NSO Group додає до арсеналу шпигунського ПЗ атаку з нульовим натисканням «MMS Fingerprinting».

Дослідник шведської фірми з телекомунікацій та кібербезпеки Enea виявив раніше невідому тактику, яку ізраїльська NSO Group надала для використання в кампаніях із запровадження свого сумнозвісного мобільного шпигунського програмного забезпечення Pegasus на мобільних пристроях, що належать цільовим особам у всьому світі.

Дослідник виявив цю техніку, переглядаючи запис під назвою «Відбиток MMS» у контракті між торговим посередником NSO Group і телекомунікаційним регулятором Гани.

Контракт був частиною загальнодоступних судових документів, пов’язаних із позовом 2019 року за участю WhatsApp і NSO Group щодо використання останньою недоліку WhatsApp для розгортання Pegasus на пристроях, що належать журналістам, правозахисники, юристи та інші в усьому світі.

Профілювання пристроїв Zero-Click для Pegasus

Контракт описує MMS Fingerprint як щось, що клієнт NSO може використовувати для отримання деталей про цільовий пристрій BlackBerry, Android або iOS і його версію операційної системи, просто надіславши на нього повідомлення служби мультимедійних повідомлень (MMS).

«Для отримання відбитка пристрою не потрібна взаємодія з користувачем, взаємодія чи відкриття повідомлення», — зазначено в контракті.

У дописі в блозі минулого тижня Дослідник Enea Катал МакДейд сказав, що вирішив дослідити це посилання, оскільки «відбиток пальця MMS» не є відомим терміном у галузі.

«Хоча ми завжди повинні враховувати, що NSO Group може просто «вигадувати» або перебільшувати можливості, про які вона стверджує (з нашого досвіду, компанії спостереження регулярно перевищують свої можливості), той факт, що це було за контрактом, а не рекламою, говорить про те, що що, швидше за все, це справді», — написав Макдейд.

Зняття відбитків пальців через проблему з потоком MMS

Розслідування, проведене МакДейдом, швидко привело його до висновку, що техніка, згадана в контракті з NSO Group, швидше за все, пов’язана з самим потоком MMS, а не з уразливістю ОС.

Потік зазвичай починається з того, що пристрій відправника спочатку надсилає MMS-повідомлення до MMS-центру (MMSC) відправника. Потім MMSC відправника пересилає це повідомлення до MMSC одержувача, який потім сповіщає пристрій одержувача про очікуване MMS-повідомлення. Потім пристрій одержувача отримує повідомлення зі свого MMSC, написав Макдейд.

Оскільки розробники MMS представили його в той час, коли не всі мобільні пристрої були сумісні з цією послугою, вони вирішили використовувати спеціальний тип SMS (так званий «WSP Push») як спосіб сповіщення пристроїв одержувачів про очікувані MMS-повідомлення в MMSC одержувача. Подальший запит на отримання насправді не є MMS, а запитом HHTP GET, надісланим на URL-адресу вмісту, указану в полі розташування вмісту в сповіщенні, написав дослідник.

«Цікаво тут те, що в цей HTTP GET включена інформація про пристрій користувача», — написав він. Макдейд дійшов висновку, що, ймовірно, саме так NSO Group отримала інформацію про цільовий пристрій.

Макдейд перевірив свою теорію, використовуючи кілька зразків SIM-карт від західноєвропейського оператора зв’язку, і після деяких проб і помилок зміг отримати інформацію UserAgent тестового пристрою та інформацію заголовка HTTP, які описували можливості пристрою. Він дійшов висновку, що учасники NSO Group можуть використовувати інформацію для використання певних уразливостей у мобільних операційних системах або для адаптації Pegasus та інших шкідливих програм для цільових пристроїв.

«Або його можна використати для більш ефективного створення фішингових кампаній проти людей, які використовують пристрій», — зазначив він.

МакДейд сказав, що його розслідування протягом останніх кількох місяців не знайшли жодних доказів того, що хтось використовує цю техніку в дикій природі.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal