Kaip „Meta“ išardė naujausią „NSO Group“ duomenų viliojimo infrastruktūrą

Ar pasitikite savo susirašinėjimo programėle, kad ji apsaugos jus nuo sudėtingiausių pasaulio samdinių? Klausiu to, nes net ir naudojant galinį šifravimą (angl. end-to-end encryption), tikroji kova vyksta programinės įrangos pakraščiuose. „Meta“ neseniai vėl užfiksavo „NSO Group“ bandymą „nulaužti spyną“. Tai nėra tiesiog dar vienas katės ir pelės žaidimas tarp technologijų milžinės ir programinės įrangos pardavėjo. Tai tiesioginis federalinio teismo nutarties pažeidimas. Žvelgiant iš rizikos perspektyvos, šis incidentas atskleidžia, kad nuolatinės grėsmės sukėlėjai nesustoja pralaimėję teisinę kovą. Jie tiesiog pakeičia savo infrastruktūrą ir bando įsilaužti pro kitas duris.

Pirmadienį „Meta“ paskelbė, kad aptiko ir užblokavo daugybę tikslinio duomenų viliojimo (angl. spear-phishing) bandymų, susijusių su Izraelio šnipinėjimo programinės įrangos pardavėju. Bendrovė dabar teikia federalinio teismo prašymą dėl nepagarbos teismui (angl. contempt order) prieš „NSO Group“. Šis žingsnis žengtas todėl, kad „NSO Group“ pažeidė nuolatinį teismo draudimą, kuriuo jai buvo uždrausta kėsintis į „WhatsApp“ ir jos naudotojus. Užkulisiuose „Meta“ saugumo komandos sekė kenkėjiškus domenus ir neteisėtas paskyras, kurias šnipinėjimo įrangos įmonė naudojo šioms atakoms vykdyti.

Vieno spustelėjimo atakos architektūra

Duomenų viliojimas išlieka skaitmeniniu Trojos arkliu net ir labiausiai apsaugotoms sistemoms. Šioje naujausioje kampanijoje „NSO Group“ naudojo kenkėjiškas nuorodas, kad nukreiptų taikinius į išorines svetaines. Tai yra vieno spustelėjimo (angl. 1-click) fisingo kampanijos. Jos reikalauja, kad naudotojas tik vieną kartą spustelėtų nuorodą, kad įrenginio saugumas būtų pažeistas. Kai naudotojas spusteli, naršyklė paprastai nukreipia į svetainę, kuri pristato kenkėjišką kodą arba renka prisijungimo duomenis. „Meta“ šioje kampanijoje nustatė tris konkrečius domenus: fr24cast[.]com, ghazacast[.]com ir ikhwancast[.]com.

Šį rytą praleidau valandą analizuodamas šių domenų pavadinimų suteikimo konvencijas. Jie imituoja naujienų ar orų tarnybas. Tai įprasta taktika, skirta užmigdyti taikinio budrumą. Galutinio naudotojo požiūriu, nuoroda, kuri atrodo kaip vietinių naujienų pranešimas, yra kur kas mažiau įtartina nei atsitiktinių simbolių eilutė. „NSO Group“ yra žinoma dėl tokio lygio detalumo. Jie ne tik siunčia nuorodą; jie kuria istoriją. Architektūriniu lygmeniu šie domenai veikia kaip „Pegasus“ šnipinėjimo programos paruošiamoji zona. Ši programinė įranga garsėja savo gebėjimu išgauti pranešimus, nuotraukas ir vietos duomenis tiek iš „Android“, tiek iš „iOS“ įrenginių.

Nuolatinio teismo draudimo pažeidimas

Teisinės sistemos yra stiprios tiek, kiek stiprus jų vykdymas. „Meta“ dabar siekia būtent to vykdymo užtikrinimo. 2023 m. JAV teismas pripažino „NSO Group“ atsakinga už federalinių įstatymų pažeidimą po to, kai ji pasinaudojo „WhatsApp“ serveriais, kad įdiegtų šnipinėjimo įrangą 1 400 asmenų. Tas sprendimas lėmė maždaug 168 mln. JAV dolerių baudą. Svarbiausia, kad į jį buvo įtrauktas nuolatinis teismo draudimas. Šis teisinis barjeras uždraudė „NSO Group“ bet kada vėl pasiekti „WhatsApp“ sistemas.

Kurdama naujas bandomąsias paskyras ir grupes, „NSO Group“ pažeidė tiek šio draudimo esmę, tiek raidę. „Meta“ užfiksavo įmonę kuriančią šias paskyras, kad patikrintų, kaip jų fisingo nuorodos atrodo programėlėje. Mačiau tokį elgesį savo laboratorinėse aplinkose. Užpuolikui reikia matyti tai, ką mato taikinys. Jie turi įsitikinti, kad nuorodos peržiūra atrodo patikima, o žinutė nesuaktyvina automatinio šlamšto filtro. „Meta“ nedelsdama pašalino šias paskyras ir grupes. Ši proaktyvi gynyba yra būtina, nes „NSO Group“ jau anksčiau sistemingai stengėsi apeiti saugumo kontrolės priemones.

Galinio šifravimo ribos

Dažnai girdžiu žmones sakant, kad „WhatsApp“ yra saugi, nes ji yra šifruojama. Tai pavojingas supaprastinimas. Šifravimas apsaugo duomenis jų perdavimo metu. Tai tarsi nedūžtantis skaitmeninis seifas jūsų žinutei, kol ji keliauja iš jūsų telefono į draugo telefoną. Tačiau šifravimas nieko nereiškia, jei užpuolikas pažeidžia galinį įrenginį. Jei hakeris per „Pegasus“ kontroliuoja jūsų telefoną, jis gali skaityti jūsų žinutes prieš jas užšifruojant arba po jų dešifravimo.

Duomenų viliojimas yra tiltas, leidžiantis užpuolikams peržengti šifravimo griovį. „NSO Group“ nebando nulaužti „Signal“ protokolo, kurį naudoja „WhatsApp“. Jie žino, kad jis yra matematiškai patikimas. Vietoj to jie taikosi į žmogų, besinaudojantį programėle. Štai kodėl „Meta“ skatina naudotojus nustatyti griežtus paskyros nustatymus. Šie nustatymai sumažina atakos paviršių. Jie paverčia programėlę privatesne aplinka, kurioje su jumis gali bendrauti tik žinomi kontaktai.

Žmogiškosios užkardos stiprinimas

Saugumas yra procesas, o ne produktas. „Meta“ dabar skatina didelės rizikos asmenis naudoti pasirenkamą saugumo funkciją, kuri veikia kaip blokavimo režimas. Tai skirta žurnalistams, aktyvistams ir vyriausybės pareigūnams, kurie gali tapti „NSO Group“ taikiniais. Įjungus šiuos griežtus nustatymus, programėlė apriboja funkcionalumą, kad padidintų saugumą. Pavyzdžiui, ji išjungia nuorodų peržiūras. Nors nuorodų peržiūros yra patogios, joms reikia, kad programėlė susisiektų su svetaine, kad gautų vaizdą ir aprašymą. Užpuolikas gali pasinaudoti šiuo procesu, kad surinktų informaciją apie taikinio IP adresą arba įrenginio tipą.

Saugumo pažeidimo atveju šie nustatymai suteikia papildomą atsparumo sluoksnį. Griežtas režimas taip pat užrakina profilio nuotraukas, informaciją „Apie“ ir internetinio buvimo būseną, kad juos matytų tik kontaktai. Tai neleidžia nežinomoms paskyroms pridėti jūsų į grupes. Tai žingsnis link nulinio pasitikėjimo (angl. zero-trust) modelio naudotojo lygmeniu. Daroma prielaida, kad bet koks ryšys iš nežinomo šaltinio yra potenciali grėsmė. Todėl naudotojas yra saugesnis, nes programėlė pagal numatytuosius nustatymus nebetiki išorine įvestimi.

Privačių šnipinėjimo programų geopolitinė svarba

Šis konfliktas vyksta ne tik tarp dviejų įmonių. Tai tarptautinio saugumo klausimas. 2021 m. JAV Prekybos departamentas įtraukė „NSO Group“ į juodąjį sąrašą. Taip nutiko todėl, kad bendrovės įrankiai leido užsienio vyriausybėms vykdyti transnacionalines represijas. JAV vyriausybė nusprendė, kad NSO veikla prieštarauja nacionalinio saugumo interesams. Šis naujausias „Meta“ aptikimas įrodo, kad juodasis sąrašas ir ankstesnės baudos nesustabdė NSO operacijų.

Teismo ekspertizės požiūriu, šių trijų domenų atradimas suteikia pėdsakus kitiems saugumo tyrėjams. Kai „Meta“ paskelbia šiuos kompromitavimo požymius, tai leidžia saugumo operacijų centrų (SOC) analitikams visame pasaulyje patikrinti savo žurnalus. Mačiau, kaip viena maža duomenų dalelė iš tokios įmonės kaip „Meta“ gali demaskuoti kur kas didesnę valstybės remiamą kampaniją. Šie domenai dabar yra toksiškas turtas NSO. Nesvarbu, kiek kartų jie keis pavadinimus, jų infrastruktūros modelis išlieka atpažįstamas tiems, kurie žino, kur žiūrėti.

Proaktyvios gynybos įgyvendinimas

Jei dirbate srityje, kurioje jūsų duomenys yra taikinys, negalite pasikliauti numatytaisiais nustatymais. Programinės įrangos atnaujinimas yra pirmas žingsnis, tačiau tai tarsi skylių lopymas laivo korpuse. Taip pat turite pakeisti tai, kaip sąveikaujate su programine įranga. Kalbant proaktyviai, turėtumėte bent kartą per ketvirtį peržiūrėti savo privatumo nustatymus. Tai ypač aktualu, nes dirbtinio intelekto valdomas duomenų viliojimas kenkėjiškas žinutes padaro dar sunkiau pastebimas.

„Meta“ elgiasi teisingai, grąžindama šį reikalą į teismo salę. 168 mln. JAV dolerių bauda akivaizdžiai nebuvo pakankama atgrasymo priemonė įmonei, kuri parduoda brangius išnaudojimo įrankius (angl. exploits) valstybėms. Nutartis dėl nepagarbos teismui sukelia sunkesnių pasekmių. Tai gali padėti toliau atskleisti NSO vidinę veiklą arba lemti dar didesnes finansines nuobaudas. Mums visiems tai priminimas, kad mūsų skaitmeninio gyvenimo perimetras nuolat patiria spaudimą.

Praktiniai žingsniai didelės rizikos naudotojams

Jei manote, kad jums gresia sudėtingos kibernetinės atakos, nedelsdami atlikite šiuos veiksmus, kad sustiprintumėte savo paskyros saugumą.

1. Įjunkite dviejų veiksmų patvirtinimą. Tai prideda PIN kodą, kurio reikia norint vėl užregistruoti jūsų telefono numerį „WhatsApp“.
2. Išjunkite nuorodų peržiūras. Tai neleidžia programėlei automatiškai prisijungti prie svetainių, kuriose nesilankėte.
3. Apribokite kvietimus į grupes. Nustatykite „Mano kontaktai“, kad nepažįstami asmenys negalėtų jūsų pridėti prie kenkėjiškų grupių.
4. Atnaujinkite operacinę sistemą. „Pegasus“ dažnai remiasi nulinės dienos (angl. zero-day) pažeidžiamumais „iOS“ arba „Android“ sistemose.
5. Apribokite profilio matomumą. Įsitikinkite, kad jūsų profilio nuotrauka ir būsena „Paskutinį kartą matytas“ būtų matomi tik žmonėms, kuriuos pažįstate.

Šie žingsniai nepadaro jūsų nematomo. Jie paverčia jus sunkiu taikiniu. Samdomos šnipinėjimo įrangos įmonės ieško mažiausio pasipriešinimo kelio. Jei uždarysite lengvai prieinamas duris, jos gali persikelti prie ko nors kito.

Šaltiniai

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Šis straipsnis yra skirtas tik informaciniams ir švietimo tikslams. Jis nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.