Η ομάδα NSO προσθέτει επίθεση με μηδενικό κλικ «MMS Fingerprinting» στο Spyware Arsenal

Ένας ερευνητής στη σουηδική εταιρεία τηλεπικοινωνιών και κυβερνοασφάλειας Enea ανακάλυψε μια μέχρι πρότινος άγνωστη τακτική που η ισραηλινή ομάδα NSO έχει καταστήσει διαθέσιμη για χρήση σε εκστρατείες για την απόρριψη του διαβόητου εργαλείου κινητού κατασκοπευτικού λογισμικού Pegasus σε κινητές συσκευές που ανήκουν σε στοχευμένα άτομα σε όλο τον κόσμο.

Ο ερευνητής ανακάλυψε την τεχνική όταν εξέτασε μια καταχώριση με τίτλο "MMS Fingerprint" σε σύμβαση μεταξύ ενός μεταπωλητή του Ομίλου NSO και της ρυθμιστικής αρχής τηλεπικοινωνιών της Γκάνας.

Το συμβόλαιο ήταν μέρος δημοσίως διαθέσιμων δικαστικών εγγράφων που σχετίζονται με μια αγωγή του 2019 που αφορούσε την WhatsApp και τον Όμιλο NSO, σχετικά με την εκμετάλλευση ενός ελαττώματος του WhatsApp για την ανάπτυξη του Pegasus σε συσκευές που ανήκουν σε δημοσιογράφους. ακτιβιστές για τα ανθρώπινα δικαιώματα, δικηγόρους και άλλους παγκοσμίως.

Μηδενικό κλικ Device-Profiling για Pegasus

Το συμβόλαιο περιέγραφε το MMS Fingerprint ως κάτι που ένας πελάτης NSO θα μπορούσε να χρησιμοποιήσει για να λάβει λεπτομέρειες σχετικά με μια στοχευόμενη συσκευή BlackBerry, Android ή iOS και την έκδοση του λειτουργικού της συστήματος, απλώς στέλνοντας ένα μήνυμα Υπηρεσίας Μηνυμάτων Πολυμέσων (MMS).

«Δεν απαιτείται αλληλεπίδραση χρήστη, αφοσίωση ή άνοιγμα μηνύματος για τη λήψη του δακτυλικού αποτυπώματος της συσκευής», σημειώνεται στη σύμβαση.

Σε μια ανάρτηση ιστολογίου την περασμένη εβδομάδα, Ο ερευνητής της Enea, Cathal McDaid, είπε ότι αποφάσισε να διερευνήσει αυτήν την αναφορά επειδή το "MMS Fingerprint" δεν ήταν γνωστός όρος στον κλάδο.

«Ενώ πάντα πρέπει να θεωρούμε ότι η NSO Group μπορεί απλώς να «εφευρίσκει» ή να υπερβάλλει τις δυνατότητες που ισχυρίζεται ότι έχει (από την εμπειρία μας, οι εταιρείες παρακολούθησης τακτικά υπερ-υπόσχονται τις δυνατότητές τους), το γεγονός ότι αυτό ήταν σε σύμβαση και όχι σε διαφήμιση υποδηλώνει ότι ήταν πιο πιθανό να είναι αληθινό», έγραψε ο McDaid.

Δακτυλικά αποτυπώματα λόγω προβλήματος με τη ροή MMS

Η έρευνα του McDaid τον οδήγησε γρήγορα στο συμπέρασμα ότι η τεχνική που αναφέρεται στη σύμβαση του Ομίλου NSO πιθανότατα είχε να κάνει με την ίδια τη ροή MMS και όχι με οποιεσδήποτε ευπάθειες ειδικά για το λειτουργικό σύστημα.

Η ροή συνήθως ξεκινά όταν η συσκευή του αποστολέα υποβάλλει αρχικά ένα μήνυμα MMS στο Κέντρο MMS του αποστολέα (MMSC). Στη συνέχεια, το MMSC του αποστολέα προωθεί αυτό το μήνυμα στο MMSC του παραλήπτη, το οποίο στη συνέχεια ειδοποιεί τη συσκευή του παραλήπτη για το αναμονή του μηνύματος MMS. Στη συνέχεια, η συσκευή παραλήπτη ανακτά το μήνυμα από το MMSC της, έγραψε ο McDaid.

Επειδή οι προγραμματιστές του MMS το εισήγαγαν σε μια εποχή που δεν ήταν όλες οι κινητές συσκευές συμβατές με την υπηρεσία, αποφάσισαν να χρησιμοποιήσουν έναν ειδικό τύπο SMS (που ονομάζεται "WSP Push") ως τρόπο ειδοποίησης των συσκευών παραλήπτη για εκκρεμή μηνύματα MMS στο MMSC του παραλήπτη. Το επόμενο αίτημα ανάκτησης δεν είναι στην πραγματικότητα ένα MMS αλλά ένα αίτημα HHTP GET που αποστέλλεται σε μια διεύθυνση URL περιεχομένου που αναφέρεται σε ένα πεδίο τοποθεσίας περιεχομένου στην ειδοποίηση, έγραψε ο ερευνητής.

"Το ενδιαφέρον εδώ, είναι ότι σε αυτό το HTTP GET, περιλαμβάνονται πληροφορίες για τη συσκευή χρήστη", έγραψε. Ο McDaid κατέληξε στο συμπέρασμα ότι αυτό πιθανότατα ήταν ο τρόπος με τον οποίο η ομάδα NSO έλαβε τις στοχευμένες πληροφορίες συσκευής.

Ο McDaid δοκίμασε τη θεωρία του χρησιμοποιώντας μερικά δείγματα καρτών SIM από έναν τηλεπικοινωνιακό φορέα της Δυτικής Ευρώπης και μετά από κάποια δοκιμή και λάθος μπόρεσε να λάβει μια δοκιμή συσκευών UserAgent και πληροφορίες κεφαλίδας HTTP, που περιέγραφαν τις δυνατότητες της συσκευής. Κατέληξε στο συμπέρασμα ότι οι φορείς του Ομίλου NSO θα μπορούσαν να χρησιμοποιήσουν τις πληροφορίες του για να εκμεταλλευτούν συγκεκριμένες ευπάθειες σε λειτουργικά συστήματα κινητής τηλεφωνίας ή για να προσαρμόσουν το Pegasus και άλλα κακόβουλα ωφέλιμα φορτία για συσκευές-στόχους.

«Εναλλακτικά, θα μπορούσε να χρησιμοποιηθεί για να βοηθήσει στη δημιουργία εκστρατειών phishing εναντίον του ανθρώπου που χρησιμοποιεί τη συσκευή πιο αποτελεσματικά», σημείωσε.

Ο ΜακΝτέιντ είπε ότι οι έρευνές του τους τελευταίους μήνες δεν έχουν αποκαλύψει κανένα στοιχείο που να αποδεικνύει ότι κάποιος εκμεταλλεύεται την τεχνική στη φύση μέχρι στιγμής.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal