Włamanie do urządzenia mobilnego należącego do ustawodawcy zajmującego się badaniem nielegalnej inwigilacji to scenariusz brzmiący jak powieść szpiegowska, ale dla Steliosa Kouloglou była to rzeczywistość z zakresu informatyki śledczej. Podczas pracy w komisji PEGA Parlamentu Europejskiego, Kouloglou był celem wielokrotnych infekcji oprogramowaniem szpiegowskim Pegasus. Komisja ta powstała specjalnie w celu zbadania nadużyć komercyjnych narzędzi inwigilacyjnych w całej Unii Europejskiej. Ironia tej sytuacji jest uderzająca, jednak techniczne mechanizmy ataku ujawniają znacznie bardziej niepokojącą rzeczywistość dotyczącą współczesnego bezpieczeństwa mobilnego. Incydent ten nie był wynikiem kliknięcia przez użytkownika w podejrzany link czy pobrania złośliwego załącznika. Była to cicha intruzja typu zero-click, która ominęła standardowe zabezpieczenia jednego z najbezpieczniejszych urządzeń konsumenckich na rynku.
Niedawno spędziłem popołudnie na przeglądaniu śladów informatyki śledczej typowych dla infekcji Pegasusem z kolegą, który specjalizuje się w reagowaniu na incydenty mobilne. Często obserwujemy schemat, w którym najbardziej wyrafinowani napastnicy całkowicie unikają interakcji. Preferują oni linię najmniejszego oporu, co w świecie wysokiej klasy najemnego oprogramowania szpiegowskiego często wiąże się z celowaniem w procesy systemowe, których użytkownik nigdy nie widzi. W przypadku Kouloglou napastnicy wykorzystali jako broń konkretną lukę w środowisku Apple HomeKit. Metodyka ta pozwala napastnikowi na przejęcie urządzenia bez żadnego powiadomienia lub działania ze strony właściciela. Gdy model bezpieczeństwa opiera się na dokonywaniu przez użytkownika właściwych wyborów, exploit typu zero-click skutecznie czyni ten model przestarzałym.
Badacze z Citizen Lab zidentyfikowali, że infekcje na iPhonie Kouloglou nastąpiły za pośrednictwem exploita o kryptonimie PWNYOURHOME. Ten konkretny łańcuch ataku celuje w demona HomeKit w systemie iOS. 21 października 2022 r. logi śledcze wykazały wyszukiwanie konkretnego adresu e-mail powiązanego z HomeKit: rauharepo888[@]gmail.com. Dwie minuty później na urządzeniu aktywny był proces Pegasus, zużywający dane mobilne. Ta sekwencja zdarzeń jest klasycznym znakiem działania exploita zero-click. Napastnik wysyła specjalnie przygotowane żądanie za pośrednictwem usługi takiej jak iMessage lub HomeKit, które telefon przetwarza automatycznie w tle. Jeśli żądanie zawiera złośliwy kod wykorzystujący błąd zarządzania pamięcią, napastnik zyskuje możliwość wykonania kodu z uprawnieniami atakowanej usługi.
W czasie pierwszej infekcji Kouloglou korzystał z systemu iOS 15.5. Apple ostatecznie załatało tę lukę w wersji iOS 16.3.1, ale przez miesiące urządzenie pozostawało otwarte na ten konkretny punkt wejścia. Z perspektywy architektonicznej exploit ten podkreśla systemową słabość w sposobie, w jaki mobilne systemy operacyjne obsługują złożone, wzajemnie połączone usługi. HomeKit został zaprojektowany, aby ułatwiać życie poprzez automatyzację urządzeń inteligentnego domu, ale jego głęboka integracja z rdzeniem systemu operacyjnego zapewnia ogromną powierzchnię ataku. Można to porównać do tylnych drzwi pozostawionych otwartych w budynku o wysokim poziomie bezpieczeństwa, ponieważ mieszkańcy chcieli wygody systemu zdalnie sterowanego wjazdu.
Czas tych infekcji sugeruje wysoce strategiczny cel. Pierwsze udane przejęcie miało miejsce w październiku 2022 r., gdy Kouloglou przebywał w szpitalu na operacji. W tym okresie odwiedził go Thanasis Koukakis, grecki dziennikarz, który wcześniej był celem ataku oprogramowaniem Predator. Druga seria infekcji miała miejsce w marcu 2023 r. Okres ten był krytyczny dla komisji PEGA, ponieważ jej członkowie byli zaangażowani w intensywne dyskusje dotyczące końcowego projektu raportu z dochodzenia. Napastnicy mieli dostęp do urządzenia właśnie w tych tygodniach, kiedy poufne narady i zeznania świadków były najbardziej wrażliwe.
Citizen Lab ustaliło, że oprogramowanie szpiegowskie było aktywne 6 i 7 marca 2023 r., wykorzystując ten sam exploit PWNYOURHOME, który został użyty miesiące wcześniej. Ta trwałość jest znakiem rozpoznawczym operacji Pegasus. Oprogramowanie szpiegowskie jest zaprojektowane tak, aby być dyskretnym, ale jest również odporne. Jeśli urządzenie zostanie uruchomione ponownie, operator często musi zainfekować je ponownie. Fakt, że napastnicy z powodzeniem ponownie przejęli urządzenie przy użyciu tego samego wektora, sugeruje, że byli pewni dalszej skuteczności exploita przeciwko niezałatanej wersji iOS. Z założenia Pegasus pozwala operatorowi nagrywać rozmowy, czytać zaszyfrowane wiadomości, a nawet zdalnie aktywować mikrofon lub kamerę. Dla członka komisji badającej właśnie te narzędzia, ujawnienie takich danych jest katastrofalną porażką w zakresie poufności.
Jednym z najistotniejszych ustaleń w raporcie Citizen Lab jest powiązanie przypadku Kouloglou z innymi kampaniami. Konkretny adres Gmail użyty w wyszukiwaniu HomeKit, rauharepo888[@]gmail.com, był również widziany w atakach na rosyjskich i białoruskich dziennikarzy żyjących na wygnaniu w Europie. Analiza śledcza infrastruktury Pegasus sugeruje, że te adresy e-mail są często unikalne dla konkretnych operatorów lub klientów NSO Group. Odkrycie to wskazuje na klienta Pegasusa z licencją zezwalającą na operacje w wielu jurysdykcjach europejskich.
To połączenie zmienia narrację z odosobnionego incydentu na część wszechobecnego wzorca transgranicznej inwigilacji. Gdy pojedynczy operator bierze na cel zarówno opozycyjnych dziennikarzy, jak i wysokich rangą europejskich ustawodawców, rozróżnienie między bezpieczeństwem narodowym a szpiegostwem politycznym zaciera się. W kategoriach integralności danych, obecność takich narzędzi na urządzeniu prawodawcy poddaje w wątpliwość bezpieczeństwo każdej komunikacji, jaką prowadził on z sygnalistami i aktywistami. Osoby te często ryzykują życie, aby przekazać informacje komisjom śledczym, i robią to przy założeniu, że ich tożsamość jest chroniona przez cyfrowe bezpieczeństwo ustawodawcy.
Podczas gdy sprawa Kouloglou skupiała się na inwigilacji opartej na złośliwym oprogramowaniu, ważne jest, aby uznać, że Pegasus to tylko część większego zestawu narzędzi. Niedawne dochodzenia Citizen Lab ujawniły również wykorzystanie śledzenia na poziomie telekomunikacyjnym. Kampanie te wykorzystują słabości w protokołach Signaling System No. 7 (SS7) i Diameter, które stanowią kręgosłup globalnego roamingu mobilnego. Napastnicy mogą śledzić lokalizację osoby bez instalowania złośliwego oprogramowania na jej urządzeniu. Robią to poprzez podszywanie się pod tożsamość operatorów i wysyłanie złośliwych komend sygnalizacyjnych przez zaufanych dostawców telekomunikacyjnych.
Ten rodzaj inwigilacji jest jeszcze trudniejszy do wykrycia niż infekcja Pegasusem. Na telefonie nie ma żadnych śladów śledczych, ponieważ atak dzieje się wewnątrz infrastruktury sieciowej. Mówiąc proaktywnie, czyni to ekosystem telekomunikacyjny krytycznym punktem awarii dla osób wysokiego ryzyka. Niektórzy dostawcy w Wielkiej Brytanii i na Jersey zostali zidentyfikowani jako punkty tranzytowe dla tego złośliwego ruchu sygnalizacyjnego. Dostawcy ci skutecznie funkcjonowali jako tajny most dla dostawców usług inwigilacyjnych do śledzenia celów na całym świecie. Ujawnia to, że nawet jeśli posiadasz najbezpieczniejszy telefon na świecie, sama sieć pozostaje ścieżką możliwą do wykorzystania przez podmioty wspierane przez państwa.
Powracającym motywem w tych raportach śledczych jest to, że tradycyjne środki bezpieczeństwa są niewystarczające przeciwko najemnemu oprogramowaniu szpiegowskiemu. Jeśli jesteś celem wysokiego ryzyka, aktualizowanie systemu to tylko pierwszy krok. Łatanie jest jak zatykanie dziur w kadłubie statku; pozwala utrzymać się na powierzchni, ale nie powstrzymuje wroga przed oddawaniem kolejnych strzałów. Dla użytkowników, którzy mierzą się z zagrożeniami wspieranymi przez państwa, Apple wprowadziło Tryb blokady (Lockdown Mode). Funkcja ta drastycznie zmniejsza powierzchnię ataku poprzez wyłączenie złożonych technologii internetowych, blokowanie niektórych typów załączników i ograniczanie przychodzących żądań usług, takich jak zaproszenia HomeKit od nieznanych użytkowników.
Z perspektywy ryzyka przypadek Kouloglou przypomina, że bezpieczeństwo cyfrowe jest krytycznym elementem demokratycznego nadzoru. Gdy sami śledczy zostają skompromitowani, zagrożona jest integralność całego dochodzenia. Musimy przejść w stronę modelu zero-trust dla urządzeń mobilnych, w którym nie zakładamy już, że urządzenie jest bezpieczne tylko dlatego, że jest zaktualizowane. Dla osób pełniących wrażliwe role, sprzętowe klucze bezpieczeństwa i szyfrowana komunikacja end-to-end za pośrednictwem platform takich jak Signal nie są już opcjonalne. Są one podstawą przetrwania w cyfrowym środowisku, w którym ściany mają uszy.
Wdrożenie strategii obronnej wymaga szczegółowego podejścia do utwardzania urządzeń. Jeśli Twoja praca wiąże się z obsługą wrażliwych danych lub badaniem potężnych podmiotów, rozważ następujące kroki:
Źródła:
Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i edukacyjnym i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.



Nasze kompleksowe, szyfrowane rozwiązanie do poczty e-mail i przechowywania danych w chmurze zapewnia najpotężniejsze środki bezpiecznej wymiany danych, zapewniając bezpieczeństwo i prywatność danych.
/ Utwórz bezpłatne konto