Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Medewerker spionagebedrijf verdacht van verkoop malware om iPhones te monitoren

Een voormalig medewerker van het IsraŽlische beveiligingsbedrijf NSO Group wordt ervan verdacht software gestolen te hebben waarmee iPhones van doelwitten tot in detail te monitoren zijn. De verdachte wilde de tool naar verluidt op darknets verkopen.

Hij vroeg voor 50 miljoen dollar aan cryptovaluta voor de Pegasus-tool van NSO Group. Dat IsraŽlische bedrijf is een leverancier van digitale wapens. De verdachte werkte bij het bedrijf als ontwikkelaar en NSO Group overwoog hem te ontslaan. De man, waarschijnlijk uit onvrede, wist daarop de beveiliging te omzeilen om code vanuit het bedrijf naar buiten te smokkelen, schrijft Motherboard op basis van de aanklacht.

Met de broncode die hij stal, was de volledige werking van het systeem te achterhalen, volgens NSO Group. Het bedrijf had moeten vrezen voor zijn voortbestaan als de verkoop gelukt was, luidt verder de claim. De verdachte probeerde op darknets de code te slijten, maar een potentiŽle koper nam contact op met NSO Group om de situatie te melden, waarna ze de medewerker op het spoor kwamen en deze aangehouden werd.

Onder andere Mexico en de Verenigde Arabische Emiraten zouden Pegasus inzetten tegen dissidenten, burgerrechtenactivisten en journalisten. De tool kan iPhones na een klik op een link jailbreaken en software installeren om communicatie van iMessage, Gmail, WhatsApp, Facebook, Telegram en Skype te monitoren, volgens Citizen Lab.

Door Olaf van Miltenburg

NieuwscoŲrdinator

05-07-2018 • 18:01

65 Linkedin Google+

Reacties (65)

Wijzig sortering
Wat mij niet duidelijk wordt (en die aanklacht is niet echt leesbaar voor mijn talenknobbel) is welke versie van de software wanneer aangeboden werd en wat deze rootkit precies kon. Deze software was eerder bekend onder de naam Trident en die specifieke exploit is al een tijdje geleden gepatcht. Als je rootkit 50 miljoen waard is dan moet het natuurlijk wel werken. Ik neem aan dat zo'n rechtzaak ook weer een tijd in beslag neemt om tot een uitspraak te komen.

Overigens wel schofterig wat ze in Mexico deden: blijkbaar meer angst voor anti-corruptie activisten dan narco's? :(
Nog knapper vond ik dat hele toestel geroot zien worden aan de hand van 1 browserlink. Dan zit er dus iets ernstigs niet goed in de beveiliging van Apple. Hij was beter afgeweest de hele exploit op straat te gooien, dan had Apple de boel kunnen dichten en dan was het ook in 1 klap niks meer waard geworden.
Dan zit er dus iets ernstigs niet goed in de beveiliging van Apple.
Helaas is er niet veel meer mis dan bij een gemiddeld OS. Jailbreaks op iOS maken ook gebruik van deze vulnerabilities. In de tijd van de iPhone 3G was het ook simpel een site bezoeken, slider overtrekken en klaar. En dat was door middel van ťťn exploit.

NSO's Pegasus doet het truukje door middel van een exploit chain, drie verschillende exploits die, aan elkaar geknoopt, volledige kernel toegang geven.

Recent was er een PoC (proof of concept) bevat met twee zero days, door een foutje van de hacker. Die had het naslar virustotal geupload waarna het in handen kwam van Microsoft en Kaspersky. Een PDF openen zou daarmee genoeg doen om volledige kernel toegang te krijgen in Windows 7. Sallant detail, het was duidelijk nog een PoC - bevatte geen code die meer deed dan het exploiten.
Hij was beter afgeweest de hele exploit op straat te gooien
Helemaal mee eens, maar helaas is de praktijk anders. Er zijn markten voor, waarmee verkoop redelijk lucratief kan zijn. Voor dit soort exploits kan je tonnen tot miljoenen vangen.

[Reactie gewijzigd door jurroen op 5 juli 2018 19:41]

Een PDF openen zou daarmee genoeg doen om volledige kernel toegang te krijgen in Windows 7. Sallant detail, het was duidelijk nog een PoC - bevatte geen code die meer deed dan het exploiten.
Vind die vergelijking niet helemaal op gaan. Het openen van een pfd wordt grotendeels met Adobe gedaan en daar wordt de malware op geschreven.

Microsoft kan er niks aan doen dat er zoveel gaten in de browser zit, Apple weer wel doordat het blijkbaar best vaak mogelijk is een iPhone te jailbreaken via de closed source browser genaamd Safari.

Mijns inziens komt er steeds meer naar voren dat Apple zijn hardware en OS niet op orde heeft nu ze (in vergelijking met 10 jaar terug) zoveel meer gebruikers hebben.

[Reactie gewijzigd door vali op 5 juli 2018 20:17]

Vind die vergelijking niet helemaal op gaan. Het openen van een pfd wordt grotendeels met Adobe gedaan en daar wordt de malware op geschreven.
Neen. Maar het is wel Microsofts taak om te zorgen dat een userland app exploit geen system/root rechten kan krijgen. Vandaar ook de chaining. Eerst Adobe Reader, vervolgens Windows zelf.
doordat het blijkbaar best vaak mogelijk is een iPhone te jailbreaken
Best vaak is relatief. De laatste paar jaar is iOS vele malen sterker geworden qua security. Waarom zou bijvoorbeeld Zerodium anders tot anderhalf miljoen dollar betalen voor iOS zero days? Niet omdat ze bij bosjes gevonden worden. Overigens is iOS ook het enige mobiele OS met payouts in de $1m en $1.5m categorie.
Mijns inziens komt er steeds meer naar voren dat Apple zijn hardware en OS niet op orde heeft nu ze (in vergelijking met 10 jaar terug) zoveel meer gebruikers hebben.
Iets met spijker en kop. Het is van niche naar mainstream gegaan; populairder en dus ook meer aandacht.
De laatste paar jaar is iOS vele malen sterker geworden qua security
Ik heb het niet alleen over IOS, maar Apple in het algemeen. In het verleden zijn flinke blunders gebeurd die toch wel laten zien dat er toch wel iets niet helemaal op orde is binnen het bedrijf.
Iets met spijker en kop. Het is van niche naar mainstream gegaan; populairder en dus ook meer aandacht.
Precies en eigenlijk is er vrij weinig verandert aan hun beleid.
Best vaak is relatief. De laatste paar jaar is iOS vele malen sterker geworden qua security. Waarom zou bijvoorbeeld Zerodium anders tot anderhalf miljoen dollar betalen voor iOS zero days?
Laatste paar jaar? Vorig jaar is het weer gelukt met flink wat zero days om IOS binnen te komen Dat een bedrijf veel geld wilt betalen is ook niet raar, dat gebeurt bij elk OS wat door veel mensen wordt gebruikt. De hoogte van de prijs zegt niks hoe veilig het is.
Neen. Maar het is wel Microsofts taak om te zorgen dat een userland app exploit geen system/root rechten kan krijgen. Vandaar ook de chaining. Eerst Adobe Reader, vervolgens Windows zelf.
Uh en hoe wil je dat ze dat gaan doen? Api dichtzetten voor Adobe Reader? want dan werkt er vrij weinig.

[Reactie gewijzigd door vali op 6 juli 2018 10:13]

Je moet ook bedenken dat tegenwoordig veel meer moeite gedaan word om in te breken op iPhones dan 10 jaar geleden. Toen waren er misschien we honderd mogelijkheden om binnen te komen.
Je moet ook bedenken dat tegenwoordig veel meer moeite gedaan word om in te breken op iPhones dan 10 jaar geleden.
Dat er moeite en tijd erin wordt gestoken zegt helemaal niks dat er meer of minder mogelijkheden zijn om binnen te komen, eerder dat het loont.
Daar doelde ik niet op. Er werd gesuggereerd dat software er nier veiliger op word. Maar dat is niet persť correct. Er word ontzettend veel meer gehacked dan vroeger, dus de kans dat er iets gevonden word is vele malen groter, zelfs als er moeite in gestoken word om het veiliger te maken.
"Sallant detail, het was duidelijk nog een PoC - bevatte geen code die meer deed dan het exploiten." Saillant detail: je schrijft het anders. :)
De exploit waar de bron het over heeft was eind 2016 al gedicht
Maar de broncode bevatte meer dan alleen de exploit. Het bevatte ook de vector. Wanneer de dan een nieuwe exploit hebt, is de rest van het werk al gedaan.
Dat klinkt als iets wat je kon verwachten van iemand die bij een spionage bedrijf werkt!
Geen goeie lijkt me. Om alsnog gepakt te worden.
Zijn er echt private partijen die 50 miljoen willen risceren voor zo een transactie?
Ik denk dat de bug die waarschijnlijk ook door Greykey gebruikt wordt dat het geld zeker waard kan zijn. Zeker omdat je alle iPhones kan ontgrendelen.

Het is dan ook de vraag hoe lang het nog kan. Ik vraag mij namelijk af of hij voor alle zekerheid de code ergens online heeft opgeslagen.

[Reactie gewijzigd door tom.cx op 5 juli 2018 18:30]

Dit is sowieso een andere bug, aangezien de beschreven aanval pas werkt door op een bepaalde link te klikken, dus al toegang moet hebben op het toestel.
De Greykey toepassing is er enkel om toegang te krijgen tot het apparaat.
Ik neem aan als de CIA mij wel hacken dat dit gaat lukken. Je moet gewoon op verschillende plekken een link aanbieden, en dan wachten totdat ik er op eentje klikt. Een mooie kandidaat is bijvoorbeeld de reageer-link hieronder.
En als je al toegang hebt tot de provider is kan je de DNS response veranderen theoretisch.
Door het gebruik van HTTPS en HSTS wordt dit gelukkig minder en minder mogelijk.
Ja zeker, maar...

There is no loyalty among thieves - als die partij(en) betrapt wordt of onderzocht door een andere overheid, dan zullen ze (als het hen uitkomt) de naam zo maar opgeven. Niet alleen dat, maar ook het bankrekeningnummer waar ze het geld naar hebben overgemaakt.
Als het op een of andere manier uitkomt dat je dergelijke software hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.

En mocht je als koper met dit bedrijf (of een vergelijkbare tent) in zee gaan, dan kan het geen kwaad om de komende jaren ogen in je achterhoofd te kweken omdat je dan gewild bent voor je kennis. Neuh, ik zou het lekker braaf melden bij NSO Group en niet de Israelische geheime dienst tegen mij in het harnas jagen door een dergelijk compleet pakket te kopen (wat te mooi is om waar te zijn waarschijnlijk).
Als het op een of andere manier uitkomt dat je dergelijke software hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.
Hij heeft geprobeerd om militaire bedrijfsgeheimen te verkopen van een IsraŽlisch bedrijf en is daarbij gesnapt. Ik geloof niet dat hij zich veel zorgen hoeft te maken over toekomstige werkgevers. De kans dat hij ooit in de gelegenheid komt om buiten de werkplaats van de gevangenis te werken zal nihil zijn.
Privaat niet zo snel denk ik, tenzij voor handel/door verkoop naar eoa semi-shady overheid(tak)
Greed will get you no where!
duidelijk too greedy geweest , had hij het voor minder verkocht was er niets aan de hand geweest.
Hoe kom je daarbij? Was de 'klant' dan niet naar het bedrijf gestapt?
Ik denk dat deze persoon de assumptie doet dat de verdachte sneller tot transactie had kunnen overgaan met meer potentiele verkopers als de prijs minder hoog was geweest waarbij het resultaat zou kunnen zijn geweest dat hij niet of minder snel gepakt was.
Ik denk dat deze persoon de assumptie doet dat de verdachte sneller tot transactie had kunnen overgaan met meer potentiele verkopers als de prijs minder hoog was geweest waarbij het resultaat zou kunnen zijn geweest dat hij niet of minder snel gepakt was.
dat dus , je hoeft geen geld te vragen als je iets uit princiepe wilt lekken.
greedy zijn maakt je kwetsbaar (dat geld voor iedereen)
Onder andere Mexico en de Verenigde Arabische Emiraten zouden Pegasus inzetten tegen dissidenten, burgerrechtenactivisten en journalisten
Op zich geen ramp als zo'n club failliet gaat door zo'n akkefietje in elk geval. Dit soort haaien ben je beter kwijt dan rijk.
Lijkt me niet hoor, er zijn wel degelijk goeie momenten om dit soort tools te gebruiken...
Daarbij gaat het vaak om gefrustreerde medewerkers, geen genoeg loon of onmin met collega's en baas...of gewoon het geld wat iedereen lokt natuurlijk
Waarom wordt die club zelf niet aangepakt eigenlijk, lijkt me verre van legaal as well.
Omdat de overheid uiteraard ook klant is.
Wat is hier illegaal aan?

Het wordt pas illegaal wanneer het toegepast wordt door (of verkocht aan) personen/ organisaties die deze mogelijkheid niet legaal moge gebruiken.
Verkopen ze het aan jou, dan is het niet legaal. Verkopen ze het aan de anti-terrorisme afdeling van het IsraŽlische leger en andere door de IsraŽlische overheid goedgekeurde afnemers, dan is het volledig legaal. Of die andere afnemers het in hun eigen land wettelijk gezien legaal kunne inzetten is verder niet hun probleem.
Spionage is sowieso illegaal, zeker als het gaat om software welke zich zondermedeweten nestelt. @dehardstyler zou wel eens een punt kunnen hebben.
Het ligt er maar net aan vanaf welke kant je het bekijkt.
In het land dat bespioneerd wordt zal het ongetwijfeld illegaal zijn, maar het land dat bespioneerd zal dat vanuit de eigen wetten gezien wel mogen. In dat geval is er niets illegaals aan het verkopen van deze software aan het spionerende land. Wanneer het binnen een land door de eigen politie/ veiligheidsdienst gedaan wordt, zou dat ook best legaal kunnen zijn.

Of het moreel gezien door de beugel kan, dat is een tweede, maar dat maakt de verkoop van de software niet illegaal.
Aan kant van de "hoogste functie" is er nooit een probleem of vuiltje aan de luch, zo kunnen jij en ik het ook ;)
Hopelijk zien we hier ook het grote gevaar van het ontwikkelen van dergelijke digitale wapens. In tegenstelling tot een state of the art drone of jachtvliegtuig neem je deze digitale wapens mee op een USB stickje...
En daarom wordt via policies de USB-poort uitgezet. Wanneer je meer paranoÔde bent kun je ook de USB-drivers de-instaleren of zelfs de USB-poorten fysiek onklaar maken in de gebruikte hardware.
Je kunt de mogelijkheid om bestanden uit te wisselen via internet blokkeren en uitgaande emails checken.
Maar broncode is gewoon tekst en daardoor moeilijk te detecteren. Wanneer je wel de mogelijkheid hebt om emails naar 'buiten' te sturen en het niet om miljoenen lijnen code gaat, kun je de broncode in stukken knippen en als plain tekst naar jezelf emailen over een bepaalde periode. Zolang niemand in je emails gaat kijken zal het niemand opvallen.
En daarom laat deze zaak ook mooi zien dat dat soort policies een wassen neus is.
Dergelijke policies en maatregelen werken alleen tegen 'vergeetachtigheid' en gemakzucht. Niet tegen moedwil. Want waar een wil is, is altijd wel een weg te vinden.
Onder andere Mexico en de Verenigde Arabische Emiraten zouden Pegasus inzetten tegen dissidenten, burgerrechtenactivisten en journalisten.
Hebben jullie daar een objectieve bron voor?

Kan me dat niet voorstellen, zeker omdat criminelen, terroristen en druglords ontbreken.
De man, waarschijnlijk uit onvrede, wist daarop de beveiliging te omzeilen om code vanuit het bedrijf naar buiten te smokkelen
Ging die "code" zo ongeveer?

git remote add thuis git@thuis.home:/home/user/repos/werk
git push thuis master
Als je die broncode al hebt kun je helemaal rogue gaan: zet die code met een dead mans switch op een online platform (als ik 4 uur niet inlog wordt het gepost en getweet etc) en vertel je ex-werkgever dat. Ze zullen betalen. Daarna komt de mossad natuurlijk achter je aan maar dan ben je al een stap verder :)

Dit was een beetje amateuristisch.

[Reactie gewijzigd door Origin64 op 6 juli 2018 00:46]

kunnen dit soort bedrijven vanwege dit soort producten niet gewoon verboden worden?
Er staat gewoon openlijk in het artikel dat schurkenstaten er mensenrechten mee schenden.
Niet dat ik verbaasd ben, maar er zou wel wat meer ophef over moeten zijn.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True