Bezbjednosni istraživači iz Citizen Lab-a kažu da posjeduju čvrste forenzičke dokaze da je komercijalni proizvođač špijunskog softvera Paragon do skoro mogao kompromitovati ažurirane iPhone uređaje, potvrđujući infekciju kod dva novinara koje je Apple tiho upozorio ranije ovog proljeća.
U novom izvještaju objavljenom u četvrtak, Citizen Lab je dokumentovao upotrebu Paragonove mobilne platforme za hakovanje pod nazivom ‘Graphite’ protiv dva novinara, čiji mobilni uređaji pokazuju da su oba telefona komunicirala sa istim Graphite komandno-kontrolnim serverom.
Posmatrano je da taj server komunicira sa iMessage nalogom koji istraživači nazivaju ‘ATTACKER1’, što je, prema Citizen Lab-u, dokaz koji povezuje operaciju sa jednim konkretnim klijentom kompanije Paragon.
Apple je izdao bezbjednosnu zakrpu u februaru kako bi blokirao osnovnu zero-click ranjivost i zabilježio je kao CVE-2025-43200 u verziji iOS 18.3.1, ali Citizen Lab napominje da period kompromitovanja (januar do početka februara) jasno pokazuje da su telefoni bili provaljeni dok su u tom trenutku bili potpuno ažurirani.
„Naša forenzička analiza je zaključila da je jedan od uređaja novinara bio kompromitovan Paragonovim Graphite špijunskim softverom tokom januara i početkom februara 2025. godine, dok je uređaj koristio iOS 18.2.1“, navode istraživači.
Izvještaj Citizen Lab-a takođe ističe taktičku evoluciju u kojoj operateri izgleda recikliraju infrastrukturu kroz više platformi, što istraživačima olakšava da na osnovu jedne IP adrese povežu cijeli klasterski sistem jednog klijenta.
U ovom slučaju, Citizen Lab navodi da zajednički ATTACKER1 nalog i drugi server, identifikovan po otisku i smješten u jednom austrijskom data centru, ukazuju na klijenta koji je ciljao i iOS i Android uređaje, te da je bio aktivan i sredinom aprila.
Paragon, koji ima korijene u Izraelu i koji je nedavno kupila američka firma privatnog kapitala, reklamira Graphite kao zakonito sredstvo presretanja za organe reda koje je sposobno da prikuplja podatke sa mobilnih uređaja i enkriptovanih aplikacija za poruke.
Kompanija je povezana sa zero-day napadima na popularnu aplikaciju WhatsApp, koja je u vlasništvu Mete, i bila je upletena u skandal u Italiji zbog ciljanog nadzora nad novinarima. Paragon je nedavno objavio da je raskinuo ugovor sa italijanskom vladom.
Citizen Lab navodi da je poslao sažetak najnovijih otkrića kompaniji Paragon i ponudio da u potpunosti objavi njihov odgovor.
„Do trenutka objavljivanja ovog izvještaja nismo dobili odgovor“, saopštila je istraživačka grupa.
Izvor: SecurityWeek
