NSO Group torna con un triplo attacco spyware zero-click per iOS 15/16
Non importa cosa abbia detto il presidente degli Stati Uniti Joseph R. Biden Jr.: NSO Group è ancora in circolazione. Il servizio di spionaggio privatizzato ha prodotto exploit zero-click contro iOS 15 e iOS 16 lo scorso anno, secondo l’ultimo rapporto di Citizen Lab. Il rapporto suggerisce anche che la modalità Lockdown di Apple è efficace contro questi attacchi.
Un trio di exploit utilizzati in forma complessa
Il rapporto riflette ciò che Citizen Lab ha appreso dalle indagini sugli attacchi contro i difensori dei diritti umani messicani. I ricercatori concludono che NSO Group, definito “hacker mercenario” da Apple, ha fatto largo uso di almeno tre exploit zero-click nei sistemi operativi iOS contro obiettivi della società civile in tutto il mondo. NSO Group è la famigerata azienda che ha creato lo strumento Pegasus utilizzato per spiare le persone. L’uso di questi strumenti di sorveglianza in Messico è problematico, data la lunga storia di violazioni dei diritti umani in quel paese.
Gli exploit di Citizen Labs sono stati utilizzati contro i difensori dei diritti umani che rappresentano le famiglie di 43 studenti rapiti, e almeno una persona presa di mira sembra essere stata attaccata con lo spyware di NSO Group in numerose occasioni. La ricerca ha identificato tre attacchi, denominati “PWNYOURHOME”, “FINDMYPW” e “LATENTIMAGE”. Sembra inoltre che il gruppo NSO si stia impegnando in meccanismi di attacco sempre più complessi nel tentativo di sovvertire gli obiettivi della società civile in tutto il mondo.
Ad esempio, PWNYOURHOME è un exploit zero-click in due fasi, in cui ogni fase si rivolge a un processo diverso dell’iPhone. Il primo passo mirava a HomeKit; il secondo a iMessage. I ricercatori di sicurezza hanno condiviso le loro scoperte con Apple e l’azienda ha rilasciato dei miglioramenti critici per la sicurezza di HomeKit in iOS 16.3.1.
I mercenari vogliono nascondersi
La modalità Lockdown sembra fornire una protezione abbastanza efficace contro questi exploit. Citizen Lab afferma che inizialmente i dispositivi in questa modalità ricevevano avvisi se l’hack PWNYOURHOME veniva utilizzato contro il dispositivo, anche se ora non è più così, a dimostrazione della costante lotta al gatto e al topo tra fornitori di piattaforme e gruppi criminali mercenari.
I ricercatori avvertono: “Continuiamo a osservare quelli che interpretiamo come sforzi concertati da parte di NSO Group per eludere il rilevamento dei metodi utilizzati dai ricercatori. Ad esempio, a differenza delle versioni precedenti di Pegasus, le versioni distribuite nel 2022 sembrano rimuovere più accuratamente i dati da vari file di log dell’iPhone, nel tentativo apparente di impedire ai ricercatori di comprendere la natura delle vulnerabilità sfruttate per compromettere i telefoni e di eludere il rilevamento”.
Cosa fare per proteggersi
È preoccupante, anche se forse non sorprendente, la misura in cui NSO Group e altri fornitori di servizi di sorveglianza continuino a vedere i loro exploit utilizzati contro i difensori dei diritti umani. È anche preoccupante che il gruppo si stia avvicinando sempre di più verso attacchi multi-step. In risposta, Citizen Lab incoraggia gli sviluppatori a riflettere più a fondo sulla sicurezza dei dispositivi e a “trattare l’intera superficie raggiungibile attraverso un singolo identificatore come un’unica superficie”. Nella tecnologia, proprio come nel mondo reale, nessuno è al sicuro finché non lo sono tutti.
Un’altra raccomandazione è quella di continuare a offuscare i dispositivi per renderli difficili da tracciare e per rendere ancora più difficile per gli aggressori l’esecuzione di codice arbitrario su di essi. “Incoraggiamo caldamente tutti gli utenti a rischio ad attivare la modalità Lockdown sui loro dispositivi Apple. Sebbene la funzione comporti un certo costo in termini di usabilità, riteniamo che tale costo possa essere compensato dall’aumento dei costi sostenuti dagli aggressori”, ha scritto Citizen Lab.
Gli hacker mercenari come NSO Group rimangono un’enorme minaccia per le aziende e la società civile ovunque vengano utilizzati i loro strumenti. Il fatto spiacevole è che alla fine questi strumenti diventano disponibili nel dark web e una volta che lo fanno minacciano tutti gli utenti. È anche vero che Apple sta lavorando duramente per proteggere gli utenti da questi attacchi. Un portavoce di Apple ha promesso: “I nostri team di sicurezza in tutto il mondo continueranno a lavorare senza sosta per far progredire la Modalità Lockdown e rafforzare le protezioni di sicurezza e privacy in iOS”.
Alla luce di ciò, il passo più appropriato è assicurarsi che voi e i vostri colleghi installiate tutte le patch di sicurezza Apple non appena disponibili e che utilizziate la modalità Lockdown, poiché il costo e le conseguenze di un attacco potrebbero superare di gran lunga l’inconveniente. Dopo tutto, il rischio di questi attacchi è che i dati esfiltrati dai dispositivi delle persone possano essere utilizzati per creare vantaggi commerciali sleali e persino causare la perdita di vite umane.