Citizen Lab의 디지털 위협 연구원이 NSO Group의 Pegasus 스파이웨어를 바레인 활동가의 장치에 배포하는데 사용된 새로운 제로 클릭 iMessage 익스플로잇을 발견했다.
Citizen Lab에 의하면 바레인 정부와 높은 신뢰로 연결된 Pegasus 운영자가 부분적으로 조직한 캠페인에서 총 9명의 바레인 활동가(바레인 인권 센터의 회원, Waad, Al Wefaq을 포함)의 iPhone이 해킹되었다.
2개의 제로 클릭 iMessage 익스플로잇을 통해 감염된 장치에는 스파이웨어가 배포되었다. 두 개의 제로클릭 익스플로잇은 2020 KISMET 익스플로잇과 FORCEDENTRY라는 새로운 익스플로잇이다. 새로운 iMessage 제로 클릭은 이러한 익스플로잇을 차단하도록 설계된 iOS BlastDoor기능을 우회한다. 해당 익스플로잇을 사용한 NSO 그룹 공격은 2021년 2월에 처음 발견되었다.
Citizen Lab은 "우리는 FORCEDENTRY 익스플로잇이 iOS 버전 14.4 및 14.6에 성공적으로 배포된 것을 확인했다. 피해자의 동의하에 발생한 충돌 로그와 KISMET, FORCEDENTRY와 관련된 일부 추가 휴대폰 로그를 Apple과 공유했으며, 조사 중임을 확인했다."라고 말했다.
iMessage 익스플로잇으로부터 보호하려면 iMessage와 FaceTime을 비활성화하기만 하면되지만, NSO Group은 WhatsApp을 비롯한 다른 메시징 앱을 대상으로 하는 익스플로잇도 사용했다. 또한 iMessage를 비활성화하면 위협 행위자가 쉽게 가로챌 수 있는, 암호화되지 않은 메시지 전송 등의 또 다른 문제가 발생한다. 현재는 Apple이 NSO Group의 FORCEDENTRY 익스플로잇의 표적이 되는 결함을 해결하기 위한 보안 업데이트를 발표할 때까지 이스라엘 감시 회사가 잠재적으로 표적으로 삼을 수 있는 모든 앱을 비활성화하는 것이 사용자들이 스스로를 보호하기 위해 할 수 있는 유일한 방법이다.
출처
https://www.bleepingcomputer.com/news/apple/new-zero-click-iphone-exploit-used-to-deploy-nso-spyware/
