Kako deluje orodje ForcedEntry podjetja NSO Group
Jurij Kristan
19. dec 2021 ob 16:42:49
Googlova skupina raziskovalcev kibernetske varnosti, Project Zero, je ponudila zanimiv vpogled v programje ForcedEntry, s katerim je zloglasno izraelsko podjetje NSO Group vdiralo v iphone in nanje nameščalo vohunsko zlobno kodo Pegasus.
Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav. Toda še vedno gre za izjemno nevarnega akterja na tržišču vohunske zlobne kode in kako domiselna so njihova orodja za vdiranje v naprave, strokovnjaki odkrivajo šele sedaj. Googlov laboratorij za raziskovanje programskih ranljivosti Project Zero se je lotil podrobnega vpogleda v orodje ForcedEntry, ki omogoča samodejno vdiranje v naprave brez uporabnikove interakcije (zero-click). Primerek kode so jim poslali iz kanadskega laboratorija Citizen Lab, kjer so ga sicer pridobili s telefona savdskega aktivista.
ForcedEntry je sicer serija aplikacij NSO Group za vdiranje, ki je v prvih inačicah še zahtevala klik na povezave do okužene kode, približno v letu 2018 pa je prešla na metodo zero-click. Raziskovalci Project Zera so se dokopali do nadvse zanimivih in pomenljivih izsledkov. Obravnavana različica ForcedEntryja je delovala skozi zlorabo ranljivosti v sporočilni aplikaciji iMessage v iOS. Luknje so zevale v prastari programski kodi - še iz devetdesetih let prejšnjega stoletja - ki jo je iMessage uporabljal za prikaz slikovne vsebine. Z domiselno zlorabo so lahko app prisilili v samodejno odpiranje okužene datoteke PDF, s čimer se je na telefon namestilo vohunsko programje. Dodatno fascinantno je, kako je ta proces potekal: povsem avtomatizirano in brez ukazov s strani nadzornih strežnikov ter v lastnem virtualiziranem prostoru, s čimer se je skril pred pogledom operacijskega sistema. V Applu so sicer do letošnjega oktobra ranljivosti že zakrpali.
V Project Zeru metode označujejo za izjemno napredne in povsem na ravni najsposobnejših državnih akterjev, se pravi ruskih, kitajskih, ameriških in severnokorejskih. Še vedno pa ni povsem jasno, kdo v NSO Group jih je pravzaprav razvil in kako natančno jih tržijo ter uporabljajo. Čeprav firma izdelke trži z odobritvijo izraelskih organov, pa ni dokazov, da bi jim neposredno pomagale tamkajšnje obveščevalne službe ali vojska. Iz mnogih preiskav Citizen Laba in Amnesty Internationala vemo, da delovanje Pegasusa običajno nadzoruje osrednji sistem strežnikov, kar bi v teoriji pomenilo, da imajo lahko prste poleg tudi pri posameznih vdorih, ne zgolj razvoju programja, kar pa sami vztrajno zanikajo.