Già dal mese scorso avevamo allertato i nostri lettori della minaccia Pegasus, il malware di Stato prodotto dall’NSO (a volte conosciuta anche come Q cyber technologies), una “spin off” della famosa 8200 Unit dell’IDF. Leggiamo ora un nuovo rapporto dai Citizen Lab (CL) canadesi che illustra le raffinatissime tecniche di attacco usate contro giornalisti e attivisti nell’ex-emirato del Bahrein, che già dal 2002 è noto per la censura e l’aggressività nel monitorare i suoi cittadini online.
Dal rapporto CL risulta anche un dato molto preoccupante: almeno due delle persone spiate erano residenti a Londra: Moosa Abd-Ali e Yusuf Al-Jamri. Il numero di telefono di Abd-Ali è presente anche negli elenchi del Pegasus Project scoperti il mese scorso.
Pegasus è una piattaforma prodotta dalla società israeliana NSO – la cui proprietà è passata di recente dal fondo statunitense Francisco Partners Management alla britannica Novalpina Capital – per spiare la gente online, soprattutto tramite i cellulari. I canadesi di CL hanno descritto bene il sistema e seguono le evoluzioni di questa temibile cyber-arma dopo che Stealth Falcon (che oggi si sa essere l’azienda emiratina DarkMatter) nel 2016 inavvertitamente ha commesso un piccolo errore procedurale, che ha consentito ai ricercatori di avere visibilità dell’infrastruttura del sistema e procurarsi una copia di questo malware.
Un nuovo tipo di attacco era stato notato dai ricercatori di CL già da febbraio e il mese scorso Citizen Lab rilascia la dichiarazione: “The mechanics of the zero-click exploit for iOS 14.x appear to be substantially different than the KISMET exploit for iOS 13.5.1 and iOS 13.7, suggesting that it is in fact a different zero-click iMessage exploit” (Le meccaniche dell’attacco zero-click contro iOS 14.x sembrano ben diverse dell’attacco KISMET contro le versioni 13.5.1 e 13.7 di iOS, questo quindi suggerisce che sia dunque un diverso tipo di attacco zero-click contro iMesage – n.d.A.). Infine, nel documento di CL pubblicato due giorni fa From Pearl to Pegasus oltre al noto KISMET, viene riportato infatti un nuovo exploit zero-click (ossia che non richiede nessun intervento da parte dell’utente) che viola i dispositivi tramite un messaggio sulla famosa piattaforma iMessage: FORCEDENTRY (dapprima nominato Megalodon). Quest’ultimo è in grado di superare anche la nuova tecnologia di sicurezza BlastDoor ed è di sicuro capace di infettare i dispositivi fino a iOS 14.6.
Che dire, nessuno è al sicuro. Gatlan, su Bleeping Computer, sostiene una semplice ma dura teoria: proteggersi contro FORCEDENTRY potrebbe essere semplice, basterebbe disabilitare iMessage e FaceTime. Il problema è che ci sono molti altri attacchi per installare Pegasus sul telefono di una vittima, ad esempio tramite Whatsapp. Inoltre se si disabilitano i software Apple di default, le funzioni di cifratura dei messaggi vengono meno, sottoponendo gli utenti ad ulteriori rischi. Quindi finché Apple non provvederà e rilasciare gli update, gli utenti saranno sempre sotto la minaccia o di Pegasus, o di non usare alcun sistema di cifratura delle loro comunicazioni.
