NSO Group lägger till "MMS Fingerprinting" Zero-Click Attack till Spyware Arsenal

En forskare på svenska telekom- och cybersäkerhetsföretaget Enea har grävt fram en tidigare okänd taktik som Israels NSO-grupp har gjort tillgänglig för användning i kampanjer för att släppa sitt ökända Pegasus mobila spionprogram på mobila enheter som tillhör riktade individer över hela världen.

Forskaren upptäckte tekniken när han tittade på en post med titeln "MMS Fingerprint" på ett kontrakt mellan en NSO Group-återförsäljare och Ghanas telekomregulator.

Kontraktet var en del av allmänt tillgängliga domstolsdokument associerade med en rättegång 2019 som involverade WhatsApp och NSO Group, angående den senares utnyttjande av ett WhatsApp-fel för att distribuera Pegasus på enheter som tillhör journalister, människorättsaktivister, advokater och andra globalt.

Zero-Click Device-Profiling för Pegasus

Kontraktet beskrev MMS Fingerprint som något som en NSO-kund kunde använda för att få information om en mål-BlackBerry-, Android- eller iOS-enhet och dess operativsystemversion, helt enkelt genom att skicka ett MMS-meddelande (Multimedia Messaging Service) till den.

"Ingen användarinteraktion, engagemang eller meddelandeöppning krävs för att ta emot enhetens fingeravtryck," noterade kontraktet.

I ett blogginlägg förra veckan, Enea-forskaren Cathal McDaid sa att han bestämde sig för att undersöka den referensen eftersom "MMS Fingerprint" inte var en känd term i branschen.

"Även om vi alltid måste tänka på att NSO Group helt enkelt "uppfinner" eller överdriver de möjligheter som den påstår sig ha (enligt vår erfarenhet överlöftar övervakningsföretag regelbundet sin kapacitet), men det faktum att detta var på ett kontrakt snarare än en annons antyder att det var mer sannolikt att det var på riktigt”, skrev McDaid.

Fingeravtryck på grund av problem med MMS-flödet

McDaids undersökning fick honom snabbt att dra slutsatsen att tekniken som nämns i NSO Group-kontraktet troligen hade att göra med själva MMS-flödet snarare än några OS-specifika sårbarheter.

Flödet startar vanligtvis med att en avsändarens enhet initialt skickar ett MMS-meddelande till avsändarens MMS-center (MMSC). Avsändarens MMSC vidarebefordrar sedan det meddelandet till mottagarens MMSC, som sedan meddelar mottagarenheten om det väntande MMS-meddelandet. Mottagarenheten hämtar sedan meddelandet från sin MMSC, skrev McDaid.

Eftersom utvecklarna av MMS introducerade det vid en tidpunkt då inte alla mobila enheter var kompatibla med tjänsten, bestämde de sig för att använda en speciell typ av SMS (kallad "WSP Push") som ett sätt att meddela mottagarenheter om väntande MMS-meddelanden i mottagarens MMSC. Den efterföljande hämtningsförfrågan är egentligen inte ett MMS utan en HHTP GET-förfrågan som skickas till en innehålls-URL som anges i ett innehållsplatsfält i meddelandet, skrev forskaren.

"Det intressanta här är att inom denna HTTP GET ingår användarenhetsinformation", skrev han. McDaid drog slutsatsen att detta troligen var hur NSO-gruppen fick den riktade enhetsinformationen.

McDaid testade sin teori med hjälp av några exempel på SIM-kort från en västeuropeisk telekomoperatör och kunde efter lite försök och misstag erhålla en testenhets UserAgent-information och HTTP-headerinformation, som beskrev enhetens kapacitet. Han drog slutsatsen att NSO-gruppens aktörer kunde använda informationen för att utnyttja specifika sårbarheter i mobila operativsystem, eller för att skräddarsy Pegasus och andra skadliga nyttolaster för målenheter.

"Eller så kan det användas för att hjälpa till att skapa nätfiskekampanjer mot människor som använder enheten mer effektivt," noterade han.

McDaid sa att hans undersökningar under de senaste månaderna inte har grävt fram några bevis för att någon har utnyttjat tekniken i det vilda hittills.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal