Kibernetinis saugumas

Kaip „nulinio paspaudimo“ išnaudojimo programa infiltravosi į Europos Parlamento tyrimą dėl šnipinėjimo programų

Kaip „nulinio paspaudimo“ „Pegasus“ išnaudojimo programa nusitaikė į Europos Parlamento narį svarbaus tyrimo metu. Techninė „PWNYOURHOME“ spragos analizė.
Kaip „nulinio paspaudimo“ išnaudojimo programa infiltravosi į Europos Parlamento tyrimą dėl šnipinėjimo programų

Mobiliojo įrenginio, priklausančio įstatymų leidėjui, kuriam pavesta tirti neteisėtą stebėjimą, pažeidimas yra scenarijus, skambantis kaip šnipų romanas, tačiau Steliui Kouloglou tai buvo teismo ekspertizės realybė. Dirbdamas Europos Parlamento PEGA komitete, S. Kouloglou tapo pakartotinių „Pegasus“ šnipinėjimo programos atakų taikiniu. Šis komitetas buvo įkurtas būtent tam, kad ištirtų piktnaudžiavimą komercinėmis stebėjimo priemonėmis visoje Europos Sąjungoje. Situacijos ironija yra akivaizdi, tačiau techniniai atakos mechanizmai atskleidžia kur kas labiau nerimą keliančią šiuolaikinio mobiliojo saugumo realybę. Šis incidentas nebuvo susijęs su tuo, kad vartotojas spustelėjo įtartiną nuorodą ar atsisiuntė kenkėjišką priedą. Tai buvo tyli, „nulinio paspaudimo“ (angl. zero-click) infiltracija, kuri apėjo standartines vieno saugiausių rinkoje vartotojų įrenginių saugumo kontroles.

Neseniai praleidau popietę su kolega, besispecializuojančiu reagavimo į mobiliuosius incidentus srityje, peržiūrėdamas teismo ekspertizės artefaktus, būdingus „Pegasus“ infekcijoms. Dažnai matome dėsningumą, kai sudėtingiausi užpuolikai visiškai vengia sąveikos su vartotoju. Jie renkasi mažiausio pasipriešinimo kelią, kuris aukščiausios klasės samdomos šnipinėjimo įrangos pasaulyje dažnai apima nusitaikymą į sistemos procesus, kurių vartotojas niekada nemato. S. Kouloglou atveju užpuolikai pasinaudojo specifiniu „Apple“ „HomeKit“ sistemos pažeidžiamumu. Ši metodika leidžia užpuolikui pažeisti įrenginį be jokio savininko pranešimo ar veiksmų. Kai jūsų saugumo modelis priklauso nuo to, ar vartotojas priims teisingą sprendimą, „nulinio paspaudimo“ išnaudojimo programa efektyviai paverčia šį modelį pasenusiu.

„PWNYOURHOME“ išnaudojimo programos anatomija

„Citizen Lab“ tyrėjai nustatė, kad S. Kouloglou „iPhone“ užkrėtimai įvyko per išnaudojimo programą, kodiniu pavadinimu „PWNYOURHOME“. Ši specifinė atakos grandinė nukreipta į „iOS“ esantį „HomeKit“ foninį procesą (daemon). 2022 m. spalio 21 d. teismo ekspertizės žurnalai parodė užklausą dėl konkretaus su „HomeKit“ susijusio el. pašto adreso: rauharepo888[@]gmail.com. Po dviejų minučių įrenginyje jau veikė „Pegasus“ procesas, vartojantis mobiliuosius duomenis. Ši įvykių seka yra klasikinis veikiančios „nulinio paspaudimo“ programos požymis. Užpuolikas siunčia specialiai suformuotą užklausą per tokią paslaugą kaip „iMessage“ arba „HomeKit“, kurią telefonas automatiškai apdoroja fone. Jei užklausoje yra kenkėjiškas kodas, išnaudojantis atminties valdymo klaidą, užpuolikas įgyja galimybę vykdyti kodą su tikslinės paslaugos privilegijomis.

Pirmojo užkrėtimo metu S. Kouloglou naudojo „iOS 15.5“. „Apple“ galiausiai pašalino šį pažeidžiamumą „iOS 16.3.1“ versijoje, tačiau kelis mėnesius įrenginys liko atviras šiam konkrečiam įsilaužimo taškui. Žvelgiant iš architektūrinės perspektyvos, šis išnaudojimas išryškina sisteminį silpnumą tame, kaip mobiliosios operacinės sistemos apdoroja sudėtingas, tarpusavyje susijusias paslaugas. „HomeKit“ skirta palengvinti gyvenimą automatizuojant išmaniųjų namų įrenginius, tačiau gili jos integracija į operacinės sistemos branduolį suteikia milžinišką atakos paviršių. Įsivaizduokite tai kaip neužrakintas galines duris aukšto saugumo pastate, nes gyventojai norėjo nuotolinio valdymo įėjimo sistemos patogumo.

Infiltracijos laiko juostos nustatymas

Šių infekcijų laikas rodo labai strateginį tikslą. Pirmasis sėkmingas įsilaužimas įvyko 2022 m. spalį, kai S. Kouloglou gulėjo ligoninėje po operacijos. Tuo laikotarpiu jį aplankė Thanasis Koukakis, graikų žurnalistas, į kurį anksčiau buvo nusitaikyta su „Predator“ šnipinėjimo įranga. Antroji infekcijų banga įvyko 2023 m. kovą. Šis laikotarpis buvo kritinis PEGA komitetui, nes nariai dalyvavo intensyviose diskusijose dėl galutinio tyrimo ataskaitos projekto rengimo. Užpuolikai turėjo prieigą prie įrenginio būtent tomis savaitėmis, kai konfidencialūs svarstymai ir liudytojų parodymai buvo jautriausi.

„Citizen Lab“ nustatė, kad šnipinėjimo įranga buvo aktyvi 2023 m. kovo 6 ir 7 dienomis, naudojant tą pačią „PWNYOURHOME“ programą, kaip ir prieš kelis mėnesius. Toks atkaklumas yra „Pegasus“ operacijų skiriamasis ženklas. Šnipinėjimo įranga sukurta taip, kad būtų nepastebima, bet kartu ir atspari. Jei įrenginys persikrauna, operatoriui dažnai reikia jį užkrėsti iš naujo. Tai, kad užpuolikai sėkmingai vėl įsilaužė į įrenginį naudodami tą patį vektorių, rodo, kad jie buvo įsitikinę programos veiksmingumu prieš neatnaujintą „iOS“ versiją. Pagal konstrukciją „Pegasus“ leidžia operatoriui įrašinėti skambučius, skaityti užšifruotas žinutes ir net nuotoliniu būdu aktyvuoti mikrofoną ar kamerą. Komiteto nariui, tiriančiam būtent šias priemones, tokių duomenų atskleidimas yra katastrofiškas konfidencialumo praradimas.

Ryšys su platesniu Europos stebėjimu

Viena reikšmingiausių „Citizen Lab“ ataskaitos išvadų yra S. Kouloglou atvejo ir kitų kampanijų sutapimas. Tas pats „Gmail“ adresas, naudotas „HomeKit“ užklausoje (rauharepo888[@]gmail.com), taip pat buvo pastebėtas atakose prieš Rusijos ir Baltarusijos žurnalistus, gyvenančius tremtyje Europoje. „Pegasus“ infrastruktūros teismo ekspertizės analizė rodo, kad šie el. pašto adresai dažnai yra unikalūs konkretiems „NSO Group“ operatoriams ar klientams. Šis atradimas rodo „Pegasus“ klientą, turintį licenciją, leidžiančią vykdyti operacijas keliose Europos jurisdikcijose.

Šis ryšys keičia pasakojimą iš izoliuoto incidento į visur paplitusio tarpvalstybinio stebėjimo modelio dalį. Kai vienas operatorius taikosi ir į opozicijos žurnalistus, ir į aukšto rango Europos įstatymų leidėjus, riba tarp nacionalinio saugumo ir politinio šnipinėjimo išnyksta. Kalbant apie duomenų vientisumą, tokių priemonių buvimas įstatymų leidėjo įrenginyje kelia abejonių dėl kiekvieno jų bendravimo su informatoriais ir aktyvistais saugumo. Šie asmenys dažnai rizikuoja savo gyvybe teikdami informaciją tyrimo komitetams, tikėdamiesi, kad jų tapatybę saugo įstatymų leidėjo skaitmeninis saugumas.

Telekomunikacijos kaip tylus vektorius

Nors S. Kouloglou atvejis buvo sutelktas į stebėjimą kenkėjiškų programų pagalba, svarbu pripažinti, kad „Pegasus“ yra tik dalis didesnio įrankių rinkinio. Naujausi „Citizen Lab“ tyrimai taip pat atskleidė telekomunikacijų lygio sekimo naudojimą. Šios kampanijos išnaudoja „Signaling System No. 7“ (SS7) ir „Diameter“ protokolų, kurie yra pasaulinio mobiliojo ryšio tarptinklinio ryšio pagrindas, silpnąsias vietas. Užpuolikai gali sekti asmens buvimo vietą niekada neįdiegę kenkėjiškos programos į jo įrenginį. Jie tai daro suklastodami operatorių tapatybes ir siųsdami kenkėjiškas signalizavimo komandas per patikimus telekomunikacijų teikėjus.

Šio tipo stebėjimą aptikti dar sunkiau nei „Pegasus“ infekciją. Telefone nelieka jokių teismo ekspertizės artefaktų, nes ataka vyksta tinklo infrastruktūroje. Žvelgiant proaktyviai, dėl to telekomunikacijų ekosistema tampa kritiniu rizikos grupės asmenų saugumo trūkumu. Tam tikri teikėjai JK ir Džersyje buvo identifikuoti kaip šio kenkėjiško signalizavimo srauto tranzito taškai. Šie teikėjai faktiškai veikė kaip slaptas tiltas stebėjimo paslaugų pardavėjams sekti taikinius visame pasaulyje. Tai atskleidžia, kad net jei turite saugiausią telefoną pasaulyje, pats tinklas išlieka valstybės remiamų veikėjų išnaudojamu keliu.

Judėjimas link atsparios gynybos

Pasikartojanti šių teismo ekspertizės ataskaitų tema yra ta, kad tradicinių saugumo priemonių nepakanka prieš samdomą šnipinėjimo įrangą. Jei esate didelės rizikos taikinys, programinės įrangos atnaujinimas yra tik pirmas žingsnis. Atnaujinimas yra tarsi skylių lopymas laivo korpuse; jis padeda išsilaikyti vandens paviršiuje, bet nesustabdo priešo nuo tolesnių šūvių. Vartotojams, susiduriantiems su valstybės remiamomis grėsmėmis, „Apple“ pristatė „Lockdown Mode“ (blokavimo režimą). Ši funkcija drastiškai sumažina atakos paviršių išjungdama sudėtingas žiniatinklio technologijas, blokuodama tam tikrų tipų priedus ir ribodama gaunamas paslaugų užklausas, pavyzdžiui, „HomeKit“ kvietimus iš nežinomų vartotojų.

Rizikos požiūriu S. Kouloglou atvejis primena, kad skaitmeninis saugumas yra kritinė demokratinės priežiūros sudedamoji dalis. Kai patys tyrėjai yra pažeidžiami, kyla pavojus viso tyrimo vientisumui. Turime pereiti prie „nulinio pasitikėjimo“ (angl. zero-trust) modelio mobiliesiems įrenginiams, kai nebedarome prielaidos, kad įrenginys yra saugus vien todėl, kad jis yra atnaujintas. Tiems, kurie užima jautrias pareigas, aparatiniai saugumo raktai ir galutinis užšifruotas ryšys per tokias platformas kaip „Signal“ nebėra pasirenkami dalykai. Tai yra išgyvenimo pagrindas skaitmeninėje aplinkoje, kurioje sienos turi ausis.

Pagrindinės įžvalgos didelės rizikos vartotojams

Gynybos strategijos įgyvendinimas reikalauja detalaus požiūrio į įrenginio saugumo stiprinimą. Jei jūsų darbas susijęs su jautrių duomenų tvarkymu ar galingų subjektų tyrimu, apsvarstykite šiuos veiksmus:

  • Įjunkite „Lockdown Mode“ visuose „iOS“ ir „macOS“ įrenginiuose, kad išjungtumėte didelės rizikos funkcijas, dažnai naudojamas „nulinio paspasudimo“ atakose.
  • Patikrinkite savo „Apple ID“ ir „Google“ paskyras, ar nėra pašalinių įrenginių, ir įsitikinkite, kad „HomeKit“ leidimai suteikti tik žinomiems, patikimiems kontaktams.
  • Naudokite aparatinius saugumo raktus daugiaveiksmiam autentifikavimui, kad išvengtumėte paskyros perėmimo, net jei jūsų prisijungimo duomenys būtų pažeisti.
  • Kasdien perkraukite mobilųjį įrenginį. Nors kai kurios šnipinėjimo programos yra atsparios, daugelis išnaudojimo programų lieka laikinojoje atmintyje ir yra pašalinamos persikrovus.
  • Stebėkite gamintojų pranešimus apie grėsmes. „Apple“ ir „Google“ dabar proaktyviai įspėja vartotojus, kai aptinka valstybės remiamo taikymosi požymių.

Šaltiniai:

  • Citizen Lab: „The PEGA Committee and the Pegasus Spyware“
  • NIST Special Publication 800-213: „IoT Device Cybersecurity Guidance“
  • MITRE ATT&CK: „Mobile Software Techniques and Sub-Techniques“
  • European Parliament: „PEGA Committee Final Report on the Use of Pegasus“

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams ir švietimo tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.

bg
bg
bg

Iki pasimatymo kitoje pusėje.

Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.

/ Sukurti nemokamą paskyrą