Skaitmeninis visraktis: kaip aukščiausio lygio „iPhone“ įsilaužimo įrankių rinkinys paplito visame pasaulyje

Kibernetinio saugumo srityje ilgą laiką veikė pakopinė sistema. Viršūnėje yra „valstybiniai“ veikėjai – vyriausybių finansuojamos agentūros, turinčios išteklių rasti ir paversti ginklais „nulinės dienos“ (zero-day) pažeidžiamumus, kurie lieka nežinomi programinės įrangos kūrėjams. Metų metus vyravo nuomonė, kad šie įrankiai yra per brangūs ir per brangintini, kad būtų naudojami prieš bet ką kitą, išskyrus pačius svarbiausius taikinius. Ši nuomonė ką tik buvo sugriauta.

Sudėtingas „iPhone“ įsilaužimo įrankių rinkinys, anksčiau įtartas esantis išskirtinė su Vakarų žvalgyba susijusių rangovų sritis, iš chirurginio šnipinėjimo instrumento tapo grubios jėgos ginklu, kurį naudoja užsienio šnipai ir nusikalstami sindikatai. Šis pokytis reiškia „košmarišką scenarijų“ mobiliųjų įrenginių saugumui: aukščiausios klasės stebėjimo technologijų demokratizaciją.

„Tykojimo prie girdyklos“ atakos iškilimas

Priešingai nei tradicinis sukčiavimas (phishing), kai vartotojas turi būti apgautas spustelėti įtartiną nuorodą arba atsisiųsti kenkėjišką failą, naujausiose kampanijose, kuriose naudojamas šis įrankių rinkinys, pasitelkiamos „tykojimo prie girdyklos“ (watering hole) atakos. Pavadinimas yra analogija su plėšrūnu, laukiančiu vietoje, kurioje jo grobis garantuotai apsilankys.

Šiame kontekste užpuolikai pažeidžia teisėtas, didelio srauto svetaines – naujienų portalus, bendruomenių forumus ar net vyriausybinių išteklių puslapius. Kai vartotojas apsilanko šiose svetainėse naudodamasis „iPhone“, įrankių rinkinys tyliai tikrina įrenginį, ieškodamas pažeidžiamumų. Jei randamas atitikmuo, įrenginys išnaudojamas fone be jokių matomų įsibrovimo požymių. Nėra jokio mygtuko „Sutikti“, kurį reikėtų paspausti, ir jokio naršyklės įspėjimo. Kol puslapis baigia krautis, įrenginio mikrofonas, kamera ir šifruoti pranešimai jau gali būti pažeisti.

Nuo valstybės paslapčių iki plataus vartojimo kenkėjiškų programų

Kaip tokio lygio įrankių rinkinys atsidūrė platesnių nusikalstamų elementų rankose? Aukščiausios klasės šnipinėjimo programų kelias dažnai eina nuspėjama, nors ir pavojinga trajektorija. Kai sudėtingas išnaudojimo būdas panaudojamas realioje aplinkoje, jis palieka pėdsakų. Saugumo tyrėjai ir konkuruojančios žvalgybos agentūros gali užfiksuoti šiuos „skaitmeninius pėdsakus“, atlikdami atvirkštinę kodo inžineriją, kad suprastų, kaip jis veikia.

Šiuo konkrečiu atveju įrankių rinkinys, tyrėjų sluoksniuose dažnai vadinamas „LightSpy“ arba „Sandman“ sistemų dariniu, atrodo, buvo nutekintas arba sėkmingai atkurtas. Tai, kas kažkada buvo milijonų dolerių vertės turtas, dabar parduodama „tamsiajame žiniatinklyje“ (dark web) arba dalijamasi tarp su valstybėmis susijusių „APT“ (Advanced Persistent Threat) grupių. Šis perėjimas tikslinę grėsmę paverčia masinės rinkos rizika, kur tikslas yra nebe tik žvalgybinės informacijos rinkimas, bet ir finansinis turto prievartavimas bei tapatybės vagystė.

Techninis „visraktis“

Šio įrankių rinkinio galia slypi jo gebėjime apeiti „smėlio dėžę“ (sandbox) – saugumo architektūrą, kuri izoliuoja „iOS“ programėles vieną nuo kitos. Įsivaizduokite „iPhone“ kaip aukšto saugumo daugiabutį. Paprastai programėlė (nuomininkas) gali patekti tik į savo kambarį. Šis įrankių rinkinys veikia kaip visraktis, leidžiantis užpuolikui vaikščioti koridoriais, atrakinti bet kurias duris ir net pasiekti pastato apsaugos kameras.

Kodėl tai svarbu paprastam vartotojui

Ilgą laiką vidutinis „iPhone“ vartotojas jautėsi apsaugotas nuo didelio masto kibernetinio šnipinėjimo pasaulio. Vyravo logika: „Aš nesu diplomatas ar milijardierius, tad kodėl kas nors turėtų išleisti milijoną dolerių, kad įsilaužtų į mano telefoną?“

Ši logika nebegalioja. Kai įdiegimo kaina krenta, nes įrankių rinkinys yra „nemokamas“ (nutekintas) arba pigus, užpuolikų patekimo barjeras išnyksta. Matome, kad šie išnaudojimo būdai naudojami beatodairiškai. Nusikalstamos grupės dabar naudoja šiuos įrankius bankininkystės duomenims rinkti, dviejų veiksnių autentifikavimui (2FA) apeiti ir asmeninėms nuotraukoms už išpirką laikyti. „Chirurginis“ įrankis tapo „velkamuoju tinklu“, gaudančiu visus savo kelyje.

Kaip apsaugoti savo įrenginį

Nors grėsmė yra didelė, ji nėra neįveikiama. „Apple“ ir platesnė saugumo bendruomenė nuolat dalyvauja ginklavimosi varžybose, kad užtaisytų pažeidžiamumus, kuriais naudojasi šie įrankių rinkiniai. Norėdami apsisaugoti nuo masinio išnaudojimo kampanijų, apsvarstykite šiuos veiksmus:

• Įjunkite „Lockdown Mode“: Vartotojams, kurie mano, kad jiems kyla didesnė rizika, „Apple“ „Lockdown Mode“ (blokavimo režimas) suteikia ypatingą apsaugą, griežtai apribodamas žiniatinklio funkcijas, kurios dažnai naudojamos kaip atakų vektoriai.
• Greitasis saugumo atsakas: Įsitikinkite, kad jūsų „iPhone“ nustatytas automatiškai įdiegti „Security Responses & System Files“. Tai mažesni, kritiniai pataisymai, kuriuos „Apple“ išleidžia tarp pagrindinių „iOS“ atnaujinimų.
• Naršymo higiena: Venkite naršyti jautriose svetainėse naudojantis viešuoju „Wi-Fi“ be patikimo VPN ir periodiškai išvalykite naršyklės talpyklą bei istoriją, kad pašalintumėte galimus kenkėjiškų skriptų paliktus „kabliukus“.
• Įrenginio perkrovimas: Nors kai kurios šiuolaikinės šnipinėjimo programos gali išlikti po perkrovimo, daugelis „neišliekančių“ išnaudojimo būdų pašalinami išjungus įrenginį. Kassavaitinis perkrovimas yra paprastas ir veiksmingas įprotis.

Kelias į priekį

Elitinių įsilaužimo įrankių nutekėjimas į laisvę yra griežtas priminimas, kad skaitmeniniame amžiuje ginklų negalima visam laikui užrakinti. Kai tik pažeidžiamumas paverčiamas ginklu, tik laiko klausimas, kada tas ginklas bus nukreiptas prieš visuomenę. Kadangi šie įrankių rinkiniai ir toliau cirkuliuoja, gynybos našta grįžta vartotojui, kuris turi laikytis griežtos skaitmeninės higienos, ir gamintojui, kuris turi būti vienu žingsniu priekyje šešėlinės rinkos.