NSO Group erweitert Spyware-Arsenal um Zero-Click-Angriff „MMS Fingerprinting“

Ein Forscher des schwedischen Telekommunikations- und Cybersicherheitsunternehmens Enea hat eine bisher unbekannte Taktik aufgedeckt, die die israelische NSO Group für den Einsatz in Kampagnen zur Verfügung gestellt hat, um ihr berüchtigtes mobiles Spyware-Tool Pegasus auf Mobilgeräten von Zielpersonen weltweit einzusetzen.

Der Forscher entdeckte die Technik, als er einen Eintrag mit dem Titel „MMS-Fingerabdruck“ in einem Vertrag zwischen einem Wiederverkäufer der NSO Group und der ghanaischen Telekommunikationsregulierungsbehörde untersuchte.

Der Vertrag war Teil öffentlich zugänglicher Gerichtsdokumente im Zusammenhang mit einem Rechtsstreit zwischen WhatsApp und der NSO Group aus dem Jahr 2019, in dem es um die Ausnutzung einer WhatsApp-Schwachstelle ging, um Pegasus auf Geräten von Journalisten einzusetzen. Menschenrechtsaktivisten, Anwälte und andere weltweit.

Zero-Click-Geräteprofilierung für Pegasus

Der Vertrag beschrieb den MMS-Fingerabdruck als etwas, mit dem ein NSO-Kunde Informationen über ein BlackBerry-, Android- oder iOS-Zielgerät und dessen Betriebssystemversion erhalten konnte, indem er ihm einfach eine MMS-Nachricht (Multimedia Messaging Service) schickte.

„Für den Empfang des Gerätefingerabdrucks ist keine Benutzerinteraktion, kein Engagement oder Öffnen einer Nachricht erforderlich“, heißt es im Vertrag.

In einem Blogbeitrag letzte Woche, Enea-Forscher Cathal McDaid sagte, er habe beschlossen, diesen Hinweis zu untersuchen, da „MMS-Fingerabdruck“ in der Branche kein bekannter Begriff sei.

„Obwohl wir immer bedenken müssen, dass die NSO Group die von ihr behaupteten Fähigkeiten möglicherweise einfach ‚erfindet‘ oder übertreibt (unserer Erfahrung nach übertreiben Überwachungsunternehmen ihre Fähigkeiten regelmäßig), deutet die Tatsache, dass dies auf einem Vertrag und nicht auf einer Werbung beruhte, darauf hin.“ dass es eher echt war“, schrieb McDaid.

Fingerabdruck aufgrund eines Problems mit dem MMS-Flow

McDaids Untersuchung führte ihn schnell zu dem Schluss, dass die im NSO Group-Vertrag erwähnte Technik wahrscheinlich mit dem MMS-Flow selbst und nicht mit betriebssystemspezifischen Schwachstellen zu tun hatte.

Der Ablauf beginnt normalerweise damit, dass das Gerät eines Absenders zunächst eine MMS-Nachricht an das MMS Center (MMSC) des Absenders sendet. Der MMSC des Absenders leitet diese Nachricht dann an den MMSC des Empfängers weiter, der dann das Empfängergerät über die wartende MMS-Nachricht benachrichtigt. Das Empfängergerät ruft die Nachricht dann von seinem MMSC ab, schrieb McDaid.

Da die Entwickler von MMS es zu einem Zeitpunkt einführten, als nicht alle mobilen Geräte mit dem Dienst kompatibel waren, entschieden sie sich, eine spezielle Art von SMS (genannt „WSP Push“) zu verwenden, um Empfängergeräte über ausstehende MMS-Nachrichten im Internet zu benachrichtigen MMSC des Empfängers. Bei der nachfolgenden Abrufanfrage handelte es sich nicht wirklich um eine MMS, sondern um eine HHTP-GET-Anfrage, die an eine Inhalts-URL gesendet wurde, die in einem Feld für den Inhaltsort in der Benachrichtigung aufgeführt ist, schrieb der Forscher.

„Das Interessante dabei ist, dass in diesem HTTP-GET Informationen zum Benutzergerät enthalten sind“, schrieb er. McDaid kam zu dem Schluss, dass die NSO Group wahrscheinlich auf diese Weise an die Zielgeräteinformationen gelangte.

McDaid testete seine Theorie anhand einiger Beispiel-SIM-Karten eines westeuropäischen Telekommunikationsbetreibers und konnte nach einigem Ausprobieren UserAgent-Informationen und HTTP-Header-Informationen eines Testgeräts erhalten, die die Fähigkeiten des Geräts beschrieben. Er kam zu dem Schluss, dass die Akteure der NSO Group ihre Informationen nutzen könnten, um bestimmte Schwachstellen in mobilen Betriebssystemen auszunutzen oder um Pegasus und andere bösartige Payloads für Zielgeräte anzupassen.

„Oder es könnte genutzt werden, um Phishing-Kampagnen gegen den Menschen, der das Gerät nutzt, effektiver zu gestalten“, bemerkte er.

McDaid sagte, seine Ermittlungen in den letzten Monaten hätten bisher keine Beweise dafür gefunden, dass irgendjemand diese Technik in freier Wildbahn genutzt habe.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal

Generative Datenintelligenz

NSO Group erweitert das Spyware-Arsenal um den Zero-Click-Angriff „MMS Fingerprinting“.

Zero-Click-Geräteprofilierung für Pegasus

Fingerabdruck aufgrund eines Problems mit dem MMS-Flow

Drei Schlüssel für den Sieg der Inselbewohner im fünften Spiel

Die Lakers erringen den ersehnten Sieg gegen Denver, liegen nun in Serie mit 3:1 zurück

Neueste Intelligenz

ESL Challenger Melbourne 2024: Ergebnisse, Tabellen und mehr – Snowball Esports

Dogecoin- und Pepecoin-Enthusiasten versammeln sich hinter dem neuen KI-Token, der von der Wahoo Exchange Platform – CryptoInfoNet – eingeführt wurde

Lehren aus dem FTX-Prozess: Die Regulierung von CEXs reicht möglicherweise nicht aus, um schlechte Akteure zu verhindern | Meinung – CryptoInfoNet

Engineering Explained befasst sich mit den „Getrieben“ und anderen Leistungsmerkmalen des Ioniq 5 N – CleanTechnica

Gold könnte laut Analyst Benjamin Cowen gerade das Ende der Bitcoin (BTC)-Rallye signalisiert haben – Das meint er – The Daily Hodl

Litecoin in Flammen: Ein mysteriöses Signal deutet auf eine Preisexplosion von 100 US-Dollar hin