Kuidas Meta lammutas NSO Groupi uusima õngitsemistaristu

Kas usaldate oma sõnumirakendust, et see kaitseb teid maailma kõige kogenumate palgasõdurite eest? Küsin seda, sest isegi otsast lõpuni krüpteerimise (end-to-end encryption) puhul toimub tõeline lahing tarkvara äärealadel. Meta tabas hiljuti NSO Groupi taas kord lukku muukimas. See ei ole lihtsalt järjekordne kassi-hiire mäng tehnoloogiahiiu ja tarkvaramüüja vahel. See on föderaalkohtu määruse otsene rikkumine. Riski seisukohast paljastab see vahejuhtum, et püsivad ohustajad ei peatu pärast juriidilise lahingu kaotamist. Nad lihtsalt muudavad oma taristut ja proovivad siseneda teisest uksest.

Meta teatas esmaspäeval, et tuvastas ja blokeeris rea suunatud õngitsemiskatseid (spear-phishing), mis on seotud Iisraeli nuhkvaratootjaga. Ettevõte esitab nüüd NSO Groupi vastu föderaalkohtule avalduse kohtumääruse täitmata jätmise kohta. See samm tuleneb asjaolust, et NSO Group rikkus alalist keeldu, mis keelas neil rünnata WhatsAppi ja selle kasutajaid. Kulisside taga jälgisid Meta turvameeskonnad pahatahtlikke domeene ja volitamata kontosid, mida nuhkvarafirma kasutas nende rünnakute hõlbustamiseks.

Ühe kliki rünnaku arhitektuur

Õngitsemine on digitaalne Trooja hobune isegi kõige turvatumate süsteemide jaoks. Selles viimases kampaanias kasutas NSO Group pahatahtlikke linke, et suunata sihtmärgid välistele veebisaitidele. Need on nn ühe kliki õngitsemiskampaaniad. Need nõuavad kasutajalt vaid ühekordset lingile vajutamist, et seade ohtu seada. Kui kasutaja klõpsab, suunab brauser tavaliselt saidile, mis edastab pahavara või kogub sisselogimisandmeid. Meta tuvastas selles kampaanias kolm konkreetset domeeni: fr24cast[.]com, ghazacast[.]com ja ikhwancast[.]com.

Veetsin täna hommikul tunni analüüsides nende domeenide nimekonventsioone. Need imiteerivad uudiste- või ilmateenuseid. See on tavaline taktika sihtmärgi valveseisundi uinutamiseks. Lõppkasutaja vaatepunktist on link, mis näeb välja nagu kohalik uudisteuuendus, palju vähem kahtlane kui juhuslik märgijada. NSO Group on tuntud sellise detailsuse poolest. Nad ei saada lihtsalt linki; nad loovad narratiivi. Arhitektuurilisel tasandil toimivad need domeenid Pegasus-nuhkvara stardiplatvormina. See tarkvara on kuulus oma võime poolest eraldada sõnumeid, fotosid ja asukohaandmeid nii Android- kui ka iOS-seadmetest.

Alalise kohtukeelu rikkumine

Õigusraamistikud on vaid nii tugevad, kui on nende taga olev jõustamine. Meta nõuab nüüd seda jõustamist. 2023. aastal leidis USA kohus, et NSO Group on vastutav föderaalseaduste rikkumise eest pärast seda, kui ta kasutas WhatsAppi servereid nuhkvara levitamiseks 1400 isikule. See otsus tõi kaasa ligikaudu 168 miljoni dollari suuruse trahvi. Veelgi olulisem on see, et see sisaldas alalist keeldu. See juriidiline barjäär keelas NSO Groupil igasuguse edasise juurdepääsu WhatsAppi süsteemidele.

Luues uusi testkontosid ja gruppe, hiilis NSO Group mööda selle keelu vaimust ja kirjatähest. Meta tabas ettevõtte loomas neid kontosid, et kontrollida, kuidas nende õngitsemislingid rakenduses kuvatakse. Olen näinud sellist käitumist oma laborikeskkondades. Ründaja peab nägema seda, mida näeb sihtmärk. Nad peavad tagama, et lingi eelvaade näeks välja legitiimne ja sõnum ei käivitaks automaatset rämpspostifiltrit. Meta sulges need kontod ja grupid viivitamatult. See ennetav kaitse on vajalik, sest NSO Groupil on pikaajaline ajalugu süsteemsetest katsetest turvakontrollidest mööda hiilida.

Otsast lõpuni krüpteerimise piirid

Kuulen sageli inimesi ütlevat, et WhatsApp on turvaline, sest see on krüpteeritud. See on ohtlik lihtsustus. Krüpteerimine kaitseb andmeid edastamise ajal. See on purunemiskindel digitaalne seif teie sõnumile ajal, mil see liigub teie telefonist sõbra telefoni. Krüpteerimine ei aita aga midagi, kui ründaja kompromiteerib lõppseadme. Kui häkkeril on Pegasuse kaudu kontroll teie telefoni üle, saab ta lugeda teie sõnumeid enne nende krüpteerimist või pärast nende dekrüpteerimist.

Õngitsemine on sild, mis võimaldab ründajatel ületada krüpteerimise vallikraavi. NSO Group ei püüa murda Signal-protokolli, mida WhatsApp kasutab. Nad teavad, et see on matemaatiliselt kindel. Selle asemel ründavad nad rakendust kasutavat inimest. Seetõttu suunab Meta kasutajaid rangete kontoseadete poole. Need seaded vähendavad ründepinda. Need muudavad rakenduse privaatsemaks keskkonnaks, kus teiega saavad suhelda ainult tuntud kontaktid.

Inimtulemüüri tugevdamine

Turvalisus on protsess, mitte toode. Meta julgustab nüüd kõrge riskiprofiiliga isikuid kasutama valikulist turvafunktsiooni, mis toimib sarnaselt lukustusrežiimile. See on mõeldud ajakirjanikele, aktivistidele ja valitsusametnikele, kes on tõenäolised NSO Groupi sihtmärgid. Kui lubate need ranged seaded, piirab rakendus funktsionaalsust turvalisuse suurendamiseks. Näiteks lülitab see välja linkide eelvaated. Kuigi linkide eelvaated on mugavad, nõuavad need rakenduselt pöördumist veebisaidi poole, et hankida pilt ja kirjeldus. Ründaja saab seda protsessi kasutada teabe kogumiseks sihtmärgi IP-aadressi või seadme tüübi kohta.

Ründe korral pakuvad need seaded täiendava vastupidavuskihi. Range režiim lukustab ka profiilifotod, kirjelduse andmed ja võrgusoleku staatuse ainult kontaktidele. See takistab tundmatutel kontodel teid gruppidesse lisamast. See on samm nullusalduse (zero-trust) mudeli suunas kasutaja tasandil. See eeldab, et igasugune suhtlus tundmatust allikast on potentsiaalne oht. Sellest tulenevalt on kasutaja turvalisem, sest rakendus ei usalda vaikimisi enam välist sisendit.

Eranuhkvara geopoliitiline kaal

See konflikt ei ole ainult kahe ettevõtte vaheline asi. See on rahvusvahelise julgeoleku küsimus. 2021. aastal lisas USA kaubandusministeerium NSO Groupi musta nimekirja. Põhjuseks oli see, et ettevõtte tööriistad võimaldasid välisriikide valitsustel läbi viia riikidevahelisi repressioone. USA valitsus otsustas, et NSO tegevus on vastuolus riikliku julgeoleku huvidega. See Meta viimane avastus tõestab, et must nimekiri ja varasemad trahvid ei ole NSO tegevust peatanud.

Kohtuekspertiisi seisukohast pakub nende kolme domeeni avastamine jälgi teistele turvauurijatele. Kui Meta avaldab need kompromiteerimise indikaatorid, võimaldab see SOC-analüütikutel üle maailma oma logisid kontrollida. Olen näinud, kuidas üks väike andmekild selliselt ettevõttelt nagu Meta võib paljastada palju suurema riiklikult toetatud kampaania. Need domeenid on nüüd NSO jaoks toksilised varad. Ükskõik kui palju kordi nad oma nimesid muudavad, jääb nende taristu muster äratuntavaks neile, kes teavad, kuhu vaadata.

Ennetava kaitse rakendamine

Kui töötate valdkonnas, kus teie andmed on sihtmärgiks, ei saa te lootma jääda vaikesätetele. Tarkvara paikamine on esimene samm, kuid see on nagu aukude lappimine laevakeres. Peate muutma ka seda, kuidas te tarkvaraga suheldes käitute. Ennetavalt rääkides peaksite oma privaatsusseadeid auditeerima vähemalt kord kvartalis. See on eriti oluline, kuna tehisintellektil põhinev õngitsemine muudab pahatahtlikud sõnumid veelgi raskemini märgatavaks.

Meta teeb õigesti, viies selle asja tagasi kohtusaali. 168 miljoni dollari suurune trahv ei olnud ilmselgelt piisav heidutus ettevõttele, mis müüb kalleid ründevektoreid riikidele. Kohtumääruse täitmata jätmise süüdistus toob kaasa rangemad tagajärjed. See võib viia NSO sisemiste tööpõhimõtete edasise paljastamiseni või veelgi suuremate rahaliste karistusteni. Meile ülejäänutele on see meeldetuletus, et meie digitaalse elu perimeeter on pideva surve all.

Praktilised sammud kõrge riskiga kasutajatele

Kui usute, et olete keerukate küberrünnakute ohu märklaud, astuge oma konto turvamiseks kohe järgmised sammud.

1. Lülitage sisse kaheastmeline kinnitamine. See lisab PIN-koodi, mis on vajalik teie telefoninumbri uueks registreerimiseks WhatsAppis.
2. Lülitage välja linkide eelvaated. See takistab rakendust automaatselt ühendumast veebisaitidega, mida te pole külastanud.
3. Piirake grupikutseid. Seadistage see valikule "Minu kontaktid", et vältida võõraste poolt teie lisamist pahatahtlikesse gruppidesse.
4. Uuendage oma operatsioonisüsteemi. Pegasus tugineb sageli iOS-i või Androidi nullpäeva haavatavustele.
5. Piirake profiili nähtavust. Veenduge, et teie profiilifoto ja "Viimati nähtud" staatus on nähtavad ainult inimestele, keda teate.

Need sammud ei muuda teid nähtamatuks. Need muudavad teid raskeks sihtmärgiks. Palgasõduritest nuhkvarafirmad otsivad vähima vastupanu teed. Kui sulgete lihtsad uksed, võivad nad liikuda edasi kellegi teise juurde.

Allikad

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

See artikkel on mõeldud ainult teavitamiseks ja harimiseks. See ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.