아이폰(iPhone)의 새로운 제로클릭 취약성이 발견되는 NSO 스파이웨어 'Pegasus'에도 이용되고 있어

아이폰(iPhone)의 새로운 제로클릭 취약성이 발견되는 NSO 스파이웨어 'Pegasus'에도 이용되고 있었다

캐나다 토론토 대학을 거점으로 하는 보안연구기관 Citizen Lab가 2022년 4월 18일에, iOS에서 새로운 제로 클릭의 익스플로잇가 발견되었다고 발표했다.

Citizen Lab이 이번에 발표한 것은, 스파이웨어 「Pegasus」로 알려진 이스라엘 기업·NSO Group가 사용하고 있던 iMessage의 익스프로이트이다.

「HOMAGE」라고 이름 붙여진 이 제로클릭의 익스플로잇은, 스페인의 자치주인 카탈루냐州의 정치가나 저널리스트 등을 주된 표적으로 한 것으로, 「Kismet」라고 불리는 iMessage의 취약성이나 WhatsApp의 취약성과 조합해 사용되었다.

Citizen Lab은 2017년~2020년 HOMAGE 공격을 받은 카탈루냐 활동가가 65명에 이를 것으로 추측하며, 그중에는 2010년 이후 취임한 모든 카탈루냐 주정부 총리도 포함돼 있다고 밝혔다. 

 

구체적으로는 2010년~2016년까지 총리를 지냈으며 퇴임 후 Pegasus에 감염된 아르투르 마스, 2016년~2017년까지 재임한 카를레스 푸치몬, 2018년~2020년까지 재임한 김토라, 그리고 2021년부터 현직 펠레 아라고네스 주 총리 등 4명이라고 한다.

이 익스프로이트를 이용한 공격의 출처는 불명확하지만, Citizen Lab은 Pegasus가 정부에게만 판매되고 있는 것을 지적한 다음, 「희생자나 타겟의 성질·공격의 시기·스페인 정부가 NSO Group의 클라이언트의 하나라고 보고되고 있다고 하는 상황 증거로부터, 스페인 정부와의 강한 연계를 시사하고 있다」라고 말하고, 카탈루냐州의 클라이언트의 하나라는 견해를 보이고 있다.

Citizen Lab에 의하면, 카탈루냐州의 타겟 중, iOS의 버전이 13.1.3보다 새로운 디바이스에서 이 익스플로잇이 사용된 사례는 확인되지 않았기 때문에, 익스플로잇은 iOS 13.2에서 수정되었을 가능성이 높다고 한다.

Citizen Lab은 이미 익스플로잇에 관한 상세한 정보를 Apple에 제공하였으며, 현 시점에서 최신 버전의 iOS가 탑재된 아이폰 사용자가 "HOMAGE" 공격에 노출되어 있다는 증거는 없다고 한다.

CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru - The Citizen Lab
https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

Newly found zero-click iPhone exploit used in NSO spyware attacks
https://www.bleepingcomputer.com/news/security/newly-found-zero-click-iphone-exploit-used-in-nso-spyware-attacks/