WhatsAppは、標的の個人のデバイスにParagonのGraphiteスパイウェアをインストールするために悪用されるゼロクリック、ゼロデイ脆弱性に対処しました。
WhatsAppは、トロント大学のCitizen Labグループからの報告を受け、ジャーナリストや市民社会のメンバーを標的としたParagonによるスパイウェアキャンペーンをブロックしました。同社は、この問題がクライアント側のアップデートなしで2024年12月に修正され、CVE-IDは割り当てられていないことを確認しました。
2月、MetaはWhatsApp経由でジャーナリストや市民社会のメンバーを標的としたマルウェア��攻撃キャンペーンを発見し、駆除したと発表しました。このキャンペーンはParagonスパイウェア(別名Graphite)を使用していました。
このハッキングキャンペーンは90人のユーザーを標的とし、12月に停止されました。WhatsAppは直ちに標的のユーザーにデバイスへの侵入の可能性を警告しました。
Meta傘下のMetaは、このハッキングキャンペーンを、イスラエルの商用監視ベンダーであるParagonと関連付けました。Paragonは、2024年12月にAE Industrial Partnersによって9億ドルで買収されました。
Metaの専門家によると、脅威アクターは「ゼロクリック」エクスプロイトを使用して、ユーザーの介入なしに標的のデバイスに侵入しました。WhatsAppは標的となった個人の所在地を明らかにしていません。
WhatsAppはParagonに「停止命令」を送付し、法的措置の開始を検討していると発表した。 WhatsAppは、ジャーナリストや市民社会のメンバーを含む多数のユーザーを標的としたParagonによるスパイウェア攻撃を阻止しました。被害を受けたと思われる人々に直接連絡を取りました。これは、スパイウェア企業が違法行為に対して責任を負わなければならないことを示す新たな事例です。WhatsAppは、引き続き人々のプライバシーを守ります」WhatsApp広報担当者はThe Guardianに語りました。
このスパイウェア攻撃に関する公式報告はありませんが、メディア報道によると、脅威アクターは特別に細工されたPDFファイルを餌として利用した可能性があるとのことです。このファイルは、標的のユーザーがグループチャットに追加された後に送信されました。研究グループCitizen Labのジョン・スコット=レールトン氏は、まずこの攻撃を分析し、その結果をWhatsAppと共有したと述べています。
「Paragonのインフラ分析結果をMeta社と共有したところ、Meta社は、その詳細がParagonに関する継続中の調査にとって極めて重要であると報告しました。WhatsAppは、Paragonのゼロクリックエクスプロイトを検知・緩和し、その後、イタリアの市民社会のメンバーを含む90名以上の個人(推定)に通知しました」と、Citizen Labが発表した報告書には記されています。
Citizen Labは、Paragon Solutionsのスパイウェアインフラをマッピングし、デジタル指紋と証明書からそのツール「Graphite」を特定しました。研究者らは、Paragonを地元の通信事業者がホストする複数のIPアドレスに関連付け、それらが政府機関の顧客に属していることを示唆しました。設定ミスのあるデジタル証明書もこの接続をさらに裏付け、Paragonによる世界的なスパイウェア活動の証拠を強化しました。
「私たちが発見したインフラは、イスラエル(Paragonの拠点)のIPアドレスから返された「Paragon」というタイトルのウェブページと、Paragonのスパイウェア名である組織名「Graphite」と一般名「installerserver」(競合のスパイウェア製品であるPegasusは、デバイスにスパイウェアを感染させるために設計されたサーバーを「Installation Server」という用語で指している)を含むTLS証明書にリンクされていました。」と、Citizen Labsが公開したレポートには記されています。
Citizen Labが公開したレポートによると、オーストラリア、カナダ、キプロス、デ��ンマーク、イスラエル、シンガポールは、イスラエルのスパイウェアメーカーParagon Solutionsの顧客である可能性があります。