Ein bisher unbekannter Zero-Click-Exploit in Apples iMessage wurde genutzt, um im Rahmen einer „mehrjährigen geheimen Operation“ Spionagesoftware von NSO Group und Candiru auf mindestens 65 Personen zu installieren.
„Zu den Opfern gehörten Mitglieder des Europäischen Parlaments, katalanische Präsidenten, Gesetzgeber, Juristen und Mitglieder zivilgesellschaftlicher Organisationen“, heißt es in einem neuen Bericht des Citizen Lab der Universität Toronto. „In einigen Fällen wurden auch Familienmitglieder infiziert.
Von den 65 Personen wurden 63 mit Pegasus und vier weitere mit Candiru infiziert, wobei die iPhones von mindestens zwei Personen mit beiden infiziert wurden. Die meisten Vorfälle sollen sich zwischen 2017 und 2020 ereignet haben.
Bei den Angriffen wurde ein iOS-Exploit namens HOMAGE eingesetzt, der es ermöglichte, in Geräte mit Versionen vor iOS 13.2 einzudringen, das am 28. Oktober 2019 veröffentlicht wurde. Die neueste Version von iOS ist übrigens iOS 15.4.1.
Obwohl die Eindringlinge keiner bestimmten Regierung oder Einrichtung zugeordnet werden konnten, vermutete das Citizen Lab aufgrund einer „Reihe von Indizien“ eine Verbindung zu den spanischen Behörden und verwies auf die anhaltenden Spannungen zwischen dem Land und der autonomen Gemeinschaft Katalonien, die die Unabhängigkeit Kataloniens fordern.
Die Ergebnisse bauen auf einem früheren Bericht von The Guardian und El País vom Juli 2020 auf, in dem ein Fall von politischer Spionage aufgedeckt wurde, der auf katalanische Unabhängigkeitsbefürworter abzielte und eine Schwachstelle in WhatsApp nutzte, um die Überwachungssoftware Pegasus zu verbreiten.
Die Angriffe nutzten nicht nur die inzwischen gepatchte WhatsApp-Schwachstelle (CVE-2019-3568), sondern auch mehrere Zero-Click-iMessage-Exploits und bösartige SMS-Nachrichten, um die iPhones der katalanischen Zielpersonen über einen Zeitraum von drei Jahren mit Pegasus zu hacken.
„Der HOMAGE-Exploit scheint in den letzten Monaten des Jahres 2019 genutzt worden zu sein und beinhaltete eine iMessage Zero-Click-Komponente, die eine WebKit-Instanz im com.apple.mediastream.mstreamd-Prozess startete, nachdem ein com.apple.private.alloy.photostream Lookup für eine Pegasus-E-Mail-Adresse durchgeführt wurde“, so die Forscher.
Es wird vermutet, dass die Schwachstelle von Apple in der Version iOS 13.2 geschlossen wurde, da der Exploit nur bei Geräten mit iOS 13.1.3 und niedriger beobachtet wurde. Auch eine andere Exploit-Kette namens KISMET, die in iOS 13.5.1 enthalten war, wird genutzt.
Die vier Personen, die mit der Spyware von Candiru infiziert wurden, waren Opfer eines Social-Engineering-Angriffs per E-Mail, bei dem die Opfer dazu gebracht wurden, scheinbar legitime Links über COVID-19 und Nachrichten zu öffnen, die sich als Mobile World Congress (MWC) ausgaben, einer jährlich in Barcelona stattfindenden Messe.
Sowohl die Pegasus- als auch die Candiru-Spyware (von Microsoft DevilsTongue genannt) sind darauf ausgelegt, sich heimlich Zugang zu sensiblen Informationen zu verschaffen, die auf Mobil- und Desktop-Geräten gespeichert sind.
„Die Spyware […] ist in der Lage, Texte zu lesen, Anrufe abzuhören, Passwörter zu sammeln, Standorte zu verfolgen, auf das Mikrofon und die Kamera des Zielgeräts zuzugreifen und Informationen aus Apps zu sammeln“, so die Forscher. „Verschlüsselte Anrufe und Chats können ebenfalls überwacht werden. Die Technologie kann sogar den Zugriff auf die Cloud-Konten der Opfer aufrechterhalten, nachdem die Infektion beendet ist.“
Die Verbindungen zu Pegasus und Candiru der NSO Group ergeben sich aus Überschneidungen in der Infrastruktur. Aufgrund des Zeitpunkts der Angriffe und der Muster der Opfer ist es wahrscheinlich, dass die Hackeroperationen von einem Kunden mit Verbindungen zur spanischen Regierung durchgeführt wurden, so das Citizen Lab.
„Der Fall ist bemerkenswert, weil die Hacking-Aktivitäten unkontrolliert waren“, so die Forscher.
„Wenn die spanische Regierung für diesen Fall verantwortlich ist, stellt sich die dringende Frage, ob die Geheimdienste und Sicherheitsbehörden des Landes angemessen überwacht werden und ob es einen soliden Rechtsrahmen gibt, den die Behörden bei der Durchführung von Hacking-Aktivitäten einhalten müssen.