Κυβερνοασφάλεια

Πώς ένα zero-click exploit διείσδυσε στην έρευνα του Ευρωπαϊκού Κοινοβουλίου για το κατασκοπευτικό λογισμικό

Πώς ένα zero-click exploit του Pegasus στόχευσε μέλος του Ευρωπαϊκού Κοινοβουλίου κατά τη διάρκεια μιας κρίσιμης έρευνας για κατασκοπευτικό λογισμικό. Τεχνική ανάλυση του σφάλματος PWNYOURHOME.
Πώς ένα zero-click exploit διείσδυσε στην έρευνα του Ευρωπαϊκού Κοινοβουλίου για το κατασκοπευτικό λογισμικό

Η παραβίαση μιας κινητής συσκευής που ανήκει σε έναν νομοθέτη επιφορτισμένο με τη διερεύνηση της παράνομης παρακολούθησης είναι ένα σενάριο που μοιάζει με κατασκοπευτικό μυθιστόρημα, αλλά για τον Στέλιο Κούλογλου ήταν μια εγκληματολογική πραγματικότητα. Κατά τη διάρκεια της θητείας του στην Επιτροπή PEGA του Ευρωπαϊκού Κοινοβουλίου, ο Κούλογλου έγινε στόχος επανειλημμένων μολύνσεων από το κατασκοπευτικό λογισμικό Pegasus. Αυτή η επιτροπή συστάθηκε ειδικά για να διερευνήσει την κατάχρηση εμπορικών εργαλείων παρακολούθησης σε ολόκληρη την Ευρωπαϊκή Ένωση. Η ειρωνεία της κατάστασης είναι έντονη, ωστόσο οι τεχνικοί μηχανισμοί της επίθεσης αποκαλύπτουν μια πολύ πιο ανησυχητική πραγματικότητα σχετικά με τη σύγχρονη ασφάλεια των κινητών τηλεφώνων. Αυτό το περιστατικό δεν αφορούσε έναν χρήστη που έκανε κλικ σε έναν ύποπτο σύνδεσμο ή κατέβασε ένα κακόβουλο συνημμένο. Ήταν μια αθόρυβη εισβολή «μηδενικού κλικ» (zero-click) που παρέκαμψε τους τυπικούς ελέγχους ασφαλείας μιας από τις πιο ασφαλείς καταναλωτικές συσκευές στην αγορά.

Πρόσφατα πέρασα ένα απόγευμα εξετάζοντας τα εγκληματολογικά ίχνη που είναι κοινά στις μολύνσεις Pegasus με έναν συνάδελφο που ειδικεύεται στην απόκριση περιστατικών σε κινητές συσκευές. Συχνά βλέπουμε ένα μοτίβο όπου οι πιο εξελιγμένοι επιτιθέμενοι αποφεύγουν εντελώς την αλληλεπίδραση. Προτιμούν τη διαδρομή της ελάχιστης αντίστασης, η οποία στον κόσμο του κατασκοπευτικού λογισμικού υψηλής τεχνολογίας συχνά περιλαμβάνει τη στόχευση διεργασιών συστήματος που ο χρήστης δεν βλέπει ποτέ. Στην περίπτωση του Κούλογλου, οι επιτιθέμενοι χρησιμοποίησαν ως όπλο μια συγκεκριμένη ευπάθεια στο πλαίσιο HomeKit της Apple. Αυτή η μεθοδολογία επιτρέπει σε έναν εισβολέα να παραβιάσει μια συσκευή χωρίς καμία ειδοποίηση ή ενέργεια από τον κάτοχο. Όταν το μοντέλο ασφαλείας σας βασίζεται στο να κάνει ο χρήστης τη σωστή επιλογή, ένα zero-click exploit καθιστά αυτό το μοντέλο ουσιαστικά παρωχημένο.

Η ανατομία του exploit PWNYOURHOME

Οι ερευνητές του Citizen Lab διαπίστωσαν ότι οι μολύνσεις στο iPhone του Κούλογλου σημειώθηκαν μέσω ενός exploit με την κωδική ονομασία PWNYOURHOME. Αυτή η συγκεκριμένη αλυσίδα επίθεσης στοχεύει την υπηρεσία HomeKit στο iOS. Στις 21 Οκτωβρίου 2022, τα εγκληματολογικά αρχεία κατέγραψαν μια αναζήτηση για μια συγκεκριμένη διεύθυνση email που σχετίζεται με το HomeKit: rauharepo888[@]gmail.com. Δύο λεπτά αργότερα, μια διεργασία του Pegasus ήταν ενεργή στη συσκευή, καταναλώνοντας δεδομένα κινητής τηλεφωνίας. Αυτή η αλληλουχία γεγονότων είναι ένα κλασικό σημάδι ενός zero-click exploit σε δράση. Ο επιτιθέμενος στέλνει ένα ειδικά διαμορφωμένο αίτημα μέσω μιας υπηρεσίας όπως το iMessage ή το HomeKit, το οποίο το τηλέφωνο επεξεργάζεται αυτόματα στο παρασκήνιο. Εάν το αίτημα περιέχει κακόβουλο κώδικα που εκμεταλλεύεται ένα σφάλμα διαχείρισης μνήμης, ο επιτιθέμενος αποκτά τη δυνατότητα να εκτελέσει κώδικα με τα προνόμια της στοχευμένης υπηρεσίας.

Κατά τη στιγμή της πρώτης μόλυνσης, ο Κούλογλου χρησιμοποιούσε το iOS 15.5. Η Apple αντιμετώπισε τελικά αυτή την ευπάθεια στο iOS 16.3.1, αλλά για μήνες η συσκευή παρέμενε εκτεθειμένη σε αυτό το συγκεκριμένο σημείο εισόδου. Από αρχιτεκτονική άποψη, αυτό το exploit αναδεικνύει μια συστημική αδυναμία στον τρόπο με τον οποίο τα λειτουργικά συστήματα κινητών διαχειρίζονται σύνθετες, διασυνδεδεμένες υπηρεσίες. Το HomeKit έχει σχεδιαστεί για να διευκολύνει τη ζωή αυτοματοποιώντας τις έξυπνες οικιακές συσκευές, αλλά η βαθιά ενσωμάτωσή του στον πυρήνα του λειτουργικού συστήματος παρέχει μια τεράστια επιφάνεια επίθεσης. Σκεφτείτε το σαν μια πίσω πόρτα που έμεινε ξεκλείδωτη σε ένα κτίριο υψηλής ασφαλείας, επειδή οι ένοικοι ήθελαν την ευκολία ενός συστήματος εισόδου με τηλεχειρισμό.

Χαρτογράφηση του χρονοδιαγράμματος της διείσδυσης

Ο χρόνος αυτών των μολύνσεων υποδηλώνει έναν εξαιρετικά στρατηγικό στόχο. Η πρώτη επιτυχής παραβίαση σημειώθηκε τον Οκτώβριο του 2022, ενώ ο Κούλογλου βρισκόταν στο νοσοκομείο για χειρουργική επέμβαση. Κατά τη διάρκεια αυτής της περιόδου, δέχθηκε επίσκεψη από τον Θανάση Κουκάκη, έναν Έλληνα δημοσιογράφο που είχε στοχοποιηθεί προηγουμένως με το κατασκοπευτικό λογισμικό Predator. Το δεύτερο σετ μολύνσεων σημειώθηκε τον Μάρτιο του 2023. Αυτή η περίοδος ήταν κρίσιμη για την Επιτροπή PEGA, καθώς τα μέλη της συμμετείχαν σε έντονες συζητήσεις σχετικά με την τελική σύνταξη της ερευνητικής τους έκθεσης. Οι επιτιθέμενοι είχαν πρόσβαση στη συσκευή κατά τη διάρκεια των εβδομάδων που οι εμπιστευτικές διαβουλεύσεις και οι καταθέσεις μαρτύρων ήταν πιο ευαίσθητες.

Το Citizen Lab διαπίστωσε ότι το κατασκοπευτικό λογισμικό ήταν ενεργό στις 6 και 7 Μαρτίου 2023, χρησιμοποιώντας ως όπλο το ίδιο exploit PWNYOURHOME που είχε χρησιμοποιηθεί μήνες νωρίτερα. Αυτή η επιμονή είναι χαρακτηριστικό των επιχειρήσεων του Pegasus. Το κατασκοπευτικό λογισμικό έχει σχεδιαστεί για να είναι κρυφό, αλλά είναι επίσης ανθεκτικό. Εάν μια συσκευή επανεκκινηθεί, ο χειριστής συχνά χρειάζεται να τη μολύνει ξανά. Το γεγονός ότι οι επιτιθέμενοι επαναμόλυναν επιτυχώς τη συσκευή χρησιμοποιώντας τον ίδιο φορέα υποδηλώνει ότι ήταν σίγουροι για τη συνεχιζόμενη αποτελεσματικότητα του exploit έναντι της μη ενημερωμένης έκδοσης iOS. Από το σχεδιασμό του, το Pegasus επιτρέπει στον χειριστή να καταγράφει κλήσεις, να διαβάζει κρυπτογραφημένα μηνύματα, ακόμη και να ενεργοποιεί το μικρόφωνο ή την κάμερα εξ αποστάσεως. Για ένα μέλος μιας επιτροπής που ερευνά αυτά ακριβώς τα εργαλεία, η έκθεση τέτοιων δεδομένων αποτελεί καταστροφική αποτυχία της εμπιστευτικότητας.

Η σύνδεση με την ευρύτερη ευρωπαϊκή επιτήρηση

Ένα από τα σημαντικότερα ευρήματα στην έκθεση του Citizen Lab είναι η επικάλυψη μεταξύ της υπόθεσης Κούλογλου και άλλων εκστρατειών. Η συγκεκριμένη διεύθυνση Gmail που χρησιμοποιήθηκε στην αναζήτηση του HomeKit, rauharepo888[@]gmail.com, παρατηρήθηκε επίσης σε επιθέσεις εναντίον Ρώσων και Λευκορώσων δημοσιογράφων που ζουν εξόριστοι στην Ευρώπη. Η εγκληματολογική ανάλυση της υποδομής του Pegasus υποδηλώνει ότι αυτές οι διευθύνσεις email είναι συχνά μοναδικές για συγκεκριμένους χειριστές ή πελάτες του NSO Group. Αυτή η ανακάλυψη δείχνει προς έναν πελάτη του Pegasus με άδεια που επιτρέπει επιχειρήσεις σε πολλαπλές ευρωπαϊκές δικαιοδοσίες.

Αυτή η σύνδεση αλλάζει το αφήγημα από ένα μεμονωμένο περιστατικό σε μέρος ενός διάχυτου μοτίβου διασυνοριακής επιτήρησης. Όταν ένας μεμονωμένος χειριστής στοχεύει τόσο δημοσιογράφους της αντιπολίτευσης όσο και υψηλόβαθμους Ευρωπαίους νομοθέτες, η διάκριση μεταξύ εθνικής ασφάλειας και πολιτικής κατασκοπείας εξαφανίζεται. Όσον αφορά την ακεραιότητα των δεδομένων, η παρουσία τέτοιων εργαλείων στη συσκευή ενός νομοθέτη θέτει υπό αμφισβήτηση την ασφάλεια κάθε επικοινωνίας που είχε με πληροφοριοδότες και ακτιβιστές. Αυτά τα άτομα συχνά διακινδυνεύουν τη ζωή τους για να παρέχουν πληροφορίες σε εξεταστικές επιτροπές, και το πράττουν υπό την προϋπόθεση ότι η ταυτότητά τους προστατεύεται από την ψηφιακή ασφάλεια του νομοθέτη.

Οι τηλεπικοινωνίες ως αθόρυβος φορέας επίθεσης

Ενώ η υπόθεση Κούλογλου επικεντρώθηκε στην επιτήρηση μέσω κακόβουλου λογισμικού, είναι σημαντικό να αναγνωρίσουμε ότι το Pegasus είναι μόνο ένα μέρος μιας μεγαλύτερης εργαλειοθήκης. Πρόσφατες έρευνες του Citizen Lab αποκάλυψαν επίσης τη χρήση παρακολούθησης σε επίπεδο τηλεπικοινωνιών. Αυτές οι εκστρατείες εκμεταλλεύονται αδυναμίες στα πρωτόκολλα Signaling System No. 7 (SS7) και Diameter, τα οποία αποτελούν τη ραχοκοκαλιά της παγκόσμιας περιαγωγής κινητής τηλεφωνίας. Οι επιτιθέμενοι μπορούν να εντοπίσουν την τοποθεσία ενός ατόμου χωρίς να εγκαταστήσουν ποτέ κακόβουλο λογισμικό στη συσκευή του. Το κάνουν αυτό πλαστογραφώντας ταυτότητες παρόχων και στέλνοντας κακόβουλες εντολές σηματοδοσίας μέσω έμπιστων τηλεπικοινωνιακών παρόχων.

Αυτός ο τύπος επιτήρησης είναι ακόμη πιο δύσκολο να εντοπιστεί από μια μόλυνση Pegasus. Δεν υπάρχουν εγκληματολογικά ίχνη στο τηλέφωνο επειδή η επίθεση συμβαίνει εντός της υποδομής του δικτύου. Προληπτικά μιλώντας, αυτό καθιστά το τηλεπικοινωνιακό οικοσύστημα ένα κρίσιμο σημείο αποτυχίας για άτομα υψηλού κινδύνου. Ορισμένοι πάροχοι στο Ηνωμένο Βασίλειο και το Τζέρσεϊ αναγνωρίστηκαν ως σημεία διέλευσης για αυτή την κακόβουλη κίνηση σηματοδοσίας. Αυτοί οι πάροχοι λειτούργησαν ουσιαστικά ως μια κρυφή γέφυρα για τους προμηθευτές επιτήρησης ώστε να παρακολουθούν στόχους παγκοσμίως. Αυτό αποκαλύπτει ότι ακόμη και αν έχετε το πιο ασφαλές τηλέφωνο στον κόσμο, το ίδιο το δίκτυο παραμένει μια εκμεταλλεύσιμη διαδρομή για κρατικά υποστηριζόμενους φορείς.

Προς μια ανθεκτική άμυνα

Το επαναλαμβανόμενο θέμα σε αυτές τις εγκληματολογικές εκθέσεις είναι ότι τα παραδοσιακά μέτρα ασφαλείας είναι ανεπαρκή έναντι του μισθοφορικού κατασκοπευτικού λογισμικού. Εάν είστε στόχος υψηλού κινδύνου, η ενημέρωση του λογισμικού (patching) είναι μόνο το πρώτο βήμα. Το patching είναι σαν να βουλώνεις τρύπες στο κύτος ενός πλοίου· σε κρατάει στην επιφάνεια, αλλά δεν εμποδίζει τον εχθρό να ρίξει περισσότερες βολές. Για τους χρήστες που αντιμετωπίζουν κρατικά υποστηριζόμενες απειλές, η Apple εισήγαγε τη «Λειτουργία Αποκλεισμού» (Lockdown Mode). Αυτή η δυνατότητα μειώνει δραστικά την επιφάνεια επίθεσης απενεργοποιώντας σύνθετες τεχνολογίες ιστού, αποκλείοντας ορισμένους τύπους συνημμένων και περιορίζοντας τα εισερχόμενα αιτήματα υπηρεσιών, όπως προσκλήσεις HomeKit από άγνωστους χρήστες.

Από την άποψη του κινδύνου, η υπόθεση Κούλογλου αποτελεί υπενθύμιση ότι η ψηφιακή ασφάλεια είναι ένα κρίσιμο στοιχείο της δημοκρατικής εποπτείας. Όταν οι ίδιοι οι ερευνητές παραβιάζονται, η ακεραιότητα ολόκληρης της έρευνας κινδυνεύει. Πρέπει να κινηθούμε προς ένα μοντέλο «μηδενικής εμπιστοσύνης» (zero-trust) για τις κινητές συσκευές, όπου δεν υποθέτουμε πλέον ότι μια συσκευή είναι ασφαλής μόνο και μόνο επειδή είναι ενημερωμένη. Για όσους κατέχουν ευαίσθητους ρόλους, τα κλειδιά ασφαλείας υλικού και η κρυπτογραφημένη επικοινωνία από άκρο σε άκρο μέσω πλατφορμών όπως το Signal δεν είναι πλέον προαιρετικά. Είναι η βάση για την επιβίωση σε ένα ψηφιακό περιβάλλον όπου οι τοίχοι έχουν αυτιά.

Βασικά συμπεράσματα για χρήστες υψηλού κινδύνου

Η εφαρμογή μιας αμυντικής στρατηγικής απαιτεί μια λεπτομερή προσέγγιση για τη θωράκιση της συσκευής. Εάν η εργασία σας περιλαμβάνει το χειρισμό ευαίσθητων δεδομένων ή τη διερεύνηση ισχυρών οντοτήτων, λάβετε υπόψη τα ακόλουθα βήματα:

  • Ενεργοποιήστε τη Λειτουργία Αποκλεισμού (Lockdown Mode) σε όλες τις συσκευές iOS και macOS για να απενεργοποιήσετε τις λειτουργίες υψηλού κινδύνου που χρησιμοποιούνται συχνά σε zero-click exploits.
  • Ελέγξτε τους λογαριασμούς Apple ID και Google για μη εξουσιοδοτημένες συσκευές και βεβαιωθείτε ότι τα δικαιώματα HomeKit περιορίζονται σε γνωστούς, έμπιστους επαφές.
  • Χρησιμοποιήστε κλειδιά ασφαλείας υλικού (hardware security keys) για έλεγχο ταυτότητας πολλαπλών παραγόντων, ώστε να αποτρέψετε την κατάληψη λογαριασμού ακόμη και αν τα διαπιστευτήριά σας έχουν παραβιαστεί.
  • Επανεκκινείτε την κινητή συσκευή σας καθημερινά. Ενώ ορισμένα κατασκοπευτικά λογισμικά είναι επίμονα, πολλά exploits παραμένουν στην προσωρινή μνήμη και διαγράφονται με την επανεκκίνηση.
  • Παρακολουθήστε τις ειδοποιήσεις απειλών από τους κατασκευαστές. Η Apple και η Google ειδοποιούν πλέον προληπτικά τους χρήστες όταν εντοπίζουν σημάδια κρατικά υποστηριζόμενης στοχοποίησης.

Πηγές:

  • Citizen Lab: "The PEGA Committee and the Pegasus Spyware"
  • NIST Special Publication 800-213: "IoT Device Cybersecurity Guidance"
  • MITRE ATT&CK: "Mobile Software Techniques and Sub-Techniques"
  • European Parliament: "PEGA Committee Final Report on the Use of Pegasus"

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.

bg
bg
bg

Τα λέμε στην άλλη πλευρά.

Η από άκρη σε άκρη κρυπτογραφημένη λύση ηλεκτρονικού ταχυδρομείου και αποθήκευσης στο cloud παρέχει τα πιο ισχυρά μέσα ασφαλούς ανταλλαγής δεδομένων, εξασφαλίζοντας την ασφάλεια και το απόρρητο των δεδομένων σας.

/ Εγγραφείτε δωρεάν