Pegasus, Apple parla e Amazon agisce. Online anche tool verifica integrità

20 Luglio 2021 49

Amazon e Apple hanno reagito pubblicamente al "leak dell'anno", come l'ha definito Edward Snowden, sugli atti di spionaggio compiuti nei confronti di giornalisti e attivisti da vari governi sfruttando la suite di attacchi nota come Pegasus e sviluppata dall'israeliana NSO Group. Nel frattempo, è comparso su GitHub un toolkit open-source che permette di verificare se il proprio smartphone è stato un bersaglio (a prescindere dall'esito dell'attacco) di Pegasus.

AMAZON: CHIUSURA ACCOUNT AWS

NSO Group usa, tra gli altri, i servizi cloud di Amazon Web Services per mantenere Pegasus online; l'ha confermato Amnesty International, tra gli altri. Già a maggio, Amazon aveva dichiarato di essersi adoperata per rimuovere dai server AWS ogni funzionalità collegata all'hacking quanto prima, ma alla luce della nuova inchiesta ha deciso di terminare completamente ogni account collegato alla società israeliana.

A quanto pare NSO Group aveva iniziato a usare CloudFront, la CDN (che cos'è?) di Amazon, di recente. Le indagini dimostrano che la CDN era usata da Pegasus per distribuire il malware ai dispositivi dei bersagli. Motherboard aveva già osservato l'uso di AWS da parte della società a maggio 2020.

APPLE: CONDANNA PEGASUS, DIFENDE LA SICUREZZA DI IPHONE

Apple ha dichiarato in una nota stampa di "condannare senza mezzi termini" attacchi informatici contro giornalisti, attivisti per i diritti umani e "altri che cercano di rendere il mondo un posto migliore". La Mela ci tiene a precisare che gli attacchi come quelli sviluppati da NSO Group sono estremamente sofisticati, durano poco, sono realizzati praticamente su misura per il bersaglio e il loro sviluppo richiede milioni di dollari. In poche parole: la stragrande maggioranza degli utenti di iPhone non ha da temere. Detto questo, Apple ribadisce che lavora costantemente per migliorare la sicurezza di tutti i suoi clienti.

NSO GROUP DIFENDE IL PROPRIO BUSINESS

La società informatica israeliana si sta prodigando in dichiarazioni ai media in questi giorni: come abbiamo visto ieri, la difesa punta su concetti come inaffidabilità delle fonti, premesse fuorvianti e teorie non corroborate. Parlando con i colleghi di TechCrunch, NSO Group ha anche detto che non sa quali siano i bersagli dei suoi clienti. Un post sul blog ufficiale dell'azienda dice che è in corso di valutazione un'azione legale per diffamazione, e che:

NSO vende le proprie tecnologie esclusivamente a forze dell'ordine e agenzie di intelligence di governi verificati con il solo obiettivo di salvare vite prevenendo atti criminali e terroristici. NSO non gestisce direttamente i sistemi dei clienti e non ha alcun modo di vederne i dati.

NSO Group spiega che le sue tecnologie sono usate ogni giorno per smantellare giri di pedopornografia, traffico di esseri umani e droga, trovare bambini rapiti e superstiti di catastrofi naturali, e proteggere i cieli dalle incursioni di droni ostili. "La missione di NSO è salvare vite, e continuerà a eseguirla imperterrita, nonostante i ripetuti tentativi di screditarla con false accuse.

IL TOOL OPEN-SOURCE DI VERIFICA

Il team di informatica forense di Amnesty International, una delle protagoniste dell'inchiesta, ha messo a punto un tool open-source per verificare se il proprio dispositivo è mai stato attaccato da Pegasus. Il tool si chiama Mobile Verification Toolkit o MVT, e si trova su GitHub; è compatibile sia con Android sia con iOS, ma non è infallibile, ci tengono a precisare gli sviluppatori. In effetti, secondo loro è più facile trovare tracce di un attacco su iOS che su Android. Vale la pena precisare che MVT si concentra su tracce di tentativi di attacco; in altre parole, non rileva necessariamente solo gli smartphone infettati.

Il toolkit è progettato per dispositivi desktop e si adopera da riga di comando: funziona scandagliando i file di backup completi sia di iPhone sia di dispositivi Android. Nel caso di iPhone vengono cercati svariati marcatori in più posizioni del file system, mentre con Android ci si limita a cercare SMS contenenti link a domini la cui affiliazione a NSO Group è stata verificata.


49

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
DeeoK

Guarda che non serve che continui a dimostrarmi di esserci, l'avevo già capito.
Magari scopri anche come sia finita per Hacking Team. Spoiler: non è cambiato nulla.
Ah, per inciso, magari ti è sfuggito, ma è la magistratura italiana che indaga su possibile vendita a organizzazioni al quale non è consentita la vendita. Nessun ordine di cattura internazionale.

Francesco Paolo Pignatelli

Magari leggere tutto quello che ho scritto e non solo quello che ti conviene per portare avanti una sterile polemica?
"Probabilmente dipende da come viene inviato il "messaggio esca" e dai permessi (e quindi dalle vulnerabilità) che ha l'app che lo gestisce, quindi immagino che per SMS ed email siano state sfruttate vulnerabilità dei browser."

ancora a fare casi particolari?

se tu scrivi "Pegasus ha bisogno di un'azione da parte dell'utente" significa che secondo te qualsiasi installazione di Pegasus ha necessità di collaborazione della vittima.
Non *UNA*, non alcune, ma *QUALSIASI*
e questo è falso.

A sto punto, visto che non capisci la differenza tra uno e tutti (ed io che pensavo la insegnassero tipo alle elementari), ti saluto facendoti finire nel filtro.

stai dicendo ovvietà.

Una cosa è lo spyware, un'altra è il metodo di inoculazione.
sono combinati dall'attaccante.
Fatto sta che hai detto che "Pegasus ha bisogno di un'azione da parte dell'utente"

Ed è falso.
Pegasus ha bisogno di un metodo di inoculazione, ma non è necessariamente un'azione di un utente.

vuoi andare avanti ancora per molto a difendere la falsità che hai scritto?

Francesco Paolo Pignatelli

Allora non ci capiamo.
Lo 0-click di cui parli tu sfruttava una falla di Whatsapp poi chiusa, quindi quello 0-click che hai linkato adesso non esiste più.
E' ovvio che se esistono altre falle (di un'app o direttamente di un Os) che permettono un'installazione senza click, si tratta ancora di 0-click, ma non è che Pegasus è uno spyware 0-click.
Per essere 0-click deve sfruttare una vulnerabilità che, una volta individuata e chiusa, riduce uno spyware ad aver bisogno di essere aperto o installato.
Per esempio l'installazione di Pegasus era diversa per iOS e Android perché per un sistema operativo riusciva a diffondersi anche parzialmente, mentre nell'altro aveva bisogno di infettare il dispositivo completamente (o niente).
Quindi Pegasus è "solo" uno spyware, diventa 0-click o meno in base alla vulnerabilità che sfrutta.

Buona lettura:

https://www.repubblica.it/tecnologia/2015/11/03/news/hacking_team_la_procura_spyware_jihadisti-126529585/

Ma lo leggi quello che tu stesso scrivi e a cui ho risposto????

scrivi "Sì, per quello che ho capito Pegasus ha bisogno di un'azione da parte dell'utente ma a quanto pare"

Questo significa che escludi uno 0-click (che non necessita di alcuna "collaborazione" dell'utente).

E invece in alcuni casi è stato usato proprio uno 0-click.
Come dicono tutte le fonti compreso hackernews che è la testata tecnica di riferimento per queste cose.

Inutile che tiri fuori casi in cui non è stato usato, mica dimostri che non è *mai* stato usato facendo un esempio (ABC della logica)!

Francesco Paolo Pignatelli

No, non ho capito male.
"ONE OF THOSE cases involved the delivery of the hacking tool through a previously undisclosed vulnerability in WhatsApp", quello di cui parla è l'attacco 0-click effettuato tramite Whatsapp, quindi sfruttando una falla era di Whatsapp (poi chiusa).

Ma Pegasus è stato scoperto grazie all'attivista Mansoor che proprio NON cliccando sui link che aveva ricevuto tramite SMS ha evitato che il suo telefono si infettasse, e ha girato il link a Citizen Lab che ha individuato per la prima volta Pegasus.
Questa è la foto dell'sms e se cerchi in rete trovi diversi articoli sia su com'è andata la vicenda, sia sui vari metodi usati per diffondere Pegasus. https://uploads.disquscdn.c...

Quindi Pegasus si auto-installa sfruttando o falle di altre App come fu per Whatsapp (quindi davvero 0-click) o dei browser (che però richiedono il click a un link malevolo da e-mail o sms ricevuti).

Giardiniere Willy

Ho cercato ciò di cui parli (nel 2010 avevo 12 anni), non so, spero e credo che da allora sia cambiato abbastanza in fatto di sicurezza

ErCipolla

Non intenzionalmente magari, ma non sarebbe la prima volta che un virus Made In Isreal che doveva avere un target ben specifico (le centrali atomiche iraniane) si diffonde a macchia d'olio anche su macchine che non c'entrano nulla... parlo di Stuxnet ovviamente, per chi se lo ricorda.

Giardiniere Willy

Se sei un cittadino qualunque non ti vengono a spiare con questi software.

Come ha scritto Apple, questi attacchi costano tanti soldi e spesso sono mirati ad personam.

Figurati se spendono anche solo nell'ordine delle migliaia di dollari per un cittadino qualunque.

DeeoK

Ma hai letto la lista dei paesi? Secondo te domani la Francia o chi per lei dirama un ordine di arresto per un dirigente Leonardo perché vende armi agli Emirati Arabi?

Comunque mi hai tolto il dubbio di pochi post fa.

"Nessun paese del mondo potrebbe arrestare un dirigente di Beretta solo per aver venduto armi."

se ne sei così sicuro vai a vendere armi ai talebani che si fanno i soldoni.

DeeoK

Certamente: ilpost . it/2019/06/09/armi-italia-esportazioni/

E' vero che i clienti sono decisi dal governo ma fra i clienti c'è di tutto. Senza considerare che ruota tutto intorno a leggi nazionali. Nessun paese del mondo potrebbe arrestare un dirigente di Beretta solo per aver venduto armi. Fino a prova contaria il problema non è la vendita, è l'uso.

Quelli come te che puntano il dito verso NSO invece che verso i loro clienti sono molto confusi su parecchie cose.

la differenza è che Beretta può vendere solo ad una lista precisa di clienti

Se vendesse ai talebani secondo te sarebbe ancora in piedi?????

DeeoK

Va capito se tu ci sia o ci faccia.
NSO è un'azienda che produce software che vende a governi o associazioni. Mi indichi la differenza con Leonardo (o Beretta o chi preferisci) che produce armi che vende a governi o associazioni?

Confondere i governi con le aziende private non è che ti faccia apparire ferrato eh...

DeeoK

Non puoi vendere a chiccessia? Ma dove vivi?
Tutto l'occidente vende allegramente armi a dittatori da decenni. Il medio oriente mica viene rifornito solo dai russi. Ogni paese decide a chi vendere armi autonomamente. Non esiste nessuna regolamentazione internazionale se non per casi particolari (tipo armi chimiche).
Stai vaneggiando.

hai capito male ;)

https://thehackernews.com/2020/12/iphones-of-36-journalists-hacked-using.html

o meglio, quello che dici è quello che probabilmente fanno come primi tentativi, se non riescono, scomodano gli exploit

questi software sono equiparati ad armi in molte legislature.
E il traffico di armi è ben regolamentato.
Non puoi vendere a chicchessia.
E se vendi a palesi regimi cercando di nasconderti dietro il dito di "ma non usarlo in modo cattivo!!!", qualsiasi giudice ti manda in galera dopo averti riso in faccia.

Se se lo sono presi, li hanno già beccati.
Inoltre, ovviamente, il produttore utilizza algoritmi che modificano il codice abbastanza da non essere riconosciuto
Lo faceva anche Hacking Team il cui prodotto analogo fu leakato (codice sorgente compreso) e dopo qualche giorno dissero che erano già invisibile ai software di protezione con la loro nuova versione.

T. P.

no no gli americani sono in fissa con la sicurezza nazionale...
anche fossero cittadini qualunque non potrebbe permettersi la tempesta di m.... che potrebbe esserle scagliata addosso!!!
almeno, io la vedo così...
magari, invece, è come dici tu! :)

delpinsky
NSO Group spiega che le sue tecnologie sono usate ogni giorno per
smantellare giri di pedopornografia, traffico di esseri umani e droga,
trovare bambini rapiti e superstiti di catastrofi naturali, e proteggere
i cieli dalle incursioni di droni ostili. ", e continuerà a eseguirla imperterrita, nonostante i ripetuti tentativi di screditarla con false accuse.


Questo è il rovescio della medaglia... ora, usando il tool open source per capire se si è stati attaccati da Pegasus, criminali di ogni sorta, saranno in grado di difendersi.

DeeoK

In genere per gli americani è tutto lecito finché loro non vengono toccati.

DeeoK

E quale crimine avrebbero commesso i dipendenti di NSO per ricevere addirittura un ordine di cattura internazionale?

E quali stati dovrebbero rispondere? Quelli che hanno chiesto ad NSO software per spiare persone scomode?

ErCipolla

può essere, bisogna vedere se sono "cittadini qualunque", perché in quel caso non è da escludere che si "chiuda un occhio" se ci sono interessi più succosi in ballo.

T. P.

ti offro un altro punto di vista...
tra gli account compromessi, ci sono anche dei cittadini americani...
in un certo senso, amazon, ha contribuito a minare la sicurezza nazionale e proprio per quanto da te scritto si è subito affrettata fare quanto ha fatto...
anche perchè anche qui scrivono che loro erano già stati avvisati tempo fa e a maggio hanno fatto solo un mezzo passo...

GianL

Probabilmente il contagio vero e proprio non parte da lì per ovvie ragioni di difesa in caso di digital forensic.

Una volta che il malware è installato sul device bersaglio poi serve una gran quantità di storage per archiviare tutte le attività ed è solo qui che probabillmente entrano in gioco i servizi di hosting e colocation.

GianL

no, è una 0-click vulnerability.
Basta conoscere il numero di telefono del bersaglio e saper usare l'exploit.

probabile che per evitare di bruciare uno "0-day 0-click" (ovvero il non plus ultra in questo campo) lo usino solo quando non riescono in altro modo.

Più utilizzi un exploit, più è probabile che venga scoperto.

GianL

più che era, direi _è_
Hanno trovato dispositivi della mela infettati con iOS 14.6, non pare la 14.7 abbia risolto le vulnerabilità di iMessage.

Francesco Paolo Pignatelli

Probabilmente dipende da come viene inviato il "messaggio esca" e dai permessi (e quindi dalle vulnerabilità) che ha l'app che lo gestisce, quindi immagino che per SMS ed email siano state sfruttate vulnerabilità dei browser.

tramite iMessagge era 0-click
Arriva il messaggio in automatico e ti becchi il trojan senza doverlo nemmeno aprire

Speriamo che rispondano anche gli stati, emettendo un ordine di cattura internazionale per tutti i membri di NSO.

Poi vediamo chi non lo fa (e quindi è loro cliente).

ErCipolla

Piacevolmente stupito da Amazon. Considerando che gli USA sono pappa e ciccia con Israele, e che Amazon sta cercando di ingraziarsi il governo americano per avere più contratti possibili, dopo che MS ha perso l'esclusiva, non mi sarei aspettato che si sbilanciassero sulla vicenda fino alla chiusura degli account.

Mi sarei aspettato una reazione più simile a quella di Apple, ovvero frasetta di circostanza da PR.

Ecco, allora non mi piace per niente.
(Omissione di parole fastidiose e pesanti)
:(

Portobello

sai pante, io nel dubbio ho disattivato Prime

la falla era 0 click. non dovevi fare niente

Francesco Paolo Pignatelli

Sì, per quello che ho capito Pegasus ha bisogno di un'azione da parte dell'utente ma a quanto pare, essendo attacchi mirati, i messaggi sono stati confezionati ad hoc e in modo da essere credibili. Poi attivisti e giornalisti immagino non siano così esperti.

Portobello

io non abbocco mai

Me lo hanno appena spiegato.
Tu invece meriti quello che ti meriti.
:(

L'utente, che riceve il messaggio, deve però fare qualcosa altrimenti l'attacco non va a buon fine. Bisogna anche essere specialisti di hacking sociale per farsi aprire la porta dal malcapitato. :\

Giangiacomo

Sai almeno cosa sia AWS ? Perché non c'entra nulla con l'app di Amazon

Francesco Paolo Pignatelli

"...i servizi cloud di Amazon Web Services per mantenere Pegasus online" probabilmente si riferisce a servizi che inviano gli sms/email malevoli.
Gli sms/email inviati contengono dei link che una volta aperti, reindirizzano al download dello spyware vero e proprio (che probabilmente sarà ospitato su molteplici altri server sparsi nel mondo).
Al massimo tra i servizi usati ce ne saranno alcuni per collezionare i dati di delle vittime.
Sono ipotesi ma ad ogni modo non si parla di uno spyware trasmesso tramite app di Amazon (o altri store).

Grazie. ;)

Cien2015

amazon vende servizi di hosting e cloud (Amazon Web Services). La società aveva comprato dei servizi di hosting/server da AWS.

Abbastanza da postare una domanda più che lecita che si aspetta una risposta illuminante.
;)

Giangiacomo

Mi sa che hai molta confusione in testa...

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti

Xiaomi Mi 11 Lite come non l'avete mai visto | Video

Recensione Sony Xperia 1 III: super fotocamere e spirito bollente

Recensione vivo X60 Pro: cosa offre lo smartphone ufficiale degli Europei