Em 2022, o NSO Group, empresa israelense famosa por sua tecnologia de spyware, ressurgiu com uma série de cadeias de exploração sem clique projetadas para iOS 15 e iOS 16.
Estas sofisticadas cadeias de explorações, dirigidas a iPhones e iPads, foram implementadas contra activistas de direitos humanos no México e em todo o mundo.
Em um comunicado de imprensa recenteCitizen Lab publicou os resultados de sua investigação sobre as atividades recentes do Grupo NSO.
3 Explorações de clique zero do iOS
A equipa de investigação do Citizen Lab descobriu provas convincentes que ligam o Grupo NSO a uma campanha de espionagem digital dirigida a organizações de direitos humanos no México.
Especificamente, identificaram três cadeias de exploração que lançaram ataques de spyware Pegasus a grupos como o Centro PRODH, um grupo de defesa jurídica que luta contra alegados abusos cometidos pelos militares mexicanos.
Abaixo, mencionamos as três cadeias de exploração de clique zero do iOS 15 e iOS 16 que foram usadas para lançar o spyware Pegasus: –
- PWNYOURHOME
- ENCONTRARMYPWN
- LATENTIMAGEM
Desde então, Apple fez uma atualização de segurança do HomeKit disponível com iOS 16.3.1.
Há uma longa história de envolvimento dos militares e do governo do México nas seguintes atividades ilícitas: –
- Graves violações dos direitos humanos
- Assassinatos extrajudiciais
- Desaparecimentos
Alvos
Além disso, descobriu-se que dois indivíduos dedicados à promoção e protecção dos direitos humanos, empregados no Centro PRODH, foram vítimas do notório spyware Pegasus.
A Pegasus teve como alvo o Centro PRODH durante eventos importantes relacionados com violações dos direitos humanos por parte do Exército Mexicano, indicando uma tentativa de enfraquecer o seu impacto.
Jorge Santiago Aguirre Espinosa, Diretor do Centro PRODH, teve seu aparelho infectado com Pegasus. Ele foi alvo anteriormente em 2017, quando o Citizen Lab descobriu tentativas de infecção pelo Pegasus por meio de uma mensagem de texto enviada para seu dispositivo em 2016.
Em 2022, ele foi infectado pelo exploit FINDMYPWN pelo menos duas vezes. Seu dispositivo foi infectado com spyware entre 22 de junho de 2022 e 13 de julho de 2022, quando o spyware estava ativo nele.
O telefone do Sr. Aguirre foi infectado pela primeira vez em 22 de junho de 2022, o que coincidiu com o lançamento da comissão da verdade do México sobre a Guerra Suja. A cerimônia foi realizada em um acampamento militar onde foram testemunhas muitos abusos.
Após a cerimônia, outra integrante do Centro PRODH, María Luisa Aguilar Rodríguez, que é Coordenadora Internacional do Centro PRODH, foi infectada no dia 23 de junho de 2022.
Seu dispositivo foi infectado mais duas vezes usando o exploit FINDMYPWN e esteve ativo em seu telefone entre 24 e 29 de setembro de 2022.
Recomendação
O Citizen Lab absteve-se de divulgar detalhes adicionais sobre os indicadores Pegasus para preservar a sua capacidade de identificar infecções. Eles suspeitam que o Grupo NSO esteja fazendo esforços concentrados para evitar a detecção, o que continuam a observar.
Em outubro de 2022 e janeiro de 2023, o Citizen Lab notificou Apple sobre suas observações sobre essas cadeias de exploração.
Como recomendação, os pesquisadores de segurança cibernética do Citizen Lab instaram todos os usuários que estão em risco a ativar o Modo Lockdown em seus Apple dispositivos.
Apesar do potencial de redução da usabilidade, eles acreditam que os benefícios do recurso podem superar esse custo, tornando-o mais caro para os invasores.
Leitura relacionada:
