Un nuovo rapporto di The Citizen Lab ha rivelato che i governi di Australia, Canada, Cipro, Danimarca, Israele e Singapore potrebbero essere clienti di uno spyware sviluppato dalla società israeliana Paragon Solutions. Paragon, fondata nel 2019 da Ehud Barak ed Ehud Schneorson, è il creatore di uno strumento di sorveglianza chiamato Graphite, capace di raccogliere dati sensibili dalle applicazioni di messaggistica istantanea su un dispositivo.
Clienti sospetti di Paragon Solutions
The Citizen Lab ha identificato i sei governi come “sospetti utilizzatori di Paragon” dopo aver mappato l’infrastruttura server sospettata di essere associata allo spyware. Questo sviluppo arriva quasi due mesi dopo che WhatsApp, di proprietà di Meta, ha notificato a circa 90 giornalisti e membri della società civile di essere stati presi di mira da Graphite. Gli attacchi sono stati interrotti nel dicembre 2024.
Attacchi mirati in tutto il mondo
Gli obiettivi di questi attacchi includevano individui sparsi in oltre due dozzine di paesi, tra cui diversi in Europa come Belgio, Grecia, Lettonia, Lituania, Austria, Cipro, Repubblica Ceca, Danimarca, Germania, Paesi Bassi, Portogallo, Spagna e Svezia. “Questo è l’ultimo esempio del perché le aziende di spyware devono essere ritenute responsabili delle loro azioni illegali”, ha dichiarato un portavoce di WhatsApp a The Hacker News. “WhatsApp continuerà a proteggere la capacità delle persone di comunicare privatamente”.
Metodi di attacco sofisticati
In questi attacchi, i bersagli venivano aggiunti a un gruppo WhatsApp e poi inviati un documento PDF, che veniva successivamente analizzato automaticamente per attivare la vulnerabilità zero-day ora corretta e caricare lo spyware Graphite. La fase finale prevede la fuga dalla sandbox di Android per compromettere altre app sui dispositivi presi di mira.
Scoperte forensi e risposte di sicurezza
Ulteriori indagini sui dispositivi Android compromessi hanno scoperto un artefatto forense soprannominato BIGPRETZEL, sospettato di identificare unicamente le infezioni con lo spyware Graphite di Paragon. È stata trovata anche evidenza di una probabile infezione di Paragon che ha preso di mira un iPhone appartenente a un fondatore dell’organizzazione Refugees in Libya, con sede in Italia, nel giugno 2024. Apple ha successivamente affrontato il vettore di attacco con il rilascio di iOS 18.
Risposta di Apple agli attacchi
“Gli attacchi di spyware mercenario come questo sono estremamente sofisticati, costano milioni di dollari per essere sviluppati, spesso hanno una breve durata e vengono utilizzati per prendere di mira individui specifici a causa di chi sono o di cosa fanno”, ha dichiarato Apple in un comunicato. “Dopo aver rilevato gli attacchi in questione, i nostri team di sicurezza hanno rapidamente sviluppato e distribuito una correzione nel rilascio iniziale di iOS 18 per proteggere gli utenti di iPhone e hanno inviato notifiche di minaccia Apple per informare e assistere gli utenti che potrebbero essere stati presi di mira individualmente”.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
