Al Jazeera에서 일하는 기자 34명은 중동 사이버 스파이 활동의 일환으로 스파이웨어를 설치하기 위한 제로 클릭 익스플로잇을 통해 아이폰을 은밀하게 해킹했다.
토론토 대학의 Citizen Lab가 어제 발간한 새로운 보고서에서 연구원들은 Al Jazeera의 기자, 프로듀서, 앵커, 임원 36명과 런던에 본사를 둔 Al Araby TV의 기자의 개인 전화가 현재 Apple iMessage에 결함으로 페가수스 악성코드에 감염되었다고 말했다.
Pegasus(페가수스)는 이스라엘 사설 정보 회사 NSO 그룹에서 개발했으며 공격자가 대상자 모르게 대상자 장치에 저장된 중요한 데이터에 액세스할 수 있도록 한다.
연구원들은 "산업계와 이미 비밀에 휩싸인 고객이 제로 클릭 공격으로 전환함에 따라 악용 사례가 탐지되지 않을 가능성을 증가된다"라고 말했다.
또한 "대상이 기기에서 의심스러운 것을 알아차리지 못 하게 하기 때문에 이러한 제로 클릭 공격을 탐지하는 것은 더 어렵다. 이상한 행동을 관찰하더라도, 그 이벤트는 일시적일 수 있고 장치에 어떤 흔적도 남기지 않을 수 있다."라고 말했다.
[그림1. Zero Click Exploit]
이번 발견은 Al Jazeera의 기자 Tamer Almisshal가 자신의 아이폰이 해킹을 당했음을 의심하고 올 1월 초 Citizen Lab의 연구원들이 VPN 앱을 사용하여 네트워크 트래픽을 모니터링하기로 동의한 후 밝혀졌다.
[그림2. 트래픽 내역]
인터넷 감시단은 이 공격이 올해 7월과 8월경 iOS 13.5.1의 제로 데이인 KISMET이라고 불리는 공격 체인을 사용하여 발생했다는 것을 발견했다.
Citizen Lab은 문제의 36대의 전화기가 사우디와 아랍에미리트 정부와 관련이 있을 가능성이 있는 4개의 다른 "clusters" 또는 NSO 운영자들에 의해 해킹당했다고 말했다.
Almisshal의 VPN 로그를 검토한 결과, Apple iCloud 서버에 대한 비정상적인 연결이 갑자기 증가했다는 것이 밝혀졌다.
연구원들은 이 연결이 악성 코드를 전송하는 최초의 감염 벡터였다고 추측하고, 그다음 Pegasus 스파이웨어를 가져오기 위해 설치 서버에 연결한 것으로 추정했다.
이 임플란트는 마이크 오디오와 전화 통화를 녹음하고, 카메라를 사용하여 사진을 찍고, 희생자의 암호를 액세스하고, 장치의 위치를 추적할 수 있는 기능을 갖추고 있다.
NSO 그룹은 자사의 소프트웨어가 테러리스트와 범죄자들을 추적하기 위해 사법 기관에 의해서만 사용된다고 일관되게 주장해 왔지만, 여러 정부에서 비평가, 반체제 인사, 정치인, 그리고 다른 여러 사람을 감시하기 위해 악용된 것은 이번이 처음은 아니다.
[그림3. 공격 과정]
그중 하나는 WhatsApp에서 이전에 알려지지 않은 취약점을 통한 해킹 도구의 전달과 관련이 있으며, 현재 미국 법정에서 이 회사를 상대로 법적 조치를 취하고 있다.
출처
https://thehackernews.com/2020/12/iphones-of-36-journalists-hacked-using.html
