iMessage 제로클릭 익스플로잇, Pegasus 스파이웨어 배포에 사용돼

 

 

New zero-click exploit used to target Bahraini activists’ iPhones with NSO spyware

 

Citizen Lab 연구원이 바레인 활동가의 기기에 NSO Group의 Pegasus 스파이웨어를 배포하는 데 사용된 제로클릭 iMessage 익스플로잇을 발견했습니다.

 

바레인 인권 센터, Waad, Al Wefaq의 회원을 포함한 활동가 9명의 아이폰이 Pegasus 스파이웨어에 감염되었습니다.

 

이는 LULU로 추적되는 공격자가 실행한 것으로 추정되는 스파이 캠페인의 일부였으며, 바레인 정부에서 지시한 것으로 추측됩니다.

 

 

<이미지 출처 : https://securityaffairs.co/wordpress/121415/malware/zero-click-exploit-nso.html>

 

 

전문가들은 감염이 2020년 6월부터 2021년 2월 사이 발생했으며, 해킹된 활동가 중 2명이 현재 런던에 거주하고 있으며, 적어도 한 명은 그의 기기가 해킹당했을 당시 런던에 있었다고 지적했습니다.

 

이것은 바레인 정부가 유럽의 활동가의 기기에 수행한 해킹 공격 중 최초로 문서화된 공격입니다.

 

Citizon Lab에서는 아래와 같이 밝혔습니다.

 

“2020년 6월부터 2021년 2월 사이 바레인 활동가 9명의 아이폰이 해킹되어 NSO 그룹의 Pegasus 스파이웨어에 감염된 사건을 발견했습니다. 일부 공격자는 제로클릭 iMessage 익스플로잇인 KISSET 익스플로잇(2020년 발견), FORCEDENTRY 익스플로잇(2021년 발견)을 이용했습니다.”

 

Citizen Lab 연구원들은 FORCEDENTRY 익스플로잇이 iMessage 제로 클릭 익스플로잇을 차단하기 위해 8개월 전 iOS에 도입된 “BlastDoor” 샌드박스를 우회할 수 있음을 발견했습니다.

 

Citizen Lab은 해당 연구 결과를 애플 측과 공유했으며, 애플은 긴급 iOS 업데이트를 공개해 해당 제로클릭 취약점을 수정할 것으로 추측됩니다.

 

전문가들은 해당 공격을 예방하기 위해 iMessage와 FaceTime을 비활성화할 것을 권장했지만, NSO 그룹에서 개발한 강력한 스파이웨어에는 다른 많은 익스플로잇이 있기 떄문에 공격을 완전히 예방하는 것을 어려울 것이라고 밝혔습니다. 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/121415/malware/zero-click-exploit-nso.html

https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/