عاملان تهدید، گوشی آیفون بن هابارد، روزنامهنگار نیویرکتایمز را در بازهی ژوئن 2018 تا ژوئن 2021 دو بار به جاسوسافزار Pegasus گروه NSO آلوده کردند.
گوشی آیفون بن هابارد، روزنامهنگار نیویورکتایمز، دوباره به جاسوسافزار پگاسوس گروه NSO آلوده شد. تلفن این روزنامهنگار از تاریخ جولای 2020 تا ژوئن 2021 دو بار مورد هدف قرار گرفته است.
تیم تحقیقاتی Citizen Lab دانشگاه تورنتو این حملات را مستند کرده است. حمله وقتی رخ داده که بن هابارد در حال نوشتن کتابی دربارهی محمد بن سلمان، شاهزاده عربستان سعودی بوده است.
درباره جاسوسافزارها بیشتر بدانید:
در گزارش این تیم تحقیقاتی آمده است:
«این حملات به تلفن همراه هابارد و بعد از انتقاد او از گروه NSO بابت حملهی اپراتور KINGDOM Pegasus در ماه ژوئن سال 2018 رخ دادهاند. ما با اطمینان کامل حملات 2020 و 2021 را منتسب به جاسوسافزار Pegasus گروه NSO میدانیم، اما نمیتوانیم با اطمینان بگوییم که این حمله دقیقا توسط کدام یک از مشتریان گروه NSO انجام شده است. با این وجود معتقدیم کسی که این حمله را مرتکب شده، مسئول هک تلفن همراه فعال عربستانی در 2021 نیز بوده است.»
این محققین به مجموعهای از یافتههای فارنزیک در آیفون هابارد رسیدهاند که به حملهی آوریل 2018 جاسوسافزار Pegasus مرتبط بوده است، اما مطمئن نیستند که این دادهها مربوط به یک حملهی واقعی هستند یا از تستهایی که مهاجمان انجام دادهاند به جا ماندهاند.
گوشی آیفون هابارد در تاریخ 12 جولای 2020 و 13 ژوئن 2021 هک شده بود. مهاجمان از اکسپلویتهای نفوذ زیروکلیک (Zero-Click) KISMET و FORCEDENTRY استفاده کرده بودند.
شناسایی این حمله بعد از بررسیهایی که محققان بر آیفون یک فعال سعودی انجام دادند، ممکن شده است. محققان اکسپلویت FORCEDENTRY را از بکاپ آیفون فعال سعودی مذکور ریکاوری کردهاند.
به یک کارشناس فارنزیک تبدیل شوید:
اکانت iMessage آلودهای که تلفن همراه این فعال سعودی را از طریق 31 ضمیمهی iMessage به اکسپلویت FORCEDENTRY آلوده کرده بود، برای ارتباط با تلفن هابارد در ساعت 15:45:20 تاریخ 13 ژوئن 2021 نیز استفاده شده بود. پنج دقیقه پس از این که محققان ارتباط این حساب با تللفن هابارد را متوجه شدند، در محتوای پوشهی Library/Chaches تغییراتی ایجاد شده و حداقل 41 ضمیمه iMessage نیز برای او فرستاده شدهاند.
در ادامهی تحلیلهای تیم محققین آمده است:
«تمام آِیتمهای حذف شده، برچسب زمانی بعد از ساعت 11:56 تاریخ 9 ژوئن 2021 و قبل از ساعت 8:46 تاریخ 16 ژوئن 2021 داشتهاند. بر اساس این الگو، به طور قطع نتیجه میگیریم که آیفون هابارد توسط جاسوسافزار Pegasus و در ساعت 15:45:20 تاریخ 13 ژوئن 2021 هک شده است».
کارشناسان گزارش کردهاند که لاگهای تلفن هابارد، آلودگی به Pegasus (مشهور به HIPPOCRENE FACTOR) را نشان میدهد که در تاریخ 12 جولای 2020 نیز رخ داده است. اختلالات اولیه بعد از 29 ژانویه 2020 و قبل از تاریخ 14 دسامبر 2020 برای تلفن هابارد رخ دادهاند.
تیم Citizen Lab متوجه شده است که فایل DataUsage.sqlite تلفن بن هابارد نشان میدهد که پروسسی به نام BH در ساعت 16:46:01 تاریخ 13 جولای 2020 فعال بوده است. پروسس که به اعتقاد کارشناسان امنیت، با آلودگی جاسوسافزار Pegasus در ارتباط است و در این مورد مهاجمان به احتمال زیاد از اکسپلویت زیروکلیک KISMET مخصوص iMessage استفاده کردهاند.
گزارش مذکور به این جمعبندی رسیده است:
«هابارد بارها هدف حملهی جاسوسافزار Pegasus گروه NSO قرار گرفته است. این حملات بعد از انتشار عمومی گزارش هکشدن هابارد و Citizen Lab در سال 2020 رخ دادهاند. این مورد آشکارا تضاد میان اظهارات و [ادعای] نگرش حقوق بشری گروه NSO با حقیقت را نشان میدهد: به نظر میرسد که هیچ قدمی از سمت شرکت NSO برای جلوگیری از حملات مکرر به تلفن هوشمند این روزنامهنگار برداشته نشده است.»
کارشناسان آلودگیهای مذکور را به عامل تهدید خاصی نسبت ندادهاند و گروه NSO نیز هرگونه ارتباطی با این حملات را انکار کرده است. نیویورکتایمز گزارشی منتشر کرده که نشان میدهد هابارد هدف حملهی Pegasus هیچکدام از مشتریان NSO نبوده است.
