Újabb támadás újságírók ellen

A kanadai CitizenLab kutatói egy újabb kémkedési kampányt lepleztek le, mely jellemzően újságírókat célzott meg. A december 20-án közzétett jelentés szerint az Al Jazeera-nál dolgozó 36 újságíró, hírolvasó és vezető munkatárs személyes telefonját fertőzte meg egy kártevő, melyet korábban az NSO kiberkémkedéssel és megfigyeléssel foglalkozó bűnözői csoporthoz kötöttek. A naplóadatok szerint a kampány hosszú ideje zajlott. A támadók az érintett eszközöket az iMessage alkalmazáson keresztül fertőzték meg, mely legalább az iOS 13.5.1 verziójáig sérülékeny volt az adott támadási vektorra. A kutatók nem hiszik, hogy a most felfedezett támadási vektor az iOS 14-es főverziót követő követő frissítésekben is kihasználható, ezért mindenkinek javasolják az operációs rendszer frissítését.

A támadást kifinomultságát jelzi, hogy még az azt felfedező CitizenLab is úgy vélekedik, hogy bár a biztonságtudatosság és a belső szabályzók, eljárásrendek megkerülhetetlen tényezők, de jelentős anyagi áldozatot kell hozni a biztonsági rendszerek, elemző eszközök, és rendszeres biztonsági ellenőrzések terén is, annak érdekében, hogy a hasonló típusú támadásokra fény derüljön. A biztonsági kutatókkal történő együttműködés nélkül az adott fertőzésre nem derülhetett volna fény.

A fertőzésre sem a biztonsági eszközök hívták fel a figyelmet, hanem az egyik érintett újságíró, Tamer Almisshal érezte úgy, hogy a telefonját esetleg meghekkelték, és ezért vette fel a kapcsolatot a CitizenLabbal. 2020 januárjában az újságíró beleegyezett, hogy egy VPN kapcsolaton keresztül a kutatók megfigyelhessék az összes, általa az internet irányába küldött forgalom metaadatait. 2020 júliusában tűnt fel egy cím (9jp1dx8odjw1kbkt.f15fwd322.regularhours.net) a kutatóknak, mely cím az interneten elérhető adatok alapján az NSO csoport által üzemeltetett Pegasus kémprogram telepítő szervere. Ebből a fogalomból kiindulva vált gyanússá pár iCloud irányába tartó csomag, mely időzítését és tartalmát tekintve eltért a szokásos forgalomtól. A Pegasus telepítő szerverrel való kapcsolatfelvételt követően három IP címmel vette fel a kapcsolatot a készülék, melyekkel sem korábban, sem azóta nem kommunikált. A három cím irányába összesen mintegy 270Mb forgalmat bonyolított a készülék.

A fertőzés elemzése során a kutatók megállapították, hogy a Pegasus kémprogram többek között képes felvenni a környezetében hallható zajokat, rögzíteni a titkosított hívások tartalmát, fényképet készíteni, az eszköz helyét meghatározni, és hozzáfér a készüléken tárolt jelszavakhoz, egyéb hozzáférési adatokhoz.

A kutatók azzal zárják elemzésüket, hogy az újságírók ellen irányuló kémkedési tevékenységek száma egyre inkább nő, egyre több esetben derül ki, hogy a média munkatársai ellen kémprogramokat vetnek be. Kihangsúlyozzák továbbá, hogy nagy a szakadék az újságírók rendelkezésére álló biztonsági eszközök és a fenyegetettség között: míg egyre gyakrabban esnek áldozatul kémkedésnek, addig többek kénytelenek az alapvető biztonsági intézkedések megtétele nélkül végezni a munkájukat, és egyes riporterek számára még azok a védelmi megoldások sem elérhetőek, melyekkel esetleg a nagyobb hírügynökségek rendelkeznek. (forrás)