Πώς η Meta εξάρθρωσε την τελευταία υποδομή phishing του NSO Group

Εμπιστεύεστε την εφαρμογή ανταλλαγής μηνυμάτων σας για να σας προστατεύσει από τους πιο εξελιγμένους μισθοφόρους του κόσμου; Το ρωτώ αυτό γιατί ακόμη και με την κρυπτογράφηση από άκρο σε άκρο, η πραγματική μάχη δίνεται στα άκρα του λογισμικού. Η Meta εντόπισε πρόσφατα το NSO Group να προσπαθεί να παραβιάσει ξανά την ασφάλεια. Αυτό δεν είναι απλώς άλλο ένα παιχνίδι γάτας και ποντικιού μεταξύ ενός τεχνολογικού γίγαντα και ενός προμηθευτή λογισμικού. Πρόκειται για άμεση παραβίαση ομοσπονδιακής δικαστικής εντολής. Από την πλευρά του κινδύνου, αυτό το περιστατικό αποκαλύπτει ότι οι επίμονοι απειλητικοί παράγοντες δεν σταματούν όταν χάνουν μια δικαστική μάχη. Απλώς αλλάζουν την υποδομή τους και δοκιμάζουν μια διαφορετική πόρτα.

Η Meta ανακοίνωσε τη Δευτέρα ότι εντόπισε και απέκλεισε μια σειρά από απόπειρες spear-phishing που συνδέονται με τον ισραηλινό προμηθευτή κατασκοπευτικού λογισμικού. Η εταιρεία καταθέτει τώρα αίτημα για καταφρόνηση δικαστηρίου κατά του NSO Group. Αυτή η κίνηση έρχεται επειδή το NSO Group παραβίασε μια μόνιμη δικαστική απαγόρευση που του απαγόρευε να στοχεύει το WhatsApp και τους χρήστες του. Στο παρασκήνιο, οι ομάδες ασφαλείας της Meta εντόπισαν κακόβουλα domains και μη εξουσιοδοτημένους λογαριασμούς που χρησιμοποίησε η εταιρεία κατασκοπευτικού λογισμικού για να διευκολύνει αυτές τις επιθέσεις.

Η αρχιτεκτονική μιας επίθεσης ενός κλικ

Το phishing παραμένει ένας ψηφιακός Δούρειος Ίππος ακόμη και για τα πιο θωρακισμένα συστήματα. Σε αυτήν την τελευταία εκστρατεία, το NSO Group χρησιμοποίησε κακόβουλους συνδέσμους για να οδηγήσει τους στόχους σε εξωτερικούς ιστότοπους. Πρόκειται για εκστρατείες phishing 1-κλικ. Απαιτούν από τον χρήστη να αλληλεπιδράσει με έναν σύνδεσμο μόνο μία φορά για να παραβιαστεί μια συσκευή. Μόλις ο χρήστης κάνει κλικ, το πρόγραμμα περιήγησης συνήθως μεταβαίνει σε έναν ιστότοπο που παραδίδει ένα κακόβουλο φορτίο ή υποκλέπτει διαπιστευτήρια. Η Meta εντόπισε τρία συγκεκριμένα domains σε αυτήν την εκστρατεία: fr24cast[.]com, ghazacast[.]com, και ikhwancast[.]com.

Πέρασα μια ώρα σήμερα το πρωί αναλύοντας τις συμβάσεις ονομασίας αυτών των domains. Μιμούνται υπηρεσίες ειδήσεων ή καιρού. Αυτή είναι μια κοινή τακτική για να μειωθεί η επιφυλακτικότητα ενός στόχου. Από την πλευρά του τελικού χρήστη, ένας σύνδεσμος που μοιάζει με ενημέρωση τοπικών ειδήσεων είναι πολύ λιγότερο ύποπτος από μια σειρά τυχαίων χαρακτήρων. Το NSO Group είναι γνωστό για αυτό το επίπεδο λεπτομέρειας. Δεν στέλνουν απλώς έναν σύνδεσμο· δημιουργούν μια αφήγηση. Σε αρχιτεκτονικό επίπεδο, αυτά τα domains λειτουργούν ως πεδίο προετοιμασίας για το κατασκοπευτικό λογισμικό Pegasus. Αυτό το λογισμικό είναι διάσημο για την ικανότητά του να εξάγει μηνύματα, φωτογραφίες και δεδομένα τοποθεσίας τόσο από συσκευές Android όσο και από iOS.

Παραβίαση της μόνιμης δικαστικής απαγόρευσης

Τα νομικά πλαίσια είναι τόσο ισχυρά όσο η επιβολή που τα συνοδεύει. Η Meta πιέζει για αυτήν την επιβολή τώρα. Το 2023, ένα δικαστήριο των ΗΠΑ έκρινε το NSO Group υπεύθυνο για παραβίαση ομοσπονδιακών νόμων, αφού εκμεταλλεύτηκε τους διακομιστές του WhatsApp για να εγκαταστήσει κατασκοπευτικό λογισμικό σε 1.400 άτομα. Αυτή η απόφαση οδήγησε σε πρόστιμο περίπου 168 εκατομμυρίων δολαρίων. Το σημαντικότερο είναι ότι περιελάμβανε μια μόνιμη δικαστική απαγόρευση. Αυτό το νομικό εμπόδιο απαγόρευε στο NSO Group να αποκτήσει ξανά πρόσβαση στα συστήματα του WhatsApp.

Δημιουργώντας νέους δοκιμαστικούς λογαριασμούς και ομάδες, το NSO Group παρέκαμψε το πνεύμα και το γράμμα αυτής της απαγόρευσης. Η Meta εντόπισε την εταιρεία να δημιουργεί αυτούς τους λογαριασμούς για να επαληθεύσει πώς εμφανίζονταν οι σύνδεσμοι phishing μέσα στην εφαρμογή. Έχω δει αυτή τη συμπεριφορά στα δικά μου εργαστηριακά περιβάλλοντα. Ένας επιτιθέμενος πρέπει να δει ό,τι βλέπει ο στόχος. Πρέπει να διασφαλίσουν ότι η προεπισκόπηση του συνδέσμου φαίνεται νόμιμη και ότι το μήνυμα δεν ενεργοποιεί ένα αυτοματοποιημένο φίλτρο ανεπιθύμητης αλληλογραφίας. Η Meta κατέβασε αυτούς τους λογαριασμούς και τις ομάδες αμέσως. Αυτή η προληπτική άμυνα είναι απαραίτητη επειδή το NSO Group έχει ιστορικό συστηματικών προσπαθειών παράκαμψης των ελέγχων ασφαλείας.

Τα όρια της κρυπτογράφησης από άκρο σε άκρο

Ακούω συχνά ανθρώπους να λένε ότι το WhatsApp είναι ασφαλές επειδή είναι κρυπτογραφημένο. Αυτή είναι μια επικίνδυνη απλούστευση. Η κρυπτογράφηση προστατεύει τα δεδομένα κατά τη μεταφορά. Είναι ένα άθραυστο ψηφιακό θησαυροφυλάκιο για το μήνυμά σας καθώς ταξιδεύει από το τηλέφωνό σας στο τηλέφωνο ενός φίλου. Ωστόσο, η κρυπτογράφηση δεν κάνει τίποτα εάν ο επιτιθέμενος παραβιάσει το τελικό σημείο (endpoint). Εάν ένας χάκερ έχει τον έλεγχο του τηλεφώνου σας μέσω του Pegasus, μπορεί να διαβάσει τα μηνύματά σας πριν κρυπτογραφηθούν ή αφού αποκρυπτογραφηθούν.

Το phishing είναι η γέφυρα που επιτρέπει στους επιτιθέμενους να διασχίσουν την τάφρο της κρυπτογράφησης. Το NSO Group δεν προσπαθεί να σπάσει το Πρωτόκολλο Signal που χρησιμοποιεί το WhatsApp. Γνωρίζουν ότι είναι μαθηματικά ορθό. Αντίθετα, στοχεύουν τον άνθρωπο που χρησιμοποιεί την εφαρμογή. Αυτός είναι ο λόγος για τον οποίο η Meta ωθεί τους χρήστες προς αυστηρές ρυθμίσεις λογαριασμού. Αυτές οι ρυθμίσεις μειώνουν την επιφάνεια επίθεσης. Μετατρέπουν την εφαρμογή σε ένα πιο ιδιωτικό περιβάλλον όπου μόνο γνωστές επαφές μπορούν να αλληλεπιδρούν μαζί σας.

Θωράκιση του ανθρώπινου τείχους προστασίας

Η ασφάλεια είναι μια διαδικασία, όχι ένα προϊόν. Η Meta ενθαρρύνει τώρα άτομα υψηλού κινδύνου να χρησιμοποιούν μια προαιρετική λειτουργία ασφαλείας που λειτουργεί ως κατάσταση περιορισμού (lockdown mode). Αυτό αφορά δημοσιογράφους, ακτιβιστές και κυβερνητικούς αξιωματούχους που είναι πιθανοί στόχοι του NSO Group. Όταν ενεργοποιείτε αυτές τις αυστηρές ρυθμίσεις, η εφαρμογή περιορίζει τη λειτουργικότητα για να αυξήσει την ασφάλεια. Για παράδειγμα, απενεργοποιεί τις προεπισκοπήσεις συνδέσμων. Παρόλο που οι προεπισκοπήσεις συνδέσμων είναι βολικές, απαιτούν από την εφαρμογή να επικοινωνήσει με έναν ιστότοπο για να ανακτήσει μια εικόνα και μια περιγραφή. Ένας επιτιθέμενος μπορεί να χρησιμοποιήσει αυτή τη διαδικασία για να συλλέξει πληροφορίες σχετικά με τη διεύθυνση IP ή τον τύπο συσκευής του στόχου.

Σε περίπτωση παραβίασης, αυτές οι ρυθμίσεις παρέχουν ένα επίπεδο ανθεκτικότητας. Η αυστηρή λειτουργία κλειδώνει επίσης τις φωτογραφίες προφίλ, τις πληροφορίες "σχετικά" και την κατάσταση σύνδεσης μόνο για τις επαφές. Εμποδίζει άγνωστους λογαριασμούς να σας προσθέτουν σε ομάδες. Αυτή είναι μια κίνηση προς ένα μοντέλο μηδενικής εμπιστοσύνης (zero-trust) σε επίπεδο χρήστη. Υποθέτει ότι οποιαδήποτε επικοινωνία από άγνωστη πηγή αποτελεί πιθανή απειλή. Κατά συνέπεια, ο χρήστης είναι ασφαλέστερος επειδή η εφαρμογή δεν εμπιστεύεται πλέον εξωτερικά δεδομένα από προεπιλογή.

Το γεωπολιτικό βάρος του ιδιωτικού κατασκοπευτικού λογισμικού

Αυτή η σύγκρουση δεν είναι μόνο μεταξύ δύο εταιρειών. Είναι θέμα διεθνούς ασφάλειας. Το 2021, το Υπουργείο Εμπορίου των ΗΠΑ πρόσθεσε το NSO Group σε μια μαύρη λίστα. Αυτό έγινε επειδή τα εργαλεία της εταιρείας επέτρεπαν σε ξένες κυβερνήσεις να ασκούν διακρατική καταστολή. Η κυβέρνηση των ΗΠΑ αποφάσισε ότι οι δραστηριότητες της NSO ήταν αντίθετες προς τα συμφέροντα της εθνικής ασφάλειας. Αυτός ο τελευταίος εντοπισμός από τη Meta αποδεικνύει ότι η μαύρη λίστα και τα προηγούμενα πρόστιμα δεν σταμάτησαν τις δραστηριότητες της NSO.

Από ιατροδικαστική σκοπιά, η ανακάλυψη αυτών των τριών domains παρέχει ένα ίχνος για άλλους ερευνητές ασφαλείας. Όταν η Meta δημοσιεύει αυτούς τους δείκτες παραβίασης (indicators of compromise), επιτρέπει στους αναλυτές SOC παγκοσμίως να ελέγχουν τα αρχεία καταγραφής τους. Έχω δει πώς ένα μικρό κομμάτι δεδομένων από μια εταιρεία όπως η Meta μπορεί να αποκαλύψει μια πολύ μεγαλύτερη εκστρατεία που υποστηρίζεται από κράτος. Αυτά τα domains είναι πλέον τοξικά στοιχεία για την NSO. Ανεξάρτητα από το πόσες φορές αλλάζουν τα ονόματά τους, το μοτίβο της υποδομής τους παραμένει αναγνωρίσιμο σε όσους ξέρουν πού να κοιτάξουν.

Εφαρμογή προληπτικής άμυνας

Εάν εργάζεστε σε έναν τομέα όπου τα δεδομένα σας αποτελούν στόχο, δεν μπορείτε να βασίζεστε στις προεπιλεγμένες ρυθμίσεις. Η ενημέρωση του λογισμικού σας είναι το πρώτο βήμα, αλλά είναι σαν να κλείνετε τρύπες στο κύτος ενός πλοίου. Πρέπει επίσης να αλλάξετε τον τρόπο με τον οποίο αλληλεπιδράτε με το λογισμικό. Προληπτικά μιλώντας, θα πρέπει να ελέγχετε τις ρυθμίσεις απορρήτου σας τουλάχιστον μία φορά το τρίμηνο. Αυτό ισχύει ιδιαίτερα καθώς το phishing που βασίζεται στην Τεχνητή Νοημοσύνη καθιστά τα κακόβουλα μηνύματα ακόμη πιο δύσκολο να εντοπιστούν.

Η Meta κάνει το σωστό επιστρέφοντας την υπόθεση στις δικαστικές αίθουσες. Ένα πρόστιμο 168 εκατομμυρίων δολαρίων σαφώς δεν ήταν επαρκής αποτρεπτικός παράγοντας για μια εταιρεία που πουλάει εκμεταλλεύσεις (exploits) υψηλής αξίας σε κράτη. Μια εντολή για καταφρόνηση δικαστηρίου επιφέρει σοβαρότερες συνέπειες. Μπορεί να οδηγήσει σε περαιτέρω αποκάλυψη των εσωτερικών λειτουργιών της NSO ή ακόμη και σε σημαντικότερες οικονομικές κυρώσεις. Για εμάς τους υπόλοιπους, είναι μια υπενθύμιση ότι η περίμετρος της ψηφιακής μας ζωής δέχεται συνεχώς πιέσεις.

Πρακτικά βήματα για χρήστες υψηλού κινδύνου

Εάν πιστεύετε ότι διατρέχετε κίνδυνο από εξελιγμένες κυβερνοεπιθέσεις, λάβετε αμέσως αυτά τα μέτρα για να θωρακίσετε τον λογαριασμό σας.

1. Ενεργοποιήστε την επαλήθευση σε δύο βήματα. Αυτό προσθέτει ένα PIN που απαιτείται για την εκ νέου εγγραφή του τηλεφωνικού σας αριθμού στο WhatsApp.
2. Απενεργοποιήστε τις προεπισκοπήσεις συνδέσμων. Αυτό εμποδίζει την εφαρμογή να συνδέεται αυτόματα με ιστότοπους που δεν έχετε επισκεφθεί.
3. Περιορίστε τις προσκλήσεις σε ομάδες. Ρυθμίστε το στις "Επαφές μου" για να εμποδίσετε αγνώστους να σας προσθέτουν σε κακόβουλες ομάδες.
4. Ενημερώστε το λειτουργικό σας σύστημα. Το Pegasus βασίζεται συχνά σε ευπάθειες μηδενικής ημέρας (zero-day) στο iOS ή στο Android.
5. Περιορίστε την ορατότητα του προφίλ. Βεβαιωθείτε ότι η φωτογραφία προφίλ σας και η κατάσταση "Τελευταία εμφάνιση" είναι ορατά μόνο σε άτομα που γνωρίζετε.

Αυτά τα βήματα δεν σας κάνουν αόρατους. Σας καθιστούν δύσκολο στόχο. Οι μισθοφορικές εταιρείες κατασκοπευτικού λογισμικού αναζητούν την οδό της ελάχιστης αντίστασης. Εάν κλείσετε τις εύκολες πόρτες, μπορεί να προχωρήσουν σε κάποιον άλλον.

Πηγές

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς. Δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.