萨尔瓦多记者手机遭Pegasus间谍软件入侵

1月12日，公民实验室发布报告称，在2020年7月至2021年11月期间，NSO公司的Pegasus间谍软件感染了35名萨尔瓦多记者和民间社会成员的手机。

TOROGOZ

研究人员通过Internet扫描和DNS缓存探测，确定了一家Pegasus运营商，该运营商几乎只专注于萨尔瓦多境内，研究人员将其命名为TOROGOZ。虽然研究人员对攻击者的身份没有确凿的技术证据，但对萨尔瓦多个人的关注表明，Torogoz很可能是与萨尔瓦多政府有关的实体。在2020年的一份报告中称，萨尔瓦多是使用了以色列公司Circles制造的监控工具的国家之一。

研究人员的取证分析侧重于确定与Pegasus间谍软件相关的特定进程或二进制文件是否在指定时间内在相关手机上运行。取证分析包括搜索手机的执行记录，以及搜索与Pegasus的执行或安装相关的其他痕迹。

零点击漏洞

攻击者至少部署了两个零点击漏洞：KISMET和FORCEDENTRY。其中13部手机包含KISMET FACTOR，这是执行零点击KISMET漏洞后留下的。此漏洞在2020年7月至2020年12月之间部署，是疑似针对iOS 13.5.1和13.7的零日漏洞。KISMET漏洞尚未被公开捕获和分析，但似乎使用了JPEG附件，以及iMessage的IMTranscoderAgent进程调用WebKit实例。此外，研究人员还恢复了一份FORCEDENTRY漏洞的副本。

TOROGOZ入侵的目标包括来自El Faro、GatoEncerrado、La Prensa Gráfica、Revista Digital Disruptiva、Diario El Mundo、El Diario de Hoy等新闻网站的记者和两名独立记者，民间社会的目标包括Fundación DTJ、Cristosal和另一个非政府组织。

受打击最严重的是新闻网站El Faro，其公司有22名记者、编辑和行政人员的设备遭到入侵，受感染人数占公司员工的三分之二以上。从2020年6月29日到2021年11月23日，El Faro至少在17个月内一直处于监视之下，主编Oscar Martinez的电话至少被渗透了42次。

媒体组织和记者经常成为NSO集团客户的攻击目标。尽管近日的报道称，NSO集团在苹果诉讼后濒临破产和倒闭。但还有许多其他的间谍软件供应商正在蓬勃发展，填补潜在的NSO关闭留下的空缺。