Kā Meta izjauca NSO Group jaunāko pikšķerēšanas infrastruktūru

Vai jūs uzticaties savai ziņapmaiņas lietotnei, ka tā pasargās jūs no pasaulē prasmīgākajiem algotņiem? Es to jautāju tāpēc, ka pat ar galiekārtu šifrēšanu (end-to-end encryption) īstā cīņa notiek programmatūras malās. Meta nesen pieķēra NSO Group, mēģinot vēlreiz uzlauzt slēdzeni. Šī nav tikai kārtējā kaķa un peles spēle starp tehnoloģiju gigantu un programmatūras pārdevēju. Tas ir tiešs federālās tiesas rīkojuma pārkāpums. No riska perspektīvas šis incidents atklāj, ka pastāvīgie draudu izpildītāji neapstājas, kad zaudē juridisku cīņu. Viņi vienkārši maina savu infrastruktūru un mēģina ielauzties pa citām durvīm.

Meta pirmdien paziņoja, ka tā ir atklājusi un bloķējusi virkni mērķtiecīgu pikšķerēšanas (spear-phishing) mēģinājumu, kas saistīti ar Izraēlas spiegprogrammatūras pārdevēju. Uzņēmums tagad iesniedz federālajā tiesā prasību par tiesas necieņu pret NSO Group. Šis solis tiek sperts, jo NSO Group pārkāpa pastāvīgo aizliegumu, kas tai liedza vērsties pret WhatsApp un tā lietotājiem. Aizkulisēs Meta drošības komandas izsekoja ļaunprātīgus domēnus un neautorizētus kontus, kurus spiegprogrammatūras firma izmantoja, lai veicinātu šos uzbrukumus.

Viena klikšķa uzbrukuma arhitektūra

Pikšķerēšana joprojām ir digitālais Trojas zirgs pat visvairāk aizsargātajām sistēmām. Šajā jaunākajā kampaņā NSO Group izmantoja ļaunprātīgas saites, lai novirzītu mērķus uz ārējām tīmekļa vietnēm. Šīs ir viena klikšķa (1-click) pikšķerēšanas kampaņas. Tās prasa, lai lietotājs tikai vienu reizi mijiedarbotos ar saiti, lai kompromitētu ierīci. Tiklīdz lietotājs noklikšķina, pārlūkprogramma parasti pāriet uz vietni, kas piegādā kaitīgo kodu vai ievāc akreditācijas datus. Meta šajā kampaņā identificēja trīs konkrētus domēnus: fr24cast[.]com, ghazacast[.]com un ikhwancast[.]com.

Es šorīt pavadīju stundu, analizējot šo domēnu nosaukumu veidošanas konvencijas. Tie imitē ziņu vai laikapstākļu dienestus. Tā ir izplatīta taktika, lai iemidzinātu mērķa modrību. No galalietotāja viedokļa saite, kas izskatās pēc vietējo ziņu atjauninājuma, ir daudz mazāk aizdomīga nekā nejaušu rakstzīmju virkne. NSO Group ir pazīstama ar šādu detalizācijas pakāpi. Viņi ne tikai nosūta saiti; viņi izstrādā naratīvu. Arhitektūras līmenī šie domēni kalpo kā Pegasus spiegprogrammatūras sagatavošanas platforma. Šī programmatūra ir slavena ar spēju iegūt ziņas, fotoattēlus un atrašanās vietas datus gan no Android, gan iOS ierīcēm.

Pastāvīgā aizlieguma pārkāpšana

Juridiskie ietvari ir tikai tik spēcīgi, cik spēcīga ir to izpilde. Meta tagad pieprasa šo izpildi. 2023. gadā ASV tiesa atzina NSO Group par vainīgu federālo likumu pārkāpšanā pēc tam, kad tā izmantoja WhatsApp serverus, lai instalētu spiegprogrammatūru 1400 personām. Šis spriedums izraisīja aptuveni 168 miljonu ASV dolāru lielu naudas sodu. Vēl svarīgāk ir tas, ka tas ietvēra pastāvīgu aizliegumu. Šī juridiskā barjera aizliedza NSO Group jebkad vēlreiz piekļūt WhatsApp sistēmām.

Izveidojot jaunus testa kontus un grupas, NSO Group pārkāpa šī aizlieguma būtību un burtu. Meta pieķēra uzņēmumu veidojam šos kontus, lai pārbaudītu, kā to pikšķerēšanas saites parādās lietotnē. Esmu redzējis šādu uzvedību savās laboratorijas vidēs. Uzbrucējam ir jāredz tas, ko redz mērķis. Viņiem jānodrošina, lai saites priekšskatījums izskatītos leģitīms un ziņojums neizraisītu automātisko mēstuļu filtru darbību. Meta nekavējoties slēdza šos kontus un grupas. Šāda proaktīva aizsardzība ir nepieciešama, jo NSO Group ir vēsture ar sistēmiskiem centieniem apiet drošības kontroles.

Galiekārtu šifrēšanas robežas

Es bieži dzirdu cilvēkus sakām, ka WhatsApp ir drošs, jo tas ir šifrēts. Tā ir bīstama vienkāršošana. Šifrēšana aizsargā datus pārsūtīšanas laikā. Tas ir neiznīcināms digitālais seifs jūsu ziņojumam, kamēr tas ceļo no jūsu tālruņa uz drauga tālruni. Tomēr šifrēšana neko nedod, ja uzbrucējs kompromitē galiekārtu. Ja hakerim ir kontrole pār jūsu tālruni, izmantojot Pegasus, viņš var lasīt jūsu ziņas pirms to šifrēšanas vai pēc atšifrēšanas.

Pikšķerēšana ir tilts, kas ļauj uzbrucējiem šķērsot šifrēšanas aizsarggrāvi. NSO Group nemēģina uzlauzt Signal protokolu, ko izmanto WhatsApp. Viņi zina, ka tas ir matemātiski pamatots. Tā vietā viņi vēršas pret cilvēku, kurš izmanto lietotni. Tāpēc Meta mudina lietotājus izmantot stingrus konta iestatījumus. Šie iestatījumi samazina uzbrukuma virsmu. Tie pārvērš lietotni privātākā vidē, kur ar jums var mijiedarboties tikai zināmas kontaktpersonas.

Cilvēka ugunsmūra stiprināšana

Drošība ir process, nevis produkts. Meta tagad mudina augsta riska personas izmantot izvēles drošības funkciju, kas darbojas līdzīgi kā bloķēšanas režīms. Tas ir paredzēts žurnālistiem, aktīvistiem un valdības amatpersonām, kas ir ticami NSO Group mērķi. Iespējojot šos stingros iestatījumus, lietotne ierobežo funkcionalitāti, lai palielinātu drošību. Piemēram, tā izslēdz saišu priekšskatījumus. Lai gan saišu priekšskatījumi ir ērti, tiem nepieciešams, lai lietotne sazinātos ar tīmekļa vietni, lai iegūtu attēlu un aprakstu. Uzbrucējs var izmantot šo procesu, lai ievāktu informāciju par mērķa IP adresi vai ierīces veidu.

Pārkāpuma gadījumā šie iestatījumi nodrošina papildu noturības slāni. Stingrais režīms arī bloķē profila fotoattēlus, informāciju par lietotāju un tiešsaistes statusu, padarot tos redzamus tikai kontaktpersonām. Tas neļauj nezināmiem kontiem pievienot jūs grupām. Tā ir virzība uz nulles uzticēšanās (zero-trust) modeli lietotāja līmenī. Tas pieņem, ka jebkura komunikācija no nezināma avota ir potenciāls drauds. Rezultātā lietotājs ir drošībā, jo lietotne vairs pēc noklusējuma neuzticas ārējai ievadei.

Privātās spiegprogrammatūras ģeopolitiskais svars

Šis konflikts nav tikai starp diviem uzņēmumiem. Tas ir starptautiskās drošības jautājums. 2021. gadā ASV Tirdzniecības departaments pievienoja NSO Group melnajam sarakstam. Tas notika tāpēc, ka uzņēmuma rīki ļāva ārvalstu valdībām veikt transnacionālas represijas. ASV valdība nolēma, ka NSO darbības ir pretrunā nacionālās drošības interesēm. Šis jaunākais Meta atklājums pierāda, ka melnais saraksts un iepriekšējie naudas sodi nav apturējuši NSO darbību.

No tiesu ekspertīzes viedokļa šo trīs domēnu atklāšana sniedz pēdas citiem drošības pētniekiem. Kad Meta publicē šos kompromitēšanas indikatorus, tas ļauj SOC analītiķiem visā pasaulē pārbaudīt savus žurnālus. Esmu redzējis, kā viens mazs datu fragments no tāda uzņēmuma kā Meta var atmaskot daudz lielāku valsts atbalstītu kampaņu. Šie domēni tagad ir toksiski aktīvi priekš NSO. Neatkarīgi no tā, cik reižu viņi maina savus nosaukumus, viņu infrastruktūras modelis joprojām ir atpazīstams tiem, kas zina, kur skatīties.

Proaktīvas aizsardzības ieviešana

Ja strādājat jomā, kurā jūsu dati ir mērķis, jūs nevarat paļauties uz noklusējuma iestatījumiem. Programmatūras atjaunināšana ir pirmais solis, taču tas ir līdzīgi kā caurumu aizlāpīšana kuģa korpusā. Jums ir arī jāmaina veids, kā jūs mijiedarbojaties ar programmatūru. Runājot proaktīvi, jums vajadzētu revidēt savus privātuma iestatījumus vismaz reizi ceturksnī. Tas ir īpaši svarīgi, jo mākslīgā intelekta vadīta pikšķerēšana padara ļaunprātīgus ziņojumus vēl grūtāk pamanāmus.

Meta rīkojas pareizi, atgriežot šo lietu tiesas zālē. 168 miljonu dolāru naudas sods acīmredzami nebija pietiekams atturēšanas līdzeklis uzņēmumam, kas pārdod augstvērtīgas ievainojamības nacionālajām valstīm. Rīkojums par tiesas necieņu rada smagākas sekas. Tas var novest pie tālākas NSO iekšējās darbības atklāšanas vai pat vēl lielākiem finansiāliem sodiem. Mums pārējiem tas ir atgādinājums, ka mūsu digitālās dzīves perimetrs ir pastāvīgā spiediena ietekmē.

Praktiski soļi augsta riska lietotājiem

Ja uzskatāt, ka esat pakļauts sarežģītu kiberuzbrukumu riskam, nekavējoties veiciet šīs darbības, lai nostiprinātu savu kontu.

1. Iespējojiet divpakāpju verifikāciju. Tas pievieno PIN kodu, kas nepieciešams, lai vēlreiz reģistrētu jūsu tālruņa numuru WhatsApp.
2. Izslēdziet saišu priekšskatījumus. Tas neļauj lietotnei automātiski izveidot savienojumu ar vietnēm, kuras neesat apmeklējis.
3. Ierobežojiet uzaicinājumus grupās. Iestatiet to uz "Mani kontakti", lai neļautu svešiniekiem pievienot jūs ļaunprātīgām grupām.
4. Atjauniniet savu operētājsistēmu. Pegasus bieži paļaujas uz nulles dienas (zero-day) ievainojamībām iOS vai Android sistēmās.
5. Ierobežojiet profila redzamību. Nodrošiniet, lai jūsu profila fotoattēls un statuss "Pēdējo reizi redzēts" būtu redzams tikai cilvēkiem, kurus pazīstat.

Šie soļi nepadara jūs neredzamu. Tie padara jūs par grūtu mērķi. Algotņu spiegprogrammatūras firmas meklē mazākās pretestības ceļu. Ja aizvērsiet vieglās durvis, viņi var pāriet pie kāda cita.

Avoti

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Šis raksts ir paredzēts tikai informatīviem un izglītojošiem mērķiem. Tas neaizstāj profesionālu kiberdrošības auditu vai incidentu novēršanas pakalpojumu.