Kiberdrošība

Kā bezklikšķa ekspluats infiltrējās Eiropas Parlamenta spiegprogrammatūras izmeklēšanā

Kā bezklikšķa Pegasus ekspluats bija vērsts pret Eiropas Parlamenta deputātu augsta līmeņa spiegprogrammatūras izmeklēšanas laikā. PWNYOURHOME kļūdas tehniskā analīze.
Kā bezklikšķa ekspluats infiltrējās Eiropas Parlamenta spiegprogrammatūras izmeklēšanā

Mobilās ierīces uzlaušana likumdevējam, kuram uzdots izmeklēt nelikumīgu novērošanu, ir scenārijs, kas izklausās pēc spiegu romāna, taču Steliosam Kuloglu tā bija skarba realitāte. Darbojoties Eiropas Parlamenta PEGA komitejā, Kuloglu kļuva par atkārtotu Pegasus spiegprogrammatūras infekciju mērķi. Šī komiteja tika izveidota tieši tādēļ, lai izmeklētu komerciālo novērošanas rīku ļaunprātīgu izmantošanu visā Eiropas Savienībā. Situācijas ironija ir smaga, tomēr uzbrukuma tehniskie mehānismi atklāj daudz satraucošāku realitāti par mūsdienu mobilo drošību. Šis incidents nebija saistīts ar to, ka lietotājs būtu noklikšķinājis uz aizdomīgas saites vai lejupielādējis ļaunprātīgu pielikumu. Tā bija klusa, bezklikšķa (zero-click) ielaušanās, kas apgāja vienas no tirgū drošākajām patērētāju ierīcēm standarta drošības kontroles mehānismus.

Nesen es pavadīju pēcpusdienu, kopā ar kolēģi, kurš specializējas mobilo incidentu reaģēšanā, pārskatot Pegasus infekcijām raksturīgos digitālās ekspertīzes artefaktus. Mēs bieži redzam modeli, kurā sarežģītākie uzbrucēji pilnībā izvairās no mijiedarbības. Viņi dod priekšroku mazākās pretestības ceļam, kas augstākās klases algotņu spiegprogrammatūru pasaulē bieži ietver mērķēšanu uz sistēmas procesiem, kurus lietotājs nekad neredz. Kuloglu gadījumā uzbrucēji izmantoja specifisku ievainojamību Apple HomeKit ietvarā. Šī metodoloģija ļauj uzbrucējam kompromitēt ierīci bez jebkāda paziņojuma vai īpašnieka darbības. Ja jūsu drošības modelis balstās uz to, ka lietotājs izdara pareizo izvēli, bezklikšķa ekspluats efektīvi padara šo modeli par novecojušu.

PWNYOURHOME ekspluata anatomija

Citizen Lab pētnieki identificēja, ka Kuloglu iPhone infekcijas notika, izmantojot ekspluatu ar koda nosaukumu PWNYOURHOME. Šī konkrētā uzbrukuma ķēde ir vērsta pret HomeKit dēmonu operētājsistēmā iOS. 2022. gada 21. oktobrī ekspertīzes žurnāli uzrādīja meklēšanu pēc konkrētas ar HomeKit saistītas e-pasta adreses: rauharepo888[@]gmail.com. Divas minūtes vēlāk ierīcē bija aktīvs Pegasus process, kas patērēja mobilos datus. Šī notikumu secība ir klasiska bezklikšķa ekspluata darbības pazīme. Uzbrucējs nosūta īpaši izstrādātu pieprasījumu, izmantojot tādu pakalpojumu kā iMessage vai HomeKit, kuru tālrunis automātiski apstrādā fonā. Ja pieprasījums satur ļaunprātīgu kodu, kas izmanto atmiņas pārvaldības kļūdu, uzbrucējs iegūst iespēju izpildīt kodu ar mērķētā pakalpojuma privilēģijām.

Pirmās infekcijas laikā Kuloglu izmantoja iOS 15.5. Apple galu galā novērsa šo ievainojamību versijā iOS 16.3.1, taču mēnešiem ilgi ierīce palika atvērta šim konkrētajam ieejas punktam. No arhitektūras viedokļa šis ekspluats izceļ sistēmisku vājumu tajā, kā mobilās operētājsistēmas apstrādā sarežģītus, savstarpēji saistītus pakalpojumus. HomeKit ir izstrādāts, lai atvieglotu dzīvi, automatizējot viedās mājas ierīces, taču tā dziļā integrācija operētājsistēmas kodolā nodrošina milzīgu uzbrukuma virsmu. Domājiet par to kā par neaizslēgtām sētas durvīm augstas drošības ēkā, jo iedzīvotāji vēlējās tālvadības ieejas sistēmas ērtības.

Ielaušanās laika skalas kartēšana

Šo infekciju laiks liecina par stratēģisku mērķi. Pirmā veiksmīgā kompromitēšana notika 2022. gada oktobrī, kamēr Kuloglu atradās slimnīcā uz operāciju. Šajā periodā viņu apmeklēja Tanasis Kukakis, grieķu žurnālists, pret kuru iepriekš bija vērsta Predator spiegprogrammatūra. Otrais infekciju kopums notika 2023. gada martā. Šis periods PEGA komitejai bija kritisks, jo locekļi bija iesaistīti intensīvās diskusijās par izmeklēšanas ziņojuma galīgā projekta izstrādi. Uzbrucējiem bija piekļuve ierīcei tieši tajās nedēļās, kad konfidenciālas apspriedes un liecinieku liecības bija vissensitīvākās.

Citizen Lab konstatēja, ka spiegprogrammatūra bija aktīva 2023. gada 6. un 7. martā, izmantojot to pašu PWNYOURHOME ekspluatu, kas tika lietots mēnešus iepriekš. Šāda neatlaidība ir Pegasus operāciju raksturīgā pazīme. Spiegprogrammatūra ir izstrādāta tā, lai tā būtu nemanāma, bet vienlaikus arī izturīga. Ja ierīce tiek restartēta, operatoram bieži ir nepieciešams to inficēt atkārtoti. Fakts, ka uzbrucēji veiksmīgi atkārtoti kompromitēja ierīci, izmantojot to pašu vektoru, liecina, ka viņi bija pārliecināti par ekspluata efektivitāti pret neatjaunināto iOS versiju. Pēc konstrukcijas Pegasus ļauj operatoram ierakstīt zvanus, lasīt šifrētus ziņojumus un pat attālināti aktivizēt mikrofonu vai kameru. Komitejas loceklim, kurš izmeklē tieši šos rīkus, šādu datu atklāšana ir katastrofāla konfidencialitātes kļūme.

Saikne ar plašāku Eiropas novērošanu

Viens no nozīmīgākajiem atradumiem Citizen Lab ziņojumā ir pārklāšanās starp Kuloglu gadījumu un citām kampaņām. Konkrētā Gmail adrese, kas tika izmantota HomeKit meklēšanā, rauharepo888[@]gmail.com, tika manīta arī uzbrukumos pret Krievijas un Baltkrievijas žurnālistiem, kuri dzīvo trimdā Eiropā. Pegasus infrastruktūras analīze liecina, ka šīs e-pasta adreses bieži ir unikālas konkrētiem operatoriem vai NSO Group klientiem. Šis atklājums norāda uz Pegasus klientu ar licenci, kas atļauj darbības vairākās Eiropas jurisdikcijās.

Šī saikne maina vēstījumu no izolēta incidenta uz daļu no plaši izplatīta pārrobežu novērošanas modeļa. Kad viens operators vēršas gan pret opozīcijas žurnālistiem, gan augsta ranga Eiropas likumdevējiem, robeža starp nacionālo drošību un politisko spiegošanu izzūd. Runājot par datu integritāti, šādu rīku klātbūtne likumdevēja ierīcē liek apšaubīt katras komunikācijas drošību, kas viņam bijusi ar trauksmes cēlējiem un aktīvistiem. Šīs personas bieži riskē ar savu dzīvību, lai sniegtu informāciju izmeklēšanas komitejām, un viņi to dara, pieņemot, ka viņu identitāti aizsargā likumdevēja digitālā drošība.

Telekomunikācijas kā klusais vektors

Lai gan Kuloglu gadījumā uzmanība tika pievērsta uz ļaunprogrammatūru balstītai novērošanai, ir svarīgi atzīt, ka Pegasus ir tikai viena daļa no lielāka rīku komplekta. Nesenie Citizen Lab pētījumi atklājuši arī telekomunikāciju līmeņa izsekošanas izmantošanu. Šīs kampaņas izmanto vājās vietas Signaling System No. 7 (SS7) un Diameter protokolos, kas ir globālās mobilās viesabonēšanas mugurkauls. Uzbrucēji var izsekot personas atrašanās vietu, nekad neinstalējot ļaunprogrammatūru viņu ierīcē. Viņi to dara, viltojot operatoru identitātes un nosūtot ļaunprātīgas signalizācijas komandas caur uzticamiem telekomunikāciju pakalpojumu sniedzējiem.

Šāda veida novērošanu ir vēl grūtāk atklāt nekā Pegasus infekciju. Tālrunī nav digitālās ekspertīzes artefaktu, jo uzbrukums notiek tīkla infrastruktūrā. Proaktīvi runājot, tas padara telekomunikāciju ekosistēmu par kritisku atteices punktu augsta riska personām. Atsevišķi pakalpojumu sniedzēji Apvienotajā Karalistē un Džersijā tika identificēti kā tranzīta punkti šai ļaunprātīgajai signalizācijas trafika plūsmai. Šie pakalpojumu sniedzēji efektīvi darbojās kā slepens tilts novērošanas pakalpojumu sniedzējiem, lai izsekotu mērķus visā pasaulē. Tas atklāj, ka pat tad, ja jums ir pasaulē drošākais tālrunis, pats tīkls joprojām ir izmantojams ceļš valsts atbalstītiem dalībniekiem.

Ceļā uz noturīgu aizsardzību

Atkārtotā tēma šajos ekspertīzes ziņojumos ir tāda, ka tradicionālie drošības pasākumi ir nepietiekami pret algotņu spiegprogrammatūru. Ja esat augsta riska mērķis, ielāpu instalēšana ir tikai pirmais solis. Ielāpu instalēšana ir kā caurumu aiztaisīšana kuģa korpusā; tas neļauj jums nogrimt, bet neaptur ienaidnieku no tālākiem šāvieniem. Lietotājiem, kuri saskaras ar valsts atbalstītiem draudiem, Apple ieviesa Lockdown režīmu (Lockdown Mode). Šī funkcija krasi samazina uzbrukuma virsmu, atspējojot sarežģītas tīmekļa tehnoloģijas, bloķējot noteikta veida pielikumus un ierobežojot ienākošos pakalpojumu pieprasījumus, piemēram, HomeKit uzaicinājumus no nezināmiem lietotājiem.

No riska viedokļa Kuloglu gadījums ir atgādinājums, ka digitālā drošība ir kritiski svarīga demokrātiskās uzraudzības sastāvdaļa. Kad paši izmeklētāji tiek kompromitēti, ir apdraudēta visas izmeklēšanas integritāte. Mums ir jāpāriet uz nulles uzticēšanās (zero-trust) modeli mobilajām ierīcēm, kur mēs vairs nepieņemam, ka ierīce ir droša tikai tāpēc, ka tā ir atjaunināta. Tiem, kas ieņem sensitīvus amatus, aparatūras drošības atslēgas un pilnīgi šifrēta (end-to-end) saziņa, izmantojot tādas platformas kā Signal, vairs nav izvēles iespēja. Tie ir pamats izdzīvošanai digitālajā vidē, kur sienām ir ausis.

Galvenie secinājumi augsta riska lietotājiem

Aizsardzības stratēģijas īstenošanai nepieciešama granulēta pieeja ierīču drošības stiprināšanai. Ja jūsu darbs ir saistīts ar sensitīvu datu apstrādi vai spēcīgu subjektu izmeklēšanu, apsveriet šādus soļus:

  • Iespējojiet Lockdown režīmu visās iOS un macOS ierīcēs, lai atspējotu augsta riska funkcijas, kuras bieži izmanto bezklikšķa ekspluatos.
  • Auditējiet savus Apple ID un Google kontus, meklējot neautorizētas ierīces, un nodrošiniet, lai HomeKit atļaujas būtu ierobežotas tikai zināmiem, uzticamiem kontaktiem.
  • Izmantojiet aparatūras drošības atslēgas daudzfaktoru autentifikācijai, lai novērstu kontu pārņemšanu pat tad, ja jūsu akreditācijas dati ir kompromitēti.
  • Katru dienu restartējiet savu mobilo ierīci. Lai gan dažas spiegprogrammatūras ir pastāvīgas, daudzi ekspluati atrodas pagaidu atmiņā un tiek izdzēsti pēc restartēšanas.
  • Sekojiet ražotāju paziņojumiem par draudiem. Apple un Google tagad proaktīvi brīdina lietotājus, kad konstatē valsts atbalstītas mērķēšanas pazīmes.

Avoti:

  • Citizen Lab: "The PEGA Committee and the Pegasus Spyware"
  • NIST Special Publication 800-213: "IoT Device Cybersecurity Guidance"
  • MITRE ATT&CK: "Mobile Software Techniques and Sub-Techniques"
  • European Parliament: "PEGA Committee Final Report on the Use of Pegasus"

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.

bg
bg
bg

Uz tikšanos otrā pusē.

Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.

/ Izveidot bezmaksas kontu