آیفون روزنامه‌نگار نیویورک‌تایمز باز هم هک شد!

جاسوس افزار پگاسوس

عاملان تهدید، گوشی آیفون بن هابارد، روزنامه‌نگار نیویرک‌تایمز را در بازه‌ی ژوئن 2018 تا ژوئن 2021 دو بار به جاسوس‌افزار Pegasus گروه NSO آلوده کردند.

گوشی آیفون بن هابارد، روزنامه‌نگار نیویورک‌تایمز، دوباره به جاسوس‌افزار پگاسوس گروه NSO آلوده شد. تلفن این روزنامه‌نگار از تاریخ جولای 2020 تا ژوئن 2021 دو بار مورد هدف قرار گرفته است.

تیم تحقیقاتی Citizen Lab دانشگاه تورنتو این حملات را مستند کرده است. حمله وقتی رخ داده که بن هابارد در حال نوشتن کتابی درباره‌ی محمد بن سلمان، شاهزاده عربستان سعودی بوده است.

درباره جاسوس‌افزارها بیشتر بدانید:

در گزارش این تیم تحقیقاتی آمده است:

«این حملات به تلفن همراه هابارد و بعد از انتقاد او از گروه NSO بابت حمله‌ی اپراتور  KINGDOM Pegasus در ماه ژوئن سال 2018 رخ داده‌اند. ما با اطمینان کامل حملات 2020 و 2021 را منتسب به جاسوس‌افزار Pegasus  گروه NSO می‌دانیم، اما نمی‌توانیم با اطمینان بگوییم که این حمله دقیقا توسط کدام یک از مشتریان گروه NSO انجام شده است. با این وجود معتقدیم کسی که این حمله را مرتکب شده، مسئول هک تلفن همراه فعال عربستانی در 2021 نیز بوده است.»

این محققین به مجموعه‌ای از یافته‌های فارنزیک در آیفون هابارد رسیده‌اند که به حمله‌ی آوریل 2018 جاسوس‌افزار Pegasus مرتبط بوده است، اما مطمئن نیستند که این داده‌ها مربوط به یک حمله‌ی واقعی هستند یا از تست‌هایی که مهاجمان انجام داده‌اند به جا مانده‌اند.

گوشی آیفون هابارد در تاریخ 12 جولای 2020 و 13 ژوئن 2021 هک شده بود. مهاجمان از اکسپلویت‌های نفوذ زیروکلیک (Zero-Click) KISMET و  FORCEDENTRY  استفاده کرده بودند.

شناسایی این حمله بعد از بررسی‌هایی که محققان بر آیفون یک فعال سعودی انجام دادند، ممکن شده است. محققان اکسپلویت FORCEDENTRY را از بکاپ آیفون فعال سعودی مذکور ریکاوری کرده‌اند.

به یک کارشناس فارنزیک تبدیل شوید:

اکانت iMessage آلوده‌ای که تلفن همراه این فعال سعودی را از طریق 31 ضمیمه‌ی iMessage به اکسپلویت  FORCEDENTRY آلوده کرده بود، برای ارتباط با تلفن هابارد در ساعت 15:45:20 تاریخ 13 ژوئن 2021 نیز استفاده شده بود. پنج دقیقه پس از این که محققان ارتباط این حساب با تللفن هابارد را متوجه شدند، در محتوای پوشه‌ی Library/Chaches تغییراتی ایجاد شده و حداقل 41 ضمیمه iMessage نیز برای او فرستاده شده‌اند.

در ادامه‌ی تحلیل‌های تیم محققین آمده است:

«تمام آِیتم‌های حذف شده، برچسب زمانی بعد از ساعت 11:56 تاریخ 9 ژوئن 2021 و قبل از ساعت 8:46 تاریخ 16 ژوئن 2021 داشته‌اند. بر اساس این الگو، به طور قطع نتیجه می‌گیریم که آیفون هابارد توسط جاسوس‌افزار Pegasus و در ساعت 15:45:20 تاریخ 13 ژوئن 2021 هک شده است».

کارشناسان گزارش کرده‌اند که لاگ‌های تلفن هابارد، آلودگی به Pegasus (مشهور به HIPPOCRENE FACTOR) را نشان می‌دهد که در تاریخ 12 جولای 2020 نیز رخ داده است. اختلالات اولیه بعد از 29 ژانویه 2020 و قبل از تاریخ 14 دسامبر 2020 برای تلفن هابارد رخ داده‌اند.

تیم Citizen Lab متوجه شده است که فایل DataUsage.sqlite تلفن بن هابارد نشان می‌دهد که پروسسی به نام BH در ساعت 16:46:01 تاریخ 13 جولای 2020 فعال بوده است. پروسس که به اعتقاد کارشناسان امنیت، با آلودگی جاسوس‌افزار Pegasus در ارتباط است و در این مورد مهاجمان به احتمال زیاد از اکسپلویت زیروکلیک KISMET مخصوص iMessage استفاده کرده‌اند.

گزارش مذکور به این جمع‌بندی رسیده است:

«هابارد بارها هدف حمله‌ی جاسوس‌افزار Pegasus گروه NSO قرار گرفته‌ است. این حملات بعد از انتشار عمومی گزارش هک‌شدن هابارد و Citizen Lab در سال 2020 رخ داده‌اند. این مورد آشکارا تضاد میان اظهارات و [ادعای] نگرش حقوق بشری گروه NSO با حقیقت را نشان می‌دهد: به نظر می‌رسد که هیچ قدمی از سمت شرکت NSO برای جلوگیری از حملات مکرر به تلفن هوشمند این روزنامه‌نگار برداشته نشده است.»

کارشناسان آلودگی‌های مذکور را به عامل تهدید خاصی نسبت نداده‌اند و گروه NSO نیز هرگونه ارتباطی با این حملات را انکار کرده است. نیویورک‌تایمز گزارشی منتشر کرده که نشان می‌دهد هابارد هدف حمله‌ی Pegasus هیچ‌‌کدام از مشتریان NSO نبوده است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.