Grupa NSO dodaje atak typu „MMS Fingerprinting” polegający na zerowym kliknięciu w Spyware Arsenal

Badacz ze szwedzkiej firmy Enea z branży telekomunikacyjnej i zajmującej się cyberbezpieczeństwem odkrył nieznaną wcześniej taktykę, którą izraelska Grupa NSO udostępniła do wykorzystania w kampaniach mających na celu upuszczanie cieszącego się złą sławą mobilnego narzędzia szpiegującego Pegasus na urządzeniach mobilnych należących do docelowych osób na całym świecie.

Badacz odkrył tę technikę, przeglądając wpis zatytułowany „MMS Fingerprint” w umowie pomiędzy sprzedawcą NSO Group a organem regulacyjnym ds. telekomunikacji w Ghanie.

Umowa stanowiła część publicznie dostępnych dokumentów sądowych związanych z pozwem z 2019 r., w którym brały udział WhatsApp i Grupa NSO, w związku z wykorzystaniem przez tę ostatnią luki w WhatsApp do wdrażania Pegasusa na urządzeniach należących do dziennikarzy, działacze na rzecz praw człowieka, prawnicy i inni na całym świecie.

Profilowanie urządzeń bez kliknięć dla Pegasusa

W umowie opisano MMS Fingerprint jako narzędzie, za pomocą którego klient NSO może uzyskać szczegółowe informacje na temat docelowego urządzenia BlackBerry, urządzenia z systemem Android lub iOS oraz wersji jego systemu operacyjnego, po prostu wysyłając do niego wiadomość MMS.

„Aby otrzymać odcisk palca urządzenia, nie jest wymagana żadna interakcja użytkownika, zaangażowanie ani otwieranie wiadomości” – czytamy w umowie.

W zeszłym tygodniu w poście na blogu pt. Cathal McDaid, badacz Enei, powiedział, że zdecydował się zbadać tę wzmiankę, ponieważ „odcisk palca MMS” nie był terminem znanym w branży.

„Chociaż zawsze musimy brać pod uwagę, że NSO Group może po prostu „wymyślać” lub wyolbrzymiać możliwości, o których twierdzi, że je posiada (z naszego doświadczenia wynika, że ​​firmy monitorujące regularnie obiecują za dużo swoich możliwości), fakt, że było to na podstawie umowy, a nie reklamy, sugeruje, że bardziej prawdopodobne, że stało się to naprawdę” – napisał McDaid.

Odcisk palca ze względu na problem z przepływem wiadomości MMS

Dochodzenie McDaida szybko doprowadziło go do wniosku, że technika wymieniona w umowie z NSO Group prawdopodobnie dotyczyła samego przepływu wiadomości MMS, a nie jakichkolwiek luk specyficznych dla systemu operacyjnego.

Przepływ zazwyczaj rozpoczyna się od przesłania przez urządzenie nadawcy wiadomości MMS do Centrum MMS (MMSC) nadawcy. MMSC nadawcy przekazuje następnie tę wiadomość do MMSC odbiorcy, który następnie powiadamia urządzenie odbiorcy o oczekującej wiadomości MMS. Urządzenie odbiorcy następnie pobiera wiadomość ze swojego MMSC, napisał McDaid.

Ponieważ twórcy MMS-a wprowadzili go w czasie, gdy nie wszystkie urządzenia mobilne były kompatybilne z usługą, postanowili zastosować specjalny rodzaj SMS-ów (tzw. „WSP Push”) w celu powiadamiania urządzeń odbiorców o oczekujących wiadomościach MMS w sieci. MMSC odbiorcy. Późniejsza prośba o pobranie nie jest tak naprawdę wiadomością MMS, ale żądaniem HHTP GET wysłanym na adres URL treści podany w polu lokalizacji treści w powiadomieniu – napisał badacz.

„Interesujące jest to, że w tym HTTP GET zawarte są informacje o urządzeniu użytkownika” – napisał. McDaid doszedł do wniosku, że prawdopodobnie w ten sposób Grupa NSO uzyskała informacje o docelowym urządzeniu.

McDaid przetestował swoją teorię na kilku przykładowych kartach SIM od zachodnioeuropejskiego operatora telekomunikacyjnego i po kilku próbach i błędach był w stanie uzyskać informacje o kliencie testowym UserAgent i nagłówku HTTP opisujące możliwości urządzenia. Doszedł do wniosku, że podmioty z Grupy NSO mogą wykorzystać te informacje do wykorzystania określonych luk w zabezpieczeniach mobilnych systemów operacyjnych lub dostosowania Pegasusa i innych złośliwych ładunków do urządzeń docelowych.

„Lub można go wykorzystać do skuteczniejszego tworzenia kampanii phishingowych skierowanych przeciwko osobie korzystającej z urządzenia” – zauważył.

McDaid powiedział, że jego dochodzenie prowadzone w ciągu ostatnich kilku miesięcy nie przyniosło dotychczas żadnych dowodów na to, że ktokolwiek wykorzystywał tę technikę na wolności.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal