WhatsAppは、トロント大学シチズンラボのセキュリティ研究者からの報告を受けて、ParagonのスパイウェアGraphiteをインストールするために使用されるゼロクリックのゼロデイ脆弱性にパッチを適用した。
WhatsAppは、昨年末にこの攻撃ベクトルに対処し、「クライアント側の修正を必要とせず」、「MITREが公表したCVEガイドラインと(自社の)内部ポリシーを検討した結果、CVE-IDを割り当てない」ことを決定した。
“WhatsAppは、ジャーナリストや市民社会のメンバーを含む多くのユーザーを標的としたParagonによるスパイウェアキャンペーンを阻止しました。WhatsAppの広報担当者は、”我々は、影響を受けたと思われる人々に直接連絡を取った。
「これはスパイウェア企業がその違法行為に対して責任を負わなければならないことを示す最新の例です。WhatsAppは引き続き、人々の個人的なコミュニケーション能力を保護していきます」。
WhatsAppは1月31日、これらの攻撃で使用されたゼロクリックエクスプロイトを緩和した後、イタリアのジャーナリストや活動家を含む20数カ国の約90人のAndroidユーザーに、機密データを収集し、個人的な通信を傍受するためのParagonスパイウェアの標的となったことを通知した。
研究者は、攻撃者がPDFを送信する前に、ターゲットをWhatsAppグループに追加していることを発見した。次の攻撃段階では、被害者のデバイスが自動的にPDFを処理し、現在パッチが適用されているゼロデイ脆弱性を悪用して、WhatsAppにインプラントされたGraphiteスパイウェアをロードした。
このスパイウェアはその後、アンドロイドのサンドボックスから抜け出すことで、標的となった端末の他のアプリを危険にさらした。スパイウェアがインストールされると、被害者のメッセージング・アプリケーションにアクセスできるようになります。
Graphiteスパイウェアの感染は、ハッキングされたAndroidデバイス上で、侵害されたデバイスのログを分析することで発見できるフォレンジック・アーティファクト(BIGPRETZELと呼ばれている)の助けを借りて検出することができる。
しかし、感染の証拠がないことは、フォレンジック・インディケータが上書きされたり、”Androidログの散発的な性質 “のためにキャプチャされなかったりすることを排除するものではない。
シチズン・ラボはまた、ターゲットのデバイスにGraphiteスパイウェアインプラントを展開するためにParagonが使用したサーバーインフラをマッピングし、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールを含む複数の政府顧客との潜在的なリンクを発見した。
Paragon社のインフラ内の1つのサーバーのドメインから始まり、研究者は複数のフィンガープリントを作成し、専用のコマンド&コントロール・インフラの一部と思われる数十のIPアドレスにリンクされた150のデジタル証明書を発見しました。
「このインフラストラクチャーには、パラゴン社および/またはその顧客によってレンタルされていると思われるクラウドベースのサーバーと、パラゴン社およびその政府顧客の敷地内でホストされていると思われるサーバーが含まれていた。
私たちが発見したインフラストラクチャは、イスラエル(Paragon社の本拠地)のIPアドレスから返される「Paragon」というタイトルのウェブページにリンクしており、Paragon社のスパイウェアの名前である「Graphite」という組織名と「installerserver」という一般的な名前を含むTLS証明書も含まれています(競合スパイウェア製品であるPegasusは、デバイスをスパイウェアに感染させるために設計されたサーバーを指す用語として「Installation Server」を使用しています)。
イスラエルのスパイウェア開発会社Paragon Solutions Ltd.は、元イスラエル首相のエフード・バラクと、イスラエルの8200部隊の元司令官であるエフード・シュナーソンによって2019年に設立された。フロリダを拠点とする投資グループAE Industrial Partnersは、2024年12月に同社を買収したと報じられている。
NSOグループのような競合他社とは異なり、パラゴンは危険な犯罪者をターゲットにしたい民主主義国の法執行機関や諜報機関にのみ監視ツールを販売していると主張している。
2022年12月、ニューヨーク・タイムズ紙は、米麻薬取締局(DEA)が同社のスパイウェア「グラファイト」を使用したと報じた。2年後の2024年10月、ワイアードはパラゴンが米移民税関捜査局(ICE)と200万ドルの契約を結んだと報じた。
3月19日12:11 EDT更新:WhatsAppの声明を追加。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。
Comments