочая и ее будут обкатывать.

Вернемся к Apple.

Как уже было отмечено, две 0-day, использовались как часть цепочки эксплойтов iMessage с нулевым щелчком BLASTPASS для развертывания Pegasus от NSO Group на полностью пропатченных девайсах через вложения PassKit.

Ошибки затрагивают в платформы Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружена Apple).

Первая уязвимость связана с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к RCE на непропатченных устройствах.

Другая, CVE-2023-41061, - это проблема проверки, которую можно использовать с помощью вредоносного вложения для RCE на целевых устройствах.

Список затронутых устройств достаточно обширен, поскольку обе ошибки затрагивают как старые, так и новые модели, включая: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Ventura и Apple Watch Series 4 и новее.

В экстренном порядке Apple выпустила исправления в рамках macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.

Всего же с начала года компания закрыла 13 активно эксплуатируемых уязвимостей. Вероятно, это еще не предел.

По всей видимости, в КНР уже что-то знали или знают.

Ведь непосредственно перед раскрытием новых «шпионских» 0-day в Apple, правительство КНР ввело запрет на использование iPhone и других устройств иностранных брендов госслужащими.

При этом чиновники сослались на необходимость защитить правительственную среду от иностранного шпионажа.

И все это напоминает историю, когда в АП РФ сотрудникам запретили яблочную технику, а несколько месяцев спустя общественность благодаря Лаборатории Касперского узнала об Операции Триангуляции и сотрудничестве Apple с АНБ в рамках реализации кибершпионажа за российскими пользователями.

Но будем посмотреть.

Google выпустила обновление безопасности для исправления 0-day в Chrome 116.

CVE-2023-4863, имеющая уровень критической серьезности, описывается как проблема переполнения буфера кучи в компоненте WebP, которую можно использовать для сбоя приложения и потенциального выполнения произвольного кода.

WebP - это формат изображений, который обеспечивает улучшенное сжатие и качество по сравнению с известными форматами JPEG и PNG и поддерживается всеми современными браузерами, включая Chrome, Firefox, Safari, Edge и Opera.

Согласно заявлениям Google, эксплойт для CVE-2023-4863 существует и используется в дикой природе.

Об уязвимости стало известно 6 сентября после сообщения Apple Security Engineering and Architecture (SEAR) и Citizen Lab, которая, как известно, специализируется последнее время на раскрытии деятельности поставщиков spyware.

Как обычно, Google воздержалась от предоставления технических подробностей, а также обстоятельств наблюдаемой эксплуатации. Но учитывая, что за раскрытием стояли SEAR и Citizen Lab, с большой долей вероятности, уязвимость была использована одним из поставщиков шпионского ПО.

Причем патч Google Chrome появился всего через несколько дней после того, как Apple объявила об исправлении 0-day в iOS и macOS, которую обнаружили Citizen Lab в ходе анализа ее эксплуатации, связанной со шпионским ПО Pegasus от NSO Group.

CVE-2023-4863 - это уже четвертая 0-day, исправленная Google в Chrome в этом году после устранения CVE-2023-3079 (путаница типов в движке V8) в июне, а также CVE-2023-2033 (путаница типов в движке V8) и CVE-2023-2136 (целочисленное переполнение в Skia) в апреле.

Последняя версия Chrome теперь доступна пользователям как 116.0.5845.187 для macOS и Linux и как версии 116.0.5845.187/.188 для Windows.

В деле Pegasus впервые за все долгое время расследований и разоблачений spyware-кампаний прозвучали обвинения в адрес России.

Поводом стал инцидент с заражением шпионским ПО издателя иноагентской «Медузы» Галины Тимченко.

Еще в конце июня ее срочно вызвали в рижский офис издания, где раскрыли страшную тайну об атаках злых и беспощадных «проправительственных хакеров» на ее устройства Apple. В реальности телефон был заражен шпионской ПО Pegasus производства легендарной израильской NSO Group.

Специалисты из Access Now и Citizen Lab поспешили сразу же предположить, что за атакой стоит Россия, ведь заражение произошло через две недели после признания издания нежелательной организацией.

Правда, факты говорят об обратном, и впоследствии многие из здравомыслящих исследователей все же признали, что компрометация произошла 10 февраля 2023 года, когда Тимченко, проживающая ныне в Латвии, посещала в Германии закрытую встречу с представителями российских «независимых» СМИ.

В связи с чем, подозрения обоснованно пали на спецслужбы Эстонии, Германии или Латвии.

Как мы неоднократно уже писали, политика NSO Group прямо указывает на недопустимость сотрудничества с недружественными НАТО государствами и режимами, а также передачи ПО в руки частных клиентов.

Несмотря на это, журналисты «Медузы» все же намекают на вероятность того, что по просьбе России телефон могли взломать ее союзники по СНГ.

Но тогда в этом случае - однозначно The Washington Post не стал бы писать о том, что исследователи не могут определить инициатора заражения.

При том, что NSO Group давно лежит под АНБ и ЦРУ, которые используют кейс с Pegasus в качестве рычага политического и экономического влияния.

Болтун - находка для шпиона, особенно, если он - еще и владелец устройств Apple.

Компания вноаь выпустила внеплановые исправления для очередных 3 активно эксплуатируемых 0-day в атаках на пользователей iPhone и Mac, предположительно, с использованием spyware.

Две ошибки были обнаружены в ядре браузера WebKit (CVE-2023-41993) и системе безопасности (CVE-2023-41991), которые позволяют злоумышленникам обходить проверку подписи с помощью вредоносных приложений или выполнять произвольный код через вредоносные сайты.

Третий был найден в Kernel Framework, который предоставляет API и поддержку расширений ядра и резидентных драйверов устройств.

Локальные злоумышленники могут использовать эту уязвимость (CVE-2023-41992) для повышения привилегий.

В число затронутых устройств вошли как. Новые, так и старые модели устройств, включая iPhone 8 и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Monterey и новее, Apple Watch Series 4 и новее.

Apple представила macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1 с исправлениями уязвимости, устранив проблемы с проверкой сертификата и улучшив проверки.

В своих рекомендациях Apple признала, что проблема могла активно использоваться в версиях iOS до iOS 16.7, но еще не предоставила дополнительной информации.

Учитывая, что об атаках и новых 0-day сообщили исследователи Citizen Lab и Google TAG, речь вновь может идти о задействовании коммерческого шпионского ПО.

Ведь раскрытые ими же ранее в этом месяце уязвимости нулевого дня использовались как часть цепочки эксплойтов с нулевым щелчком мыши, получившей название BLASTPASS, для заражения полностью пропатченные iPhone с коммерческим шпионским ПО Pegasus от NSO Group.

Но будем посмотреть, может что-то новенькое.

Исследователи французской Sekoia решили приложить свою руку к делу разоблачения поставщика шпионского ПО Cytrox (как они называют Lycantrox), опубличив находящийся под его управлением один из инфраструктурных кластеров, который используется для компрометации целей.

Свой поступок они объяснили выражением солидарности с исследователями Citizenlab, которые накануне сообщали об инциденте с Predator в отношении iPhone бывшего депутата египетского парламента Ахмеда Эльтантави.

Кроме того, Sekoia вспомнила и другие отчеты CitizenLab и META (признана экстремистской), посвященные Cytrox и ее дочернему консорциуму по киберразведке, известному как Intellexa.

Еще в декабре 2021 года исследователи нашли на потенциальные связи между клиентами Cytrox (Lycantrox) и Candiru (Karkadann), обусловленные сходством в инфраструктуре, один из кластеров которой представляет собой своеобразные точки входа для цепочки эксплойтов, состоящих в арсенале поставщиков spyware.

Как полагают исследователи, масштаб инфраструктуры предполагает, конечно же, более широкое ее использование, однако конкретных подтверждающих доказательств пока не получено.

Найденная С2-инфраструктура Lycantrox включает VPS в нескольких автономных системах автономных системах на территории Португалии, Анголы, Казахстана, Индонезии, Египта, Мадагаскара и стран Персидского залива.

При этом каждому клиенту Lycantrox были выделены свои собственные экземпляры VPS (с двумя открытыми портами: SSH для администрирования и 443, управляемый Nginx) и доменные имена, настроенные под конкретные цели.

Было обнаружено 121 уникальное активное доменное имя, с высокой степенью достоверности связанное с инфраструктурным кластером активности Lycantrox и конкретными целями в той или иной локации.

Например, относящиеся к Мадагаскару домены свидетельствовали о приобретении спецслужбами Predator для проведения политической слежки внутри страны за несколько месяцев до выборов.

Что вполне соотносится с данными Intelligence Online, согласно которым дочерняя Intellexa получала от французской компании контракт с правительством Мадагаскара на сбор и обработку данных перехвата.

Домены suarajubi[.]net и suarajubi[.]com, вероятно, связаны с Jubi TV в провинции Западное Папуа, финансируемым Виктором Мамбором, журналистом и активистом папуасской автономии, за которым вполне могли следить индонезийские спецслужбы.

Учитывая, что Казахстан ранее уже активно работала с NSO, RCS Lab и FinFisher, исследователи Sekoia.io не нашли ничего удивительного, обнаружив в списке соответствующие домены, связанные с казахскими организациями в сфере медиа, нефтедобычи и финансами.

Безусловно, поставщик Predator после отчета уже предпринял необходимые меры для сокрытия инфраструктуры, однако чтобы понять устремления его клиентов и потенциальных жертв (в рамках будущих кампаний уже с новыми C2) представленного в отчете списка IOC вполне достаточно.

Похоже что, анонсированные в 2022 году Apple режим блокировки и уведомления об угрозах - это больше инструменты политики, а нежели меры для обеспечения безопасности.

Как заявляет компания, с момента активации функции уведомлений оповещения получили пользователи из 150 стран, ставшие потенциально жертвами кибершпионажа.

В числе последних получателей тревожных сообщений стали политические деятели из Индии, представляющие в национальном парламенте оппозиционные партии, включая Национальный конгресс, AIMIM, AAP и Коммунистическую партию.

Причем предполагаемые попытки взлома, по версии Apple, произошли за несколько недель до намеченных выборов членов нового состава парламента.

Безусловно, оппозиционеры не упустили возможности подзаработать очки перед выборами, обвинив во всем действующего премьер-министра Моди и все индийское правительство в его лице.

А самое замечательное в этой истории, что уведомления, по словам разработчиков Apple, могут оказаться ложными, а некоторые атаки и вовсе могут быть лишь догадкой. Обнаружение таких атак опирается на сигналы разведки об угрозах, которые часто «несовершенны и неполны».

Конкретно по индийскому кейсу Apple подтвердила отправку уведомлений, но добавила, что не приписывает угрозы какому-либо конкретному злоумышленнику.

На деле же после расследования с участием официальных служб вообще оказалось, что полученные уведомления об угрозах были расплывчатыми и представляли собой лишь оценки.

Основания подозревать киберслежку у оппозиции, конечно же, есть, после того, как ранее местных активистов уже атаковали с помощью шпионского ПО Pegasus.

Правда, после скандала и попадания NSO в черный список правительства США, контракты были свернуты, а нового поставщика, как сообщает Financial Times, правительство подыскивает еще с марта.

Но будем посмотреть.

Специалисты GReAT из Лаборатории Касперского разработали новый метод обнаружения индикаторов заражения устройств iOS шпионским ПО под такими именитыми брендами, как Pegasus, Reign и Predator.

Новая методология была заложена в основу практичного инструмента, который можно самостоятельно применять для проверки своих устройств iPhone на предмет взлома.

Утилита позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов.

Как установили исследователи, аномалии, ассоциируемые с вредоносным ПО Pegasus, отражаются в системном логе Shutdown.log, хранящемся в архиве sysdiag любого мобильного устройства на iOS.

В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что такие аномалии чаще проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.

Среди зафиксированных аномалий былии записи о зависших процессах, препятствующих перезагрузке, связанные с Pegasus, а также другие следы заражения, ранее представленные исследователями Citizenlab.

Опытным путем специалисты ЛК подтвердили надежность своего метода на основании анализа индикаторов в логе, обработав и другие артефакты iOS с помощью Mobile Verification Toolkit (MVT).

Проанализировав Shutdown.log в инцидентах Pegasus, эксперты Лаборатории Касперского увидели стандартные пути заражения (а именно “/private/var/db/”), которые оказались аналогичны выявленным в заражениях iOS другим вредоносным ПО - Reign и Predator.

Теперь благодаря Лаборатории Касперского пользователям удастся избежать дорогостоящего и трудоемкого расследования инцидентов со spyware, не прибегая к изучению зашифрованной резервной копии iOS или анализу сетевого трафика, что отнимают много времени или требуют высокой квалификации.

Легкость нового метода делает его широкодоступным и позволяет проводить ретроспективную оценку с учетом хранения записей в течение нескольких лет.

Опять же, это не панацея, способная обнаружить все вредоносные программы, ибо метод зависит от циклов перегрузки устройства.

Чтобы обезопасить устройства от подобных зловредов, эксперты Лаборатории Касперского посоветовали пользователям:

- ежедневно перезагружать устройство
- включить режим Lockdown
- отключить iMessage и Facetime
- регулярно обновляться
- проверять бэкапы и проводить системную диагностику

Более подробная информация о новых методах обнаружения индикаторов заражения устройств на iOS шпионским ПО представлена здесь.

͏Я: отсел в автобусе на уединенное место и пишу в комментах канала SecAtor, что iOS защищенная платформа и ее можно вообще не обновлять.

Оператор Pegasus:

Не успела Apple предупредить своих пользователей в 92 странах об угрозе атак с использованием spyware, как на ландшафте угроз замаячила новая кампания, нацеленная на Южую Азию с обновленной версией шпионского имплантата LightSpy для Apple iOS.

LightSpy, впервые задокументированный в 2020 году Trend Micro и Лабораторией Касперского, представляет собой продвинутый бэкдор iOS, распространяющийся через скомпрометированные новостные ресурсы.

LightSpy является полнофункциональным и модульным решением и предназначен для сбора конфиденциальной информации из популярных приложений, включая Telegram, QQ и WeChat, а также данные KeyChain iCloud, историю браузера Safari и Google Chrome.

Кроме того, LightSpy может собирать данные о подключенных Wi-Fi сетях, список установленных приложений, делать фотографии с помощью камеры устройства, записывать звук и выполнять команды, полученные с C2.

LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером C2. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет.

Последняя версия этого шпионского ПО, получившая название F_Warehouse, демонстрирует более серьезные возможности для шпионажа. Исследователи из BlackBerry полагают, что новая кампания нацелена на Индию.

Анализ, проведенный специалистами ThreatFabric еще в октябре 2023 года, выявил связь между LightSpy и другим шпионским ПО для Android, известным как DragonEgg, что указывает на вероятные связи с китайской APT41, однако точной атрибуции до настоящего времени нет.

Тем не менее, в разработке LightSpy принимали участие носители китайского языка, а один из серверов, с которым взаимодействует вредоносное ПО, расположен в Китае и отображает сообщение на китайском языке при вводе неверных учетных данных.

Не пресловутый Pegasus конечно, но возвращение LightSpy с более расширенным функционалом сигнализирует об эскалации угроз в сфере мобильного шпионажа.

Журналисты The Guardian пролили свет на десятилетнюю секретную операцию Израиля, связанную с кибершпионажем и давлением на членов Международного уголовного суда (МУС).

Спецслужбы Израиля задействовали все свои самые передовые киберинструменты и перехватывали переписку, звонки, электронные письма и документы должностных лиц МУС, в том числе главного прокурора Карима Хана и его предшественницы на посту Фаты Бенсуда.

Благодаря этому премьер-министру Израиля Биньямину Нетаньяху удалось заранее узнать о намерениях прокурора выдать ордера на арест израильтян.

По данным журналистов, разведоперация была под особым контролем Нетаньяху и велась с позиции Шин Бет, Аман и Unit 8200.

Инициирована она была в 2015 году после признания в ООН и присоединения Палестины к суду, а приступившая тогда к расследованию ситуации в Палестине Фату Бенсуда получила первые угрозы буквально уже через месяц.

По словам источников, благодаря полному доступу к палестинской телекоммуникационной инфраструктуре сотрудники разведки могли перехватывать звонки, не устанавливая шпионское ПО на устройства чиновников МУС.

По словам нынешних и бывших сотрудников разведки, военные кибернаступательные группы и Шин Бет систематически следили за сотрудниками палестинских НПО и Палестинской администрации, которые сотрудничали с МУС, с помощью шпионского ПО Pegasus от NSO.

Позже, когда дело запахло жаренным, Бенсудой занялся сам шеф Моссада Йосси Коэн, который провел ряд неформальных встреч с ней, буквально каждый раз неожиданно появляясь рядом с ней из ни от куда.

Не сумев найти общий язык, израильская разведка накопала кучу компромата на супруга прокурора МУС, однако и это не помогло. И в конце 2020 года Бенсуда передала дело Палестины в палату предварительного производства.

В этот момент израильтяне обратились за помощью к США, которым также МУС угрожал расследованиями военных преступлений в Афганистане.

По итогу США ввели против Бенсуды санкции и ограничения, сославшись на неконкретную информацию о финансовой коррупции и должностных преступлениях на самых высоких уровнях прокуратуры МУС.

В свою очередь, офицеры израильской разведки сами стали объектом расследования со стороны МУС, членов которого заблаговременно предупредили о слежке.

Теперь результаты на первых заголовках ведущих СМИ Ближнего Востока и Запада, а Бенсуда завершила расследование дела Палестины, положив начало процессу, который сейчас может привести к уголовным обвинениям.

В общем, демократия на демократии едет и демократией погоняет.

Исследователи Intel 471 сообщают об увеличении числа атак и субъектов, заинтересованных во вредоносном ПО и других эксплойтах, нацеленных на устройства Apple.

В последнее время устройства macOS все чаще становятся мишенью для киберпреступных группировок.

По мнению Intel 471, рост объясняется более широким внедрением устройств Apple, особенно на малых и средних предприятиях.

Исследователи обнаружили более 40 субъектов, которые с прошлого года проявляли интерес к приобретению вредоносного ПО для macOS, а также подыскивали сервисы для распространения уже существующего ПО.

Как отмечает авторитетный эксперт Патрик Уордл, количество новых вредоносных ПО для macOS в 2023 году удвоилось по сравнению с 2022 годом.

В свою очередь, Group-IB зафиксировала пятикратный рост подпольных продаж, связанных с кражей информации для macOS.

Наиболее распространенным вредоносным ПО на компьютерах Mac является infostealers, предназначенный для сбора учетных данных для входа, сеансовых cookie и другой конфиденциальной информации, которая затем реализуется на нелегальных форумах.

Причем, как отмечают в Intel 471, некоторые злоумышленники проводят исследования спроса на вредоносное ПО для macOS.

В мае 2023 года они заметили злоумышленника под псевдонимом Callisto, который выяснял у пользователей, заинтересованы ли они в «краулере с функциональностью RedLine, нацеленном на системы macOS», и интересовался их мнением по функциям и ценам.

Помимо стиллера RedLine, одного из самых часто загружаемых вредоносных ПО в 2023 году, не меньшей популярностью пользовались Atomic Stealer и ShadowVault.

Программы-вымогатели для macOS не так распространены, как другие типы вредоносного ПО, однако попытки разработать штаммы, способные поражать устройства Apple, уже предпринимаются.

По данным Moonlock, в 2023 году ransomware и RAT составили около 15% от всех вредоносных программ, используемых для атак на пользователей macOS.

В 2023 году многочисленные уязвимости, влияющие на Apple macOS, были задействованы и эксплуатировались в дикой природе злоумышленниками.

Как известно, наиболее серьезные из них были оперативно внедрены в работу операторами spyware, включая Cytrox и Pegasus, а эксплойты для них продавались в киберподполье по цене в 2,7 миллиона долларов.

Хотя macOS по-прежнему уступает Windows по общей доле рынка ОС, что является главным сдерживающим фактором для киберпреступников, разрабатывающих вредоносное ПО, ситуация может измениться.

В краткосрочной перспективе инфостиллеры и RAT-угрозы останутся двумя наиболее распространенными угрозами для macOS, при этом распространение штаммов ransomware и других типов ВПО будет оставаться умеренным.

В долгоиграющем деле с NSO Group новый поворот: Apple дала заднюю и теперь пытается отклонить собственный же иск.

В четверг юристы Apple выкатили ходатайство об отклонении иска против NSO Group, заявив, что дальнейшее рассмотрение дела приведет к раскрытию критически важной информации о безопасности.

Apple отметила, что ее усилия и без того существенно ослабили позиции NSO Group, к тому же появились новые поставщики шпионского ПО, а это значит, что судебное преследование не окажет значимого влияния на отрасль в целом.

При этом мощная шпионская ПО Pegasus от NSO Group, действующая Zero Click, продолжает оставаться одним из самых передовых и распространенных в мире коммерческих инструментов для слежки.

Несмотря на доверие к суду, Apple все же оказалась не готовой поделиться своими секретами, ссылаясь на аналогичный процесс WhatsApp против NSO Group, в который вмешались израильские власти.

По данным Apple со ссылкой на сообщения СМИ, NSO предположительно смогла получить строго контролируемые материалы, взломав Министерства юстиции Израиля, в связи с чем разработчик из Купертино свои секреты предпочел оставить при себе.

Трехгодичная сага в борьбе за конфиденциальность и безопасность пользователей Apple закончилась фактически ничем, а вся суета, вероятно, была частью более серьезной закулисной игры, где интересы владельцев яблок - на заднем плане.

Собственно, об этом мы говорили с самого начала - передел рынка spyware - в самом разгаре.

Помимо нагнетания истерии вокруг китайской киберугрозы, штаты преуспевают и в передел рынка поставщиков коммерческого spyware.

Министерство торговли США исключило ведущего канадского производителя оборудования для Интернет-цензуры Sandvine из санкционных списков после того, как компания сделала публичное заявление, пообещав прекратить контракты с «авторитарными» странами.

К настоящему времени канадская компания свернула деятельность в 32 странах и планирует выйти еще из 24 к апрелю следующего года.

Sandvine также сменила генерального директора, создала подкомитет по правам человека и пообещала направлять 1% своей прибыли на защиту свободы в Интернете и цифровых прав.

Компания стала первым поставщиком коммерческого spyware, которому удалось покинуть черные списки, куда угодила восемь месяцев назад, в феврале по указанию правительства США за предоставление репрессивным режимам технологий массового слежки в Интернете.

Минторг не назвал имена заказчиков, но, как уже было известно, компания поставляла оборудование для Интернет-наблюдения и цензуры в Египет, Беларусь, Эритрею, ОАЭ, Узбекистан и многие другие страны.

Прецедент с исключением Sandvine из-под санкций определено может сыграть на руку израильскому поставщику шпионского ПО NSO Group, который уже больше года активно лоббирует свою кандидатуру на исключение из черного списка.

Но решение понравилось не всем, в интервью телеканалу CTV Kitchener директор Citizen Lab Рон Дейберт раскритиковал решение Министерства торговли США.

Ведь в свое Citizen Lab была одной из первых, кто сообщал о злоупотреблениях технологиями Sandvine, включая Predator 2023 в отчете Wires, что привело к внесению Sandvine в санкционные списки.

Удивляться не стоит, исследования и политика пересекаются только тогда дяде Сэму нужны услуги таких, как Citizen Lab и прочих, а если вопрос решен - их отчеты ничего не стоят. Так что собаки лают, а караван идет.

Кто следующий ляжет под большого брата? Будем посмотреть.

Великое соитие жабы и гадюки

Позавчера в сети появились документы юридического противостояния META (дада, экстремизм, запрещено и порицаемо) и NSO Group и Q Cyber Technologies (авторы и операторы малвары для кибершпионажа под названием Pegasus). Дело тянется с 2019 года и сфокусировано вокруг эксплуатации WhatsApp в качестве вектора первичного заражения.

Там есть пара интересных моментов:
1. NSO продолжало эксплуатировать WhatsApp после того, как на них подали в суд. То ли "Слабоумие и отвага" то ли "А чо ты мне сделаешь, пёс?"
2. NSO использовали новый вектор атаки под названием "Erised" - по сути тот же zero-click RCE, только, судя по всему, очень хитрый. И использовали ПОСЛЕ СУДЕБНОГО ИСКА. Видимо ну очень хотелось. Считается, что Erised — один из многих подобных векторов вредоносного ПО — в совокупности с другими векторами входит в состав "Hummingbird" — которые NSO Group разработала для заражения Pegasus'ом через WhatsApp, В "Hummingbird" входят "Heaven" и "Eden" (CVE-2019-3568, использовался для заражения примерно 1400 устройств)
3. NSO зработали свои собственные WhatsApp Installation Server' ('WIS') для отладки малвары и создания инфраструктуры.
4. Вектор "Heaven" использовал поддельные сообщения, чтобы заставить сигнальные серверы WhatsApp (WhatsApp signaling servers), которые используются для аутентификации клиента (тобишь установленного приложения), направлять целевые устройства на сторонний сервер ретрансляции, контролируемый NSO Group
5. «NSO также признает, что вредоносные векторы использовались для успешной установки Pegasus на «сотни и десятки тысяч» устройств». Ну тут комментировать - только портить

Процесс еще не закончился. Надеюсь, что будет еще пачка полезной инфы, которая будет полезна.

Исследователи из iVerify пришли к весьма тревожным для сообщества выводам по результатам своего масштабного исследования в отношении безопасности мобильных устройств.

Если традиционно исследования мобильных вредоносных ПО ограничивались небольшой выборкой устройств, то новый подход с более широкой базой позволил раскрыть принципиально важные сведения о текущем ландшафте мобильных угроз.

Для этого iVerify задействовала инструмент Mobile Threat Hunting, благодаря которому реализовала сканирование и изучение более 2500 устройств пользователей.

Результаты удивили: на семи устройств исследователи обнаружили следы шпионского ПО Pegasus. Причем это были не просто недавние заражения.

Анализ показал сложную временную шкалу взломов: один эксплойт конца 2023 года на iOS 16.6, еще одно потенциальное заражение Pegasus в ноябре 2022 года на iOS 15 и пять более старых заражений, датируемых 2021 и 2022 годами на iOS 14 и 15.

Зафиксированный показатель 2,5 зараженных устройств на 1000 сканирований - значительно превышает любые другие из ранее опубликованных отчетов.

Теперь можно забыть про общераспространенный тезис о том, что spyware имеет ограниченный целевой характер, касается лишь селебрити и никак не может попасть на телефон рядового пользователя.

Для понимания реальной ситуации можно полагать, что из 13,1 млн. жителей Москвы потенциальными жертвами Pegasus могли стать почти 33 тысяч пользователей.

Как мы предполагали, удавки, накинутые на известных поставщиков spyware, в ближайшей перспективе будут сжиматься и достаточно ловко.

Первой, по всей видимости, в небытие отправят NSO Group, которая потерпела фиаско в пятилетнем судебном процессе, связанном с Pegasus, который был нацелен на уязвимости в мессенджере WhatsApp.

WhatsApp изначально подала жалобу на NSO Group еще в конце 2019 года, обвиняя ее в доступе к своим серверам без разрешения для установки инструмента Pegasus на 1400 устройств в мае того года.

Атаки были нацелены на 0-day в функции голосовых вызовов приложения (CVE-2019-3568, CVSS: 9,8) для инициирования развертывания шпионского ПО.

Затем добавились новые обвинения, в связи с тем, что NSO Group продолжала использовать WhatsApp для распространения шпионского ПО вплоть до мая 2020 года.

В свою защиту NSO Group неоднократно утверждала, что ее софт предназначался исключительно для использования государственными и правоохранительными органами для борьбы с тяжкими преступлениями, спасения похищенных детей и оказания содействия в ЧС.

Но на днях федеральный окружной судья Филлис Дж. Гамильтон в штате Калифорния ввынес решение в пользу Meta (признана в РФ экстремистской), отмечая, что представленные суду доказательства показывают, что код Pegasus ответчиков отправлялся через серверы истцов 43 раза в течение соответствующего периода времени в мае 2019 года.

Как отметил судья, NSO Group неоднократно не предоставляла соответствующих сведений и не выполняла постановления суда относительно таких сведений, имея в виду неспособность компании предоставить исходный код Pegasus.

По итогу суд признал NSO Group ответственной за нарушение договора, придя к выводу, что компания нарушила условия обслуживания WhatsApp, которые запрещают использование платформы обмена сообщениями в вредоносных или незаконных целях.

Теперь дальнейшее производство по делу будет вестись для решения вопроса возмещения ущерба, а учитывая практику штатского судопроизводства, суммы будут серьезные, возможно даже неподъемные для ответчика.

Но будем посмотреть.