Un exploit sans clic jusque-là inconnu dans iMessage d’Apple a été utilisé pour installer des logiciels espions mercenaires de NSO Group et Candiru contre au moins 65 personnes dans le cadre d’une « opération clandestine pluriannuelle ».
« Les victimes comprenaient des membres du Parlement européen, des présidents catalans, des législateurs, des juristes et des membres d’organisations de la société civile », a déclaré le Citizen Lab de l’Université de Toronto dans un nouveau rapport. « Des membres de la famille ont également été infectés dans certains cas. »
Sur les 65 individus, 63 ont été ciblés par Pegasus et quatre autres ont été infectés par Candiru, avec des iPhones appartenant à au moins deux compromis avec les deux. Les incidents se seraient principalement produits entre 2017 et 2020.
Les attaques impliquaient la militarisation d’un exploit iOS appelé HOMAGE qui a permis de pénétrer les appareils exécutant des versions antérieures à iOS 13.2, qui a été publié le 28 octobre 2019. Il convient de noter que la dernière version d’iOS est iOS 15.4.1.
Bien que les intrusions n’aient pas été attribuées à un gouvernement ou à une entité spécifique, le Citizen Lab a laissé entendre un lien avec le gouvernement espagnol, citant les tensions persistantes entre le pays et la communauté autonome de Catalogne au milieu des appels à l’indépendance de la Catalogne.
Les conclusions s’appuient sur un rapport antérieur de The Guardian et El País en juillet 2020 qui a révélé un cas d’espionnage politique intérieur visant des partisans indépendantistes catalans utilisant une vulnérabilité dans WhatsApp pour fournir le logiciel de surveillance Pegasus.
En plus de s’appuyer sur la vulnérabilité WhatsApp désormais corrigée (CVE-2019-3568), les attaques ont utilisé plusieurs exploits iMessage sans clic et des messages SMS malveillants pour pirater les iPhones des cibles catalanes avec Pegasus sur une période de trois ans.
« L’exploit HOMAGE semble avoir été utilisé au cours des derniers mois de 2019 et impliquait un composant iMessage sans clic qui a lancé une instance WebKit dans le processus com.apple.mediastream.mstreamd, à la suite d’un com.apple.private.alloy recherche .photostream pour une adresse e-mail Pegasus », ont déclaré les chercheurs.
On pense probablement que le problème a été résolu par Apple dans la version iOS 13.2, car l’exploit a été observé comme n’étant lancé que sur les appareils exécutant les versions iOS 13.1.3 et inférieures. Une autre chaîne d’exploitation appelée KISMET qui était présente dans iOS 13.5.1 est également mise à profit.
D’autre part, les quatre personnes qui ont été compromises avec le logiciel espion de Candiru ont été victimes d’une attaque d’ingénierie sociale par e-mail conçue pour inciter les victimes à ouvrir des liens apparemment légitimes sur COVID-19 et des messages se faisant passer pour le Mobile World Congress (MWC), un salon annuel qui se déroule à Barcelone.
Les logiciels espions de Pegasus et de Candiru (appelés DevilsTongue par Microsoft) sont conçus pour obtenir secrètement un accès étendu aux informations sensibles stockées dans les appareils mobiles et de bureau.
« Le logiciel espion […] est capable de lire des textes, d’écouter des appels, de collecter des mots de passe, de suivre des emplacements, d’accéder au microphone et à la caméra de l’appareil cible et de récolter des informations à partir d’applications », ont déclaré les chercheurs. « Les appels et les chats cryptés peuvent également être surveillés. La technologie peut même maintenir l’accès aux comptes cloud des victimes après la fin de l’infection. »
Les liens avec Pegasus et Candiru du groupe NSO découlent de chevauchements d’infrastructures, les opérations de piratage étant probablement le travail d’un client lié au gouvernement espagnol en raison du moment des attaques et des schémas de victimologie, a déclaré le Citizen Lab.
« Le cas est remarquable en raison de la nature effrénée des activités de piratage », ont conclu les chercheurs.
« Si le gouvernement espagnol est responsable de cette affaire, cela soulève des questions urgentes quant à savoir s’il existe une surveillance adéquate des agences de renseignement et de sécurité du pays, ainsi que s’il existe un cadre juridique solide que les autorités sont tenues de suivre pour entreprendre toute activité de piratage. . »