Como funciona a exploração de hack de iPhone do Grupo NSO
Como funcionava o NSO Exploit: Trojan GIFs e um computador dentro de um computador
Provavelmente, a coisa mais assustadora sobre FORCEDENTRY é que, de acordo com os pesquisadores do Google, a única coisa necessária para hackear uma pessoa era seu número de telefone ou nome de usuário AppleID.
Usando um desses identificadores, o portador do exploit do NSO poderia facilmente comprometer qualquer dispositivo que desejasse. O processo de ataque foi simples: o que parecia ser um GIF foi enviado para o telefone da vítima. No entanto, a imagem em questão não era realmente um GIF; em vez disso, era um PDF malicioso revestido de uma extensão .gif. Dentro do arquivo, havia uma carga maliciosa altamente sofisticada que poderia sequestrar uma vulnerabilidade no software de processamento de imagens da Apple e usá-la para assumir rapidamente o controle de recursos valiosos no dispositivo de destino. O destinatário nem mesmo precisou clicar na imagem para ativar suas funções nocivas.
Como funciona a exploração de hack de iPhone do Grupo NSO
Lucas Ropek
Durante anos, o fornecedor israelense de spyware NSO Group despertou medo e fascínio nos corações da comunidade internacional devido aos seus produtos de hacking - do tipo que foram vendidos a governos autoritários em todo o mundo e usados contra jornalistas, ativistas, políticos e qualquer outra pessoa infeliz o suficiente para ser o alvo. A empresa, que sempre se envolveu em escândalos, frequentemente parecia operar como se fosse um encantamento digital - com ataques de exploração comercial que não exigem phishing e malware que tudo vê e pode alcançar os espaços digitais mais privados.
Mas alguns dos segredos da NSO foram revelados publicamente na semana passada, quando pesquisadores conseguiram desconstruir tecnicamente como funciona um dos notórios ataques de "clique zero" da empresa. Em 15 de dezembro, pesquisadores do Project Zero do Google publicaram uma análise detalhada de como funciona um exploit NSO, apelidado de “FORCEDENTRY”.
FORCEDENTRY tinha como objetivo comprometer os iPhones da Apple e acredita-se que tenha levado à invasão de um número limitado de dispositivos. Os detalhes iniciais sobre a exploração foram capturados pelo Citizen Lab , uma unidade de pesquisa da Universidade de Toronto. Os pesquisadores do Citizen Lab conseguiram obter telefones que haviam sido submetidos a ataques de “clique zero” da NSO e publicaram uma pesquisa inicial sobre como eles funcionavam em setembro. Pouco depois, a Apple anunciou que estava processando a NSO e também publicou um patch para a vulnerabilidade associada ao exploit.
O Citizen Lab finalmente compartilhou suas descobertas com os pesquisadores do Google que, na semana passada, finalmente publicaram sua análise do exploit. Como você pode esperar, são coisas bem incríveis - e assustadoras.
“Com base em nossa pesquisa e descobertas, avaliamos que esta é uma das façanhas mais sofisticadas tecnicamente que já vimos, demonstrando ainda que os recursos que o NSO oferece rivalizam com aqueles que se pensava serem acessíveis apenas a um punhado de estados-nação”, escreveu pesquisadores Ian Beer e Samuel Groß.
Como funcionava o NSO Exploit: Trojan GIFs e um computador dentro de um computador
Provavelmente, a coisa mais assustadora sobre FORCEDENTRY é que, de acordo com os pesquisadores do Google, a única coisa necessária para hackear uma pessoa era seu número de telefone ou nome de usuário AppleID.
Usando um desses identificadores, o portador do exploit do NSO poderia facilmente comprometer qualquer dispositivo que desejasse. O processo de ataque foi simples: o que parecia ser um GIF foi enviado para o telefone da vítima. No entanto, a imagem em questão não era realmente um GIF; em vez disso, era um PDF malicioso revestido de uma extensão .gif. Dentro do arquivo, havia uma carga maliciosa altamente sofisticada que poderia sequestrar uma vulnerabilidade no software de processamento de imagens da Apple e usá-la para assumir rapidamente o controle de recursos valiosos no dispositivo de destino. O destinatário nem mesmo precisou clicar na imagem para ativar suas funções nocivas.
Tecnicamente falando, o que FORCEDENTRY fez foi explorar uma vulnerabilidade de dia zero na biblioteca de renderização de imagens da Apple, CoreGraphics - o software que o iOS usa para processar imagens e mídia no dispositivo. Essa vulnerabilidade, oficialmente rastreada como CVE-2021-30860 , estava em um código antigo e gratuito que o iOS aparentemente estava aproveitando para codificar e decodificar arquivos PDF - especificamente, a implementação Xpdf de JBIG2.
É aqui que o ataque se torna realmente selvagem, no entanto. Ao explorar a vulnerabilidade de processamento de imagem, FORCEDENTRY foi capaz de entrar no dispositivo de destino e usar a própria memória do telefone para construir uma máquina virtual rudimentar , basicamente um "computador dentro de um computador". A partir daí, a máquina poderia “inicializar” o malware Pegasus da NSO de dentro, em última análise, retransmitindo os dados para quem havia implantado o exploit.
Em uma troca de e-mail com o Gizmodo, Beer e Groß elaboraram um pouco sobre como tudo isso funciona. O ataque “fornece um arquivo compactado JBIG2 que realiza milhares de operações matemáticas básicas originalmente destinadas a descompactar dados”, disseram os pesquisadores. “Por meio dessas operações, ele primeiro aciona uma vulnerabilidade de 'corrupção de memória' no JBIG2 e, com isso, modifica a memória de uma forma que permite o acesso a conteúdos de memória não relacionados em operações subsequentes.”
A partir daí, o programa “basicamente constrói um pequeno computador em cima dessas operações matemáticas básicas, que usa para executar o código que agora pode acessar outra memória do iPhone atacado”, explicaram os pesquisadores. Depois que o minicomputador está instalado e funcionando no telefone de destino, a NSO o usa para “executar seu próprio código (em vez do da Apple) e usá-lo para inicializar o malware” de dentro do dispositivo real, acrescentaram.
Para encurtar a história, o exploit NSO é capaz de comandar o telefone da vítima de dentro para fora e usar os próprios recursos do dispositivo para configurar e executar suas operações de vigilância.
Processo da Apple e outros problemas
A vulnerabilidade relacionada a esta exploração foi corrigida na atualização do iOS 14.8 da Apple (lançada em outubro), embora alguns pesquisadores de informática tenham alertado que se o telefone de uma pessoa foi comprometido por Pegasus antes da atualização, um patch pode não fazer muito para manter os intrusos Fora.
O malware da NSO e seus misteriosos métodos de hacking têm sido objeto de medo e especulação por anos, então é incrível ver o Google finalmente puxar a cortina sobre exatamente como essa peça de magia negra computacional realmente funciona.
No entanto, embora o funcionamento interno dessa ferramenta assustadora tenha finalmente sido revelado, os fabricantes da ferramenta estão lutando para sobreviver. Na verdade, a NSO está tendo um ano muito difícil - enquanto a empresa passa de um escândalo desastroso para o outro. Investigações jornalísticas em andamento sobre a aparente má-fé de sua base de clientes foram combinadas com vários processos judiciais de algumas das maiores empresas do mundo, inquéritos governamentais, sanções poderosas dos EUA e investidores em fuga e apoio financeiro.
Comentários
Postar um comentário