【安全资讯】萨尔瓦多记者手机遭Pegasus间谍软件入侵

引言

1月12日，公民实验室发布报告称，在2020 年 7 月至 2021 年 11 月期间， NSO 公司的 Pegasus 间谍软件感染了35 名萨尔瓦多记者和民间社会成员的手机。

简况

研究人员通过Internet 扫描和DNS 缓存探测，确定了一家 Pegasus 运营商，该运营商几乎只专注于萨尔瓦多境内，研究人员将其命名为TOROGOZ。虽然研究人员对攻击者的身份没有确凿的技术证据，但对萨尔瓦多个人的关注表明，Torogoz 很可能是与萨尔瓦多政府有关的实体。在 2020 年的一份报告中称，萨尔瓦多是使用了以色列公司 Circles 制造的监控工具的国家之一。

研究人员的取证分析侧重于确定与Pegasus间谍软件相关的特定进程或二进制文件是否在指定时间内在相关手机上运行。取证分析包括搜索手机的执行记录，以及搜索与 Pegasus 的执行或安装相关的其他痕迹。

攻击者至少部署了两个零点击漏洞：KISMET和FORCEDENTRY。其中 13 部手机包含KISMET FACTOR ，这是执行零点击KISMET漏洞后留下的。此漏洞在 2020 年 7 月至 2020 年 12 月之间部署，是疑似针对 iOS 13.5.1 和 13.7 的零日漏洞。KISMET漏洞尚未被公开捕获和分析，但似乎使用了 JPEG 附件，以及 iMessage 的IMTranscoderAgent进程调用 WebKit 实例。此外，研究人员还恢复了一份FORCEDENTRY漏洞的副本。

TOROGOZ入侵的目标包括来自El Faro、GatoEncerrado、La Prensa Gráfica、Revista Digital Disruptiva、Diario El Mundo、El Diario de Hoy等新闻网站的记者和两名独立记者，民间社会的目标包括 Fundación DTJ、Cristosal 和另一个非政府组织。

受打击最严重的是新闻网站 El Faro，其公司有22 名记者、编辑和行政人员的设备遭到入侵，受感染人数占公司员工的三分之二以上。从 2020 年 6 月 29 日到 2021 年 11 月 23 日，El Faro 至少在 17 个月内一直处于监视之下，主编 Oscar Martinez 的电话至少被渗透了 42 次。

总结

媒体组织和记者经常成为 NSO 集团客户的攻击目标。尽管近日的报道称，NSO 集团在苹果诉讼后濒临破产和倒闭。但还有许多其他的间谍软件供应商正在蓬勃发展，填补潜在的 NSO 关闭留下的空缺。