Обнаружен новый связанный с NSO Group эксплоит zero-click

Обнаружен новый связанный с NSO Group эксплоит zero-click

Эксплоит FORCEDENTRY использовался наряду с другими для заражения устройств жертв шпионским ПО Pegasus.  

image

В своем новом отчете эксперты исследовательского центра Citizen Lab Университета Торонто рассказали о ранее неизвестной уязвимости в iOS, проэксплуатировать которую можно с помощью всего лишь одного нажатия. Согласно отчету, с февраля 2021 года уязвимость использовалась в атаках на нескольких активистов и диссидентов в Бахрейне.

Эксперты связали новый эксплоит с израильским производителем коммерческого шпионского ПО NSO Group, который в последнее время регулярно упоминается в СМИ в связи со слежкой за активистами и журналистами.

FORCEDENTRY является одной из нескольких уязвимостей, эксплуатировавшихся для заражения устройств инструментом для слежения Pegasus от NSO Group. По словам специалистов, FORCEDENTRY использовалась в более широкой хакерской кампании, начавшейся в июле 2021 года и затронувшей как минимум девять бахрейнских активистов.

«Как минимум четыре активиста были атакованы LULU – оператором Pegasus, которого можно с большой уверенностью отнести к правительству Бахрейна, известного своими злоупотреблениями шпионским ПО», – сообщается в отчете.

В данной хакерской кампании FORCEDENTRY не была главной эксплуатирующейся уязвимостью. Атака осуществлялась в три этапа, и похоже, что эксплоит для FORCEDENTRY был разработан ранее в нынешнем году для обхода новых функций, представленные Apple в iOS 14.

В настоящее время подробности об уязвимости iMessage, эксплуатировавшейся FORCEDENTRY, не раскрываются, в основном из-за того, что она еще не исправлена. На данный момент об уязвимости известно следующее:

FORCEDENTRY – эксплоит в один клик (zero-click). То есть, всего лишь получив от злоумышленника вредоносного сообщение в iMessage, жертва может заразить свой iPhone вредоносным ПО. То есть, не нужно нажимать на ссылку в сообщении или даже читать его;

FORCEDENTRY может обходить BlastDoor – новую функцию безопасности, тайно добавленную Apple в iOS 14 в прошлом году. Она работает путем помещения некоторых элементов iMessage в песочницу с целью изоляции получаемого в сообщениях вредоносного кода от взаимодействия с ОС;

FORCEDENTRY использовался в атаках на версии iOS 14.4 и 14.6, однако эксплоит также может работать и на текущих версиях iOS;

FORCEDENTRY также использовался в атаках на пользователей во Франции и Индии.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!