Ebaseaduslikku jälgimist uuriva parlamendiliikme mobiilseadme murdmine on stsenaarium, mis kõlab nagu spiooniromaan, kuid Stelios Kouloglou jaoks oli see kohtuekspertiisi reaalsus. Teenides Euroopa Parlamendi PEGA-komitees, oli Kouloglou korduvate Pegasus nuhkvara rünnakute sihtmärgiks. See komitee loodi spetsiaalselt selleks, et uurida kommertsiaalsete jälgimisvahendite kuritarvitamist Euroopa Liidus. Olukorra iroonia on ilmne, kuid rünnaku tehnilised üksikasjad paljastavad märksa murettekitavama reaalsuse kaasaegse mobiiliturvalisuse kohta. See vahejuhtum ei olnud tingitud sellest, et kasutaja klõpsas kahtlasel lingil või laadis alla pahatahtliku manuse. Tegemist oli vaikse, nullkliki (zero-click) sissetungiga, mis hiilis mööda turu ühe turvalisima tarbijaseadme standardsetest turvakontrollidest.
Veetsin hiljuti pärastlõuna, vaadates koos mobiilsetele intsidentidele reageerimisele spetsialiseerunud kolleegiga läbi Pegasuse nakkustele omaseid kohtuekspertiisi artefakte. Näeme sageli mustrit, kus kõige kogenumad ründajad väldivad täielikult igasugust interaktsiooni. Nad eelistavad vähima vastupanu teed, mis tipptasemel palganuhkvara maailmas tähendab sageli sihtimist süsteemiprotsessidele, mida kasutaja kunagi ei näe. Kouloglou juhtumi puhul kasutasid ründajad relvana konkreetset haavatavust Apple'i HomeKit-raamistikus. See metoodika võimaldab ründajal seadme kompromiteerida ilma omaniku teavituse või tegevuseta. Kui teie turvamudel tugineb sellele, et kasutaja teeb õige valiku, muudab nullkliki ründevara selle mudeli sisuliselt aegunuks.
Citizen Labi teadlased tegid kindlaks, et Kouloglou iPhone'i nakatumine toimus ründeahela kaudu, mille koodnimi on PWNYOURHOME. See konkreetne rünnak sihib iOS-i HomeKit-deemonit. 21. oktoobril 2022 näitasid kohtuekspertiisi logid päringut konkreetsele HomeKitiga seotud e-posti aadressile: rauharepo888[@]gmail.com. Kaks minutit hiljem oli seadmes aktiivne Pegasuse protsess, mis tarbis mobiilset andmesidet. See sündmuste jada on klassikaline märk toimivast nullkliki ründevarast. Ründaja saadab spetsiaalselt koostatud päringu teenuse kaudu nagu iMessage või HomeKit, mida telefon töötleb taustal automaatselt. Kui päring sisaldab pahatahtlikku koodi, mis kasutab ära mäluhalduse viga, saab ründaja võimaluse käivitada koodi sihtteenuse õigustega.
Esimese nakatumise ajal kasutas Kouloglou versiooni iOS 15.5. Apple parandas selle haavatavuse lõpuks versioonis iOS 16.3.1, kuid kuude kaupa jäi seade sellele konkreetsele sisenemispunktile avatuks. Arhitektuurilisest vaatepunktist tõstab see rünnak esile süsteemse nõrkuse selles, kuidas mobiilsed operatsioonisüsteemid käitlevad keerukaid, omavahel seotud teenuseid. HomeKit on loodud elu lihtsustamiseks nutikodu seadmete automatiseerimise kaudu, kuid selle sügav integratsioon operatsioonisüsteemi tuuma pakub massiivset ründepinda. Mõelge sellest kui tagauksest, mis on jäetud kõrge turvalisusega hoones lukustamata, sest elanikud soovisid kaugjuhitava sisenemissüsteemi mugavust.
Nende nakatumiste ajastus viitab kõrgelt strateegilisele eesmärgile. Esimene edukas kompromiteerimine toimus 2022. aasta oktoobris, kui Kouloglou viibis haiglas operatsioonil. Sel perioodil külastas teda Kreeka ajakirjanik Thanasis Koukakis, kes oli varem olnud Predator nuhkvara sihtmärgiks. Teine nakatumiste seeria toimus 2023. aasta märtsis. See periood oli PEGA-komitee jaoks kriitiline, kuna liikmed pidasid tuliseid arutelusid oma uurimisaruande lõpliku koostamise üle. Ründajatel oli juurdepääs seadmele just nendel nädalatel, mil konfidentsiaalsed nõupidamised ja tunnistajate ütlused olid kõige tundlikumad.
Citizen Lab leidis, et nuhkvara oli aktiivne 6. ja 7. märtsil 2023, kasutades sama PWNYOURHOME ründevara, mida kasutati kuid varem. See püsivus on Pegasuse operatsioonide tunnusmärk. Nuhkvara on loodud olema varjatud, kuid see on ka vastupidav. Kui seade taaskäivitub, peab operaator selle sageli uuesti nakatama. Fakt, et ründajad kompromiteerisid seadme uuesti sama vektori abil, viitab sellele, et nad olid kindlad ründevara jätkuvas tõhususes paikamata iOS-i versiooni vastu. Disaini poolest võimaldab Pegasus operaatoril kõnesid salvestada, lugeda krüpteeritud sõnumeid ja isegi aktiveerida eemalt mikrofoni või kaamerat. Neid samu tööriistu uuriva komitee liikme jaoks on selliste andmete paljastamine konfidentsiaalsuse katastroofiline ebaõnnestumine.
Üks olulisemaid leide Citizen Labi aruandes on Kouloglou juhtumi ja teiste kampaaniate vaheline kattuvus. HomeKiti päringus kasutatud konkreetset Gmaili aadressi, rauharepo888[@]gmail.com, nähti ka rünnakutes Euroopas eksiilis elavate Vene ja Valgevene ajakirjanike vastu. Pegasuse infrastruktuuri kohtuekspertiisi analüüs viitab sellele, et need e-posti aadressid on sageli ainulaadsed NSO Groupi konkreetsetele operaatoritele või klientidele. See avastus viitab Pegasuse kliendile, kelle litsents lubab operatsioone mitmes Euroopa jurisdiktsioonis.
See seos muudab narratiivi isoleeritud vahejuhtumist osaks ulatuslikust piiriülesest jälgimismustrist. Kui üks operaator sihib nii opositsioonilisi ajakirjanikke kui ka kõrgeid Euroopa seadusandjaid, kaob piir riikliku julgeoleku ja poliitilise spionaaži vahel. Andmete tervikluse seisukohalt seab selliste tööriistade olemasolu seadusandja seadmes kahtluse alla iga suhtluse turvalisuse, mis neil oli vilepuhujate ja aktivistidega. Need isikud riskivad sageli oma eluga, et edastada uurimiskomiteedele teavet, ning nad teevad seda eeldusel, et nende isikut kaitseb seadusandja digitaalne turvalisus.
Kuigi Kouloglou juhtum keskendus pahavarapõhisele jälgimisele, on oluline mõista, et Pegasus on vaid üks osa suuremast tööriistakomplektist. Citizen Labi hiljutised uuringud on paljastanud ka telekommunikatsiooni tasandi jälgimise kasutamise. Need kampaaniad kasutavad ära nõrkusi Signaling System No. 7 (SS7) ja Diameter protokollides, mis on ülemaailmse mobiilse rändluse selgroog. Ründajad saavad jälgida inimese asukohta ilma tema seadmesse pahavara installimata. Nad teevad seda, võltsides operaatori identiteeti ja saates pahatahtlikke signaalkäske usaldusväärsete telekomiteenuse pakkujate kaudu.
Seda tüüpi jälgimist on veelgi raskem tuvastada kui Pegasuse nakkust. Telefonis puuduvad kohtuekspertiisi artefaktid, sest rünnak toimub võrgutaristu sees. Ennetavalt rääkides muudab see telekommunikatsiooni ökosüsteemi kõrge riskiga isikute jaoks kriitiliseks nõrkuskohaks. Teatud teenusepakkujad Ühendkuningriigis ja Jerseys tuvastati selle pahatahtliku signaaliliikluse transiidipunktidena. Need pakkujad toimisid sisuliselt varjatud sillana jälgimisteenuste pakkujatele sihtmärkide ülemaailmseks jälgimiseks. See paljastab, et isegi kui teil on maailma turvaim telefon, jääb võrk ise riiklikult toetatud ründajatele kasutatavaks teeks.
Nende kohtuekspertiisi aruannete korduv teema on see, et traditsioonilised turvameetmed on palganuhkvara vastu ebapiisavad. Kui olete kõrge riskiga sihtmärk, on parandamine vaid esimene samm. Paikamine on nagu aukude sulgemine laeva keres; see hoiab teid pinnal, kuid ei takista vaenlast uusi laske tegemast. Kasutajatele, kes seisavad silmitsi riiklikult toetatud ohtudega, tutvustas Apple piirangurežiimi (Lockdown Mode). See funktsioon vähendab drastiliselt ründepinda, keelates keerulised veebitehnoloogiad, blokeerides teatud tüüpi manused ja piirates sissetulevaid teenusepäringuid, näiteks tundmatute kasutajate HomeKiti kutseid.
Riski seisukohalt on Kouloglou juhtum meeldetuletus, et digitaalne turvalisus on demokraatliku järelevalve missioonikriitiline komponent. Kui uurijad ise on kompromiteeritud, on ohus kogu uurimise terviklikkus. Peame liikuma mobiilseadmete puhul nullusalduse (zero-trust) mudeli suunas, kus me ei eelda enam, et seade on turvaline lihtsalt sellepärast, et see on uuendatud. Tundlikes rollides olijate jaoks ei ole riistvaralised turvavõtmed ja otsast lõpuni krüpteeritud suhtlus platvormide nagu Signal kaudu enam valikulised. Need on ellujäämise miinimumtase digitaalses keskkonnas, kus seintel on kõrvad.
Kaitseministeeriumi strateegia rakendamine nõuab seadme turvalisuse tugevdamisel üksikasjalikku lähenemist. Kui teie töö hõlmab tundlike andmete käitlemist või võimsate üksuste uurimist, kaaluge järgmisi samme:
Allikad:
Hoiatus: See artikkel on koostatud ainult teavitamise ja harimise eesmärgil ega asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.



Meie läbivalt krüpteeritud e-posti ja pilvesalvestuse lahendus pakub kõige võimsamaid vahendeid turvaliseks andmevahetuseks, tagades teie andmete turvalisuse ja privaatsuse.
/ Tasuta konto loomin