Grupul NSO adaugă atacul Zero-Click „MMS Fingerprinting” la Arsenalul de spyware

Un cercetător de la firma suedeză de telecomunicații și securitate cibernetică Enea a dezvăluit o tactică necunoscută anterior pe care grupul NSO din Israel a pus-o la dispoziție pentru a fi utilizată în campanii de a renunța la notoriul său instrument de spyware mobil Pegasus pe dispozitivele mobile aparținând persoanelor vizate din întreaga lume.

Cercetătorul a descoperit tehnica când a analizat o intrare intitulată „Amprenta MMS” dintr-un contract între un revânzător al Grupului NSO și autoritatea de reglementare a telecomunicațiilor din Ghana.

Contractul făcea parte din documentele judecătorești disponibile public asociate cu un proces din 2019 care implică WhatsApp și NSO Group, pentru exploatarea de către acesta din urmă a unui defect WhatsApp pentru a instala Pegasus pe dispozitive aparținând jurnaliștilor. activiști pentru drepturile omului, avocați și alții la nivel global.

Profilare dispozitiv Zero-Click pentru Pegasus

Contractul descria MMS Fingerprint ca ceva pe care un client NSO l-ar putea folosi pentru a obține detalii despre un dispozitiv țintă BlackBerry, Android sau iOS și versiunea sistemului de operare al acestuia, pur și simplu prin trimiterea unui mesaj MMS (Multimedia Messaging Service).

„Nu este necesară interacțiunea utilizatorului, implicarea sau deschiderea mesajului pentru a primi amprenta dispozitivului”, se menționa contractul.

Într-o postare pe blog săptămâna trecută, Cercetătorul Enea, Cathal McDaid, a declarat că a decis să investigheze referința, deoarece „Amprenta MMS” nu era un termen cunoscut în industrie.

„Deși întotdeauna trebuie să luăm în considerare că NSO Group poate pur și simplu „inventează” sau exagerează capacitățile pe care pretinde că le are (din experiența noastră, companiile de supraveghere își promit în mod regulat capacitățile), faptul că acest lucru a fost pe un contract, mai degrabă decât pe o reclamă, sugerează că era mai probabil să fie adevărat”, a scris McDaid.

Amprentarea din cauza unei probleme cu fluxul MMS

Investigația lui McDaid l-a determinat rapid să concluzioneze că tehnica menționată în contractul NSO Group probabil avea de-a face cu fluxul MMS în sine, mai degrabă decât cu orice vulnerabilități specifice sistemului de operare.

Fluxul începe de obicei cu dispozitivul expeditorului care trimite inițial un mesaj MMS către Centrul MMS al expeditorului (MMSC). MMSC-ul expeditorului transmite apoi acel mesaj către MMSC-ul destinatarului, care apoi notifică dispozitivul destinatar despre mesajul MMS în așteptare. Dispozitivul destinatar preia apoi mesajul de la MMSC, a scris McDaid.

Deoarece dezvoltatorii MMS l-au introdus într-un moment în care nu toate dispozitivele mobile erau compatibile cu serviciul, au decis să folosească un tip special de SMS (numit „WSP Push”) ca modalitate de a notifica dispozitivele destinatare mesajele MMS în așteptare în MMSC al destinatarului. Cererea de recuperare ulterioară nu este cu adevărat un MMS, ci o solicitare HHTP GET trimisă la o adresă URL de conținut listată într-un câmp de locație a conținutului din notificare, a scris cercetătorul.

„Lucru interesant aici este că în acest HTTP GET sunt incluse informații despre dispozitivul utilizatorului”, a scris el. McDaid a concluzionat că acesta a fost probabil modul în care Grupul NSO a obținut informațiile despre dispozitivul vizat.

McDaid și-a testat teoria folosind câteva exemple de carduri SIM de la un operator de telecomunicații din Europa de Vest și, după câteva încercări și erori, a reușit să obțină un dispozitiv de testare, informații despre UserAgent și informații despre antetul HTTP, care descriau capacitățile dispozitivului. El a concluzionat că actorii Grupului NSO ar putea folosi informațiile pentru a exploata vulnerabilități specifice în sistemele de operare mobile sau pentru a adapta Pegasus și alte încărcături utile rău intenționate pentru dispozitivele țintă.

„Sau, ar putea fi folosit pentru a ajuta la crearea de campanii de phishing împotriva omului care utilizează dispozitivul mai eficient”, a menționat el.

McDaid a spus că investigațiile sale din ultimele luni nu au descoperit nicio dovadă că cineva ar fi exploatat tehnica în sălbăticie până acum.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal