Sofisticato attacco ad Apple iOS: come funziona Pegasus

È stato definito dai tecnici di Lookout – società statunitense impegnata nello sviluppo di soluzioni per la sicurezza – come il malware più sofisticato sino ad oggi scoperto.
Ad essere presi di mira, questa volta, sono gli utenti di Apple iOS: sfruttando un tris di vulnerabilità presenti nel sistema operativo della Mela già da anni, un aggressore può spiare le attività effettuate con lo smartphone interagendo a basso livello con il funzionamento del telefono.

Non si tratta, questa volta, di semplici proof-of-concept: le vulnerabilità presenti in iOS sono state utilizzate per sferrare attacchi mirati a politici, giornalisti, manager e personalità pubbliche. La minaccia è concreta anche perché il codice adoperato negli attacchi è stato messo a punto dai tecnici di NSO Group, una società israeliana (acquisita nel 2014 dalla statunitense Francisco Partners) che vende ai governi e alle forze di polizia strumenti software per monitorare criminali o persone “scomode”.

Lo spyware di NSO fa tornare la mente all'”affaire Hacking Team” (Hacking Team, come è stata attaccata): tante sono infatti le analogie. In questo caso, però, non sono stati i server di NSO a essere stati aggrediti: le informazioni che hanno permesso di risalire alla società sono emerse durante l’analisi del codice.

Tutto è cominciato con la segnalazione inviata da Ahmed Mansoor a Citizen Lab, laboratorio collegato con l’Università di Toronto.
Attivista noto per aver ripetutamente denunciato le pratiche anti-democratiche seguite da diversi governi medio-orientali, Mansoor ha fatto presente di essere oggetto – con regolarità – di campagne malware poste in essere da enti governativi con lo scopo di monitorare i suoi movimenti e le sue ricerche.
Nel caso di specie, Mansoor ha ricevuto un messaggio personale il cui contenuto faceva riferimento a un “dossier segreto” sulle torture subite dai carcerati nelle prigioni degli Emirati Arabi Uniti. Anziché aprire il link presente nel messaggio, Mansoor ha girato il tutto a Citizen Lab che, insieme con gli esperti di Lookout, hanno svolto approfondite indagini.

Risultato? Se Mansoor avesse “cliccato” il link malevolo, avrebbe di fatto consegnato il suo iPhone a terzi consentendone il pieno controllo in modalità remota.

Le vulnerabilità, battezzate Trident, sfruttano un bug in Safari che consente di eseguire codice malevolo in memoria e di compromettere il dispositivo iOS seguendo un semplice link. Di concerto, altre due lacune di sicurezza relative al kernel di iOS permettono di effettuare il jailbreaking dello smartphone e installarvi lo spyware.

Lo spyware Pegasus sviluppato da NSO sfrutta proprio le tre vulnerabilità attivando poi un canale di comunicazione cifrato fra dispositivo Apple violato e server di controllo.
Così facendo, effettuando un’analisi dei pacchetti dati in transito, è impossibile stabilire il contenuto dei messaggi scambiati e la natura delle attività in corso.

I tecnici di Lookout hanno potuto verificare come Pegasus sia altamente personalizzabile: oltre a potersi comportare diversamente a seconda della “nazionalità” dell’utente attaccato, gli aggressori possono decidere se sottrarre messaggi, lista delle chiamate, testi delle email, file di log e tutti i dati di app come Gmail, Facebook, WhatsApp, Skype, Viber, Calendar, FaceTime, Line, WeChat e così via.
Lo spyware, inoltre, una volta insediatosi sul device iOS resiste alla reimpostazione e all’aggiornamento del dispositivo.

Appena venuta a conoscenza del problema, Apple ha immediatamente risolto le tre lacune di sicurezza rilasciando iOS 9.3.5.
I possessori di qualunque dispositivo col simbolo della mela morsicata sono quindi invitati a procedere, prima possibile, all’installazione della release più recente di iOS.

Maggiori informazioni sono reperibili sul blog di Lookout, in questa pagina.