专家发现针对加泰罗尼亚政治家和活动家的间谍软件攻击

作为“多年秘密行动”的一部分，苹果iMessage中的一个以前未知的零点击漏洞被用来安装NSO Group和Candiru的雇佣军间谍软件，针对至少65人

多伦多大学公民实验室在一份新报告中表示：“受害者包括欧洲议会议员、加泰罗尼亚总统、立法者、法学家和民间社会组织成员。”。“在某些情况下，家庭成员也受到感染。”

在65人中，63人是Pegasus的目标，另外4人感染了Candiru，其中至少有两人的iPhone都受到了感染。据称，这些事件大多发生在2017年至2020年间。

这些攻击涉及将一个名为“HOMAGE”的iOS漏洞武器化，使其能够穿透运行2019年10月28日发布的iOS 13.2之前版本的设备。值得注意的是，iOS的最新版本是iOS 15.4.1。

虽然入侵事件没有被归咎于某个特定的政府或实体，但公民实验室暗示与西班牙政府有联系，理由是该国与加泰罗尼亚自治区之间在要求加泰罗尼亚独立的呼声中持续存在紧张关系。

该调查结果基于《卫报》和El País于2020年7月发布的一份报告，该报告揭示了一个针对加泰罗尼亚支持独立的支持者的国内政治间谍案，该案利用WhatsApp中的漏洞交付Pegasus监视软件。

除了依赖现已修补的WhatsApp漏洞（CVE-2019-3568），这些攻击还利用多次零点击iMessage漏洞和恶意短信，在三年内使用Pegasus对加泰罗尼亚目标公司的iPhone进行黑客攻击。

研究人员说：“HOMAGE漏洞似乎在2019年的最后几个月被使用，涉及一个iMessage零点击组件，该组件在com.apple.mediastream.mstreamd进程中启动了一个WebKit实例，然后在com.apple.private.alloy.photostream中查找Pegasus电子邮件地址。”。

据信，苹果在iOS 13.2版中解决了该问题，因为据观察，该漏洞仅针对运行iOS 13.1.3及更低版本的设备。iOS 13.5.1中还存在另一个名为KISMET的漏洞链。

另一方面，这四名被Candiru间谍软件危害的个人是一次基于电子邮件的社会工程攻击的受害者，该攻击旨在诱骗受害者打开有关2019冠状病毒疾病的看似合法的链接，以及模仿在巴塞罗那举行的一年一度的贸易展“移动世界大会”（MWC）的信息。

Pegasus和Candiru的间谍软件（微软称之为DeviceTongue）都是为了秘密获取存储在移动和桌面设备中的敏感信息。

“间谍软件[…]研究人员说：“它能够阅读文本、接听电话、收集密码、跟踪位置、访问目标设备的麦克风和摄像头，以及从应用程序中获取信息。”还可以监控加密通话和聊天。该技术甚至可以在感染结束后保持对受害者云账户的访问。“”

公民实验室表示，与NSO集团的Pegasus和Candiru的联系源于基础设施重叠，由于攻击的时间和受害者模式，黑客行动可能是与西班牙政府有联系的客户所为。

研究人员总结道：“这起案件之所以引人注目，是因为黑客活动的无限制性。”。

“如果西班牙政府对此案负责，这就提出了一个紧迫的问题，即是否对该国的情报和安全机构进行了适当的监督，以及是否有一个强有力的法律框架，要求当局在开展任何黑客活动时遵守。”