Dziennikarze Al-Dżaziry ofiarami Pegasusa. Czego szukali hakerzy?

Oprogramowanie szpiegowskie Pegasus wyprodukowane przez izraelską firmę NSO  miało być wykorzystane przeciwko dziesiątkom dziennikarzy katarskiej stacji telewizyjnej Al-Dżaziry - informują badacze z Citizen Lab zlokalizowanego na Uniwersytecie w Toronto.

Pomiędzy lipcem a sierpniem 2020, rządowi hakerzy wykorzystali Pegasusa w celu włamania się do 36 telefonów należących do dziennikarzy, producentów, prezenterów telewizyjnych i kadry zarządzającej Al-Dżaziry. Celem ataku był również osobisty telefon dziennikarki Ranii Dridi pracującej dla zlokalizowanej w Londynie stacji Al Araby, która miała paść ofiarą hakerów sześciokrotnie pomiędzy październikiem 2019 i lipcem 2020 roku.  Zajmuje się ona wrażliwymi tematami jak np. prawami kobiet na Bliskim Wchodzie, dlatego nie dziwi ją fakt, że mogła zostać zaatakowana. Ma ona również bliskie kontakty z krytykami rządów w Arabii Saudyjskiej i Zjednoczonych Emiratach Arabskich, a atakujący mogli, wybierając ją na cel, próbować do nich dotrzeć. 

Jak ustalili badacze z Citizen Lab, telefony zostały zhakowane przy wykorzystaniu podatności KISMET, która umożliwia dostęp do telefonu przez luki w iMessage, nie wymagając interakcji od użytkownika. Co ważne, w czerwcu 2020 ta podatność była wykorzystana przeciwko wersji iOS 13.5.1 i umożliwiała włamanie się do najnowszego wtedy modelu iPhone 11. Naukowcy bazując na logach ze zhakowanego telefonu wykryli, że podobna podatność była używana pomiędzy październikiem a grudniem 2019 roku. Podkreślili również, że ich zdaniem, to tylko niewielka część działań hakerskich wykorzystujących tę podatność. Praktycznie każdy iPhone, którego system nie został zaktualizowany do wersji 14 mógł być narażony na taki atak.  Jednocześnie jednak nie znaleziono dowodów na to, że  działa ona na systemach iOS w wersji 14, która wprowadziła nowe zabezpieczenia. Hakerzy wykorzystali do przeprowadzenia ataków serwery w Niemczech, Francji, Wielkiej Brytanii i we Włoszech.

Za operacją zhakowania dziennikarzy stało 4 hakerów wykorzystujących Pegasusa. Jak udało się ustalić Citizen Lab, jedna osoba miała pracować na rzecz saudyjskiego rządu i włamać się do 18 telefonów. Inny operator oprogramowania został zidentyfikowany jako pracownik rządu Zjednoczonych Emiratów Arabskich. Miał on być odpowiedzialny za zhakowanie 15 telefonów. Jeden z aparatów był infiltrowany przez 2 hakerów. NSO Group w oświadczeniu skomentowało, że nie zna szczegółów sprawy.

To nie pierwszy przypadek wykorzystania oprogramowania szpiegowskiego NSO Group w kampaniach szpiegowskich na Bliskim Wschodzie. To również kolejny dowód na to, że firma twierdząc, że jej oprogramowanie stosowane jest tylko przez rządy do śledzenia terrorystów i przestępców mija się z prawdą. Wcześniej za pomocą oprogramowania izraelskiej firmy szpiegowano dziennikarzy w Maroku, polityków w Hiszpanii, dysydentów politycznych w Rwadzie oraz prodemokratycznych księżyc w Togo. W tych przypadkach wykorzystano podatność w WhatsAppie, co doprowadziło do pozwania NSO przez Facebooka - właściciela WhatsAppa. W sądzie, NSO Group przekazało, że to rządy kontrolują sposób wykorzystania złośliwego oprogramowania.

Zhakowanie dziennikarzy Al-Dżazira zostało odkryte po tym, jak dziennikarz śledczy Tamer Almisshal zaniepokojony zachowaniem własnego telefonu zwrócił się o pomoc do Citizen Lab. Badacze zidentyfikowali, że jego telefon łączy się z serwerami NSA i został on zarażony złośliwym kodem dostarczonym przez serwery Apple pomimo tego, że Almisshal  nie klikał w żadne podejrzanie linki. Dokładniejsza analiza pozwoliła na wykrywanie technicznych dowodów na to, że jego telefon był infiltrowany.

Zamknięcie Al-Dżaziry było jednym z warunków postawionych Katarowi przez Arabię Saudyjską, Zjednoczone Emiraty Arabskie, Egipt i Bahrajn.  W zamian państwa zobowiązywały się do zniesienia sankcji ekonomicznych nałożonych w 2017 roku.