Jak Meta zdemontowała najnowszą infrastrukturę phishingową NSO Group

Czy ufasz swojej aplikacji do przesyłania wiadomości, że ochroni Cię przed najbardziej wyrafinowanymi najemnikami na świecie? Pytam o to, ponieważ nawet przy szyfrowaniu end-to-end prawdziwa bitwa toczy się na obrzeżach oprogramowania. Meta niedawno przyłapała NSO Group na kolejnej próbie włamania. To nie jest tylko kolejna gra w kotka i myszkę między technologicznym gigantem a dostawcą oprogramowania. To bezpośrednie naruszenie nakazu sądu federalnego. Z perspektywy ryzyka incydent ten pokazuje, że uporczywi sprawcy zagrożeń nie przestają działać po przegranej bitwie prawnej. Po prostu zmieniają swoją infrastrukturę i próbują wejść innymi drzwiami.

Meta ogłosiła w poniedziałek, że wykryła i zablokowała serię prób spear-phishingu powiązanych z izraelskim dostawcą oprogramowania szpiegującego. Firma składa obecnie wniosek o ukaranie NSO Group za obrazę sądu (contempt order). Ruch ten wynika z faktu, że NSO Group naruszyło stały nakaz sądowy, który zabraniał jej brania na cel aplikacji WhatsApp i jej użytkowników. Za kulisami zespoły ds. bezpieczeństwa Meta śledziły złośliwe domeny i nieautoryzowane konta, których firma szpiegowska używała do ułatwiania tych ataków.

Architektura ataku typu one-click

Phishing pozostaje cyfrowym koniem trojańskim nawet dla najbardziej zabezpieczonych systemów. W tej najnowszej kampanii NSO Group wykorzystywało złośliwe linki, aby kierować cele do zewnętrznych stron internetowych. Są to kampanie phishingowe typu 1-click. Wymagają one od użytkownika tylko jednej interakcji z linkiem, aby zainfekować urządzenie. Gdy użytkownik kliknie, przeglądarka zazwyczaj przechodzi do strony, która dostarcza ładunek (payload) lub kradnie dane uwierzytelniające. Meta zidentyfikowała trzy konkretne domeny w tej kampanii: fr24cast[.]com, ghazacast[.]com oraz ikhwancast[.]com.

Spędziłem dziś rano godzinę analizując konwencje nazewnictwa tych domen. Naśladują one serwisy informacyjne lub pogodowe. Jest to powszechna taktyka mająca na celu uśpienie czujności celu. Z perspektywy użytkownika końcowego link, który wygląda jak aktualizacja lokalnych wiadomości, jest znacznie mniej podejrzany niż ciąg losowych znaków. NSO Group jest znane z takiej dbałości o szczegóły. Oni nie tylko wysyłają link; oni tworzą narrację. Na poziomie architektonicznym domeny te służą jako poligon startowy dla oprogramowania szpiegującego Pegasus. Oprogramowanie to słynie z możliwości wyodrębniania wiadomości, zdjęć i danych o lokalizacji zarówno z urządzeń z systemem Android, jak i iOS.

Łamanie stałego nakazu sądowego

Ramy prawne są tylko tak silne, jak ich egzekwowanie. Meta dąży teraz do tego egzekwowania. W 2023 roku amerykański sąd uznał NSO Group za winną naruszenia przepisów federalnych po tym, jak wykorzystała serwery WhatsApp do wdrożenia oprogramowania szpiegującego u 1400 osób. Orzeczenie to skutkowało grzywną w wysokości około 168 milionów dolarów. Co ważniejsze, obejmowało ono stały nakaz sądowy. Ta bariera prawna zakazała NSO Group ponownego dostępu do systemów WhatsApp.

Tworząc nowe konta testowe i grupy, NSO Group ominęła ducha i literę tego nakazu. Meta przyłapała firmę na tworzeniu tych kont w celu weryfikacji, jak ich linki phishingowe wyświetlają się w aplikacji. Widziałem takie zachowania we własnych środowiskach laboratoryjnych. Atakujący musi widzieć to, co widzi cel. Musi upewnić się, że podgląd linku wygląda wiarygodnie, a wiadomość nie uruchamia automatycznego filtra spamu. Meta natychmiast usunęła te konta i grupy. Ta proaktywna obrona jest konieczna, ponieważ NSO Group ma historię systematycznych wysiłków na rzecz obchodzenia kontroli bezpieczeństwa.

Granice szyfrowania end-to-end

Często słyszę, jak ludzie mówią, że WhatsApp jest bezpieczny, ponieważ jest szyfrowany. To niebezpieczne uproszczenie. Szyfrowanie chroni dane podczas przesyłu. Jest to niezniszczalny cyfrowy skarbiec dla Twojej wiadomości, gdy wędruje ona z Twojego telefonu na telefon znajomego. Jednak szyfrowanie nic nie daje, jeśli atakujący przejmie kontrolę nad punktem końcowym. Jeśli haker kontroluje Twój telefon za pomocą Pegasusa, może czytać Twoje wiadomości przed ich zaszyfrowaniem lub po ich odszyfrowaniu.

Phishing jest mostem, który pozwala atakującym przekroczyć fosę szyfrowania. NSO Group nie próbuje złamać protokołu Signal, którego używa WhatsApp. Wiedzą, że jest on matematycznie poprawny. Zamiast tego biorą na cel człowieka korzystającego z aplikacji. Dlatego Meta zachęca użytkowników do stosowania rygorystycznych ustawień konta. Ustawienia te zmniejszają powierzchnię ataku. Zmieniają aplikację w bardziej prywatne środowisko, w którym tylko znane kontakty mogą wchodzić z Tobą w interakcję.

Wzmacnianie ludzkiej zapory ogniowej

Bezpieczeństwo to proces, a nie produkt. Meta zachęca teraz osoby wysokiego ryzyka do korzystania z opcjonalnej funkcji bezpieczeństwa, która działa jak tryb blokady. Jest to rozwiązanie dla dziennikarzy, aktywistów i urzędników państwowych, którzy są prawdopodobnymi celami dla NSO Group. Po włączeniu tych rygorystycznych ustawień aplikacja ogranicza funkcjonalność, aby zwiększyć bezpieczeństwo. Na przykład wyłącza podgląd linków. Choć podglądy linków są wygodne, wymagają od aplikacji połączenia się ze stroną internetową w celu pobrania obrazu i opisu. Atakujący może wykorzystać ten proces do zebrania informacji o adresie IP celu lub typie urządzenia.

W przypadku naruszenia bezpieczeństwa ustawienia te zapewniają warstwę odporności. Tryb rygorystyczny blokuje również zdjęcia profilowe, informacje o użytkowniku i status online tylko dla kontaktów. Zapobiega dodawaniu Cię do grup przez nieznane konta. Jest to krok w stronę modelu zero-trust na poziomie użytkownika. Zakłada on, że każda komunikacja z nieznanego źródła jest potencjalnym zagrożeniem. W rezultacie użytkownik jest bezpieczniejszy, ponieważ aplikacja domyślnie nie ufa już zewnętrznym danym wejściowym.

Geopolityczne znaczenie prywatnego oprogramowania szpiegującego

Ten konflikt to nie tylko sprawa między dwiema firmami. To kwestia bezpieczeństwa międzynarodowego. W 2021 roku Departament Handlu USA dodał NSO Group do czarnej listy. Stało się tak, ponieważ narzędzia firmy pozwalały zagranicznym rządom na prowadzenie represji transnarodowych. Rząd USA uznał, że działania NSO są sprzeczne z interesami bezpieczeństwa narodowego. To najnowsze wykrycie przez Meta dowodzi, że czarna lista i poprzednie grzywny nie powstrzymały operacji NSO.

Z punktu widzenia informatyki śledczej odkrycie tych trzech domen stanowi ślad dla innych badaczy bezpieczeństwa. Gdy Meta publikuje te wskaźniki naruszenia bezpieczeństwa (indicators of compromise), pozwala to analitykom SOC na całym świecie sprawdzić ich logi. Widziałem, jak jedna mała informacja od firmy takiej jak Meta może ujawnić znacznie większą kampanię sponsorowaną przez państwo. Domeny te są teraz toksycznymi aktywami dla NSO. Bez względu na to, ile razy zmienią swoje nazwy, wzorzec ich infrastruktury pozostaje rozpoznawalny dla tych, którzy wiedzą, gdzie patrzeć.

Wdrażanie proaktywnej obrony

Jeśli pracujesz w dziedzinie, w której Twoje dane są celem, nie możesz polegać na ustawieniach domyślnych. Patchowanie oprogramowania to pierwszy krok, ale przypomina to łatanie dziur w kadłubie statku. Musisz także zmienić sposób interakcji z oprogramowaniem. Mówiąc proaktywnie, powinieneś przeprowadzać audyt swoich ustawień prywatności przynajmniej raz na kwartał. Jest to szczególnie ważne, ponieważ phishing napędzany przez AI sprawia, że złośliwe wiadomości są jeszcze trudniejsze do wykrycia.

Meta postępuje właściwie, kierując tę sprawę z powrotem na drogę sądową. Grzywna w wysokości 168 milionów dolarów najwyraźniej nie była wystarczającym czynnikiem odstraszającym dla firmy, która sprzedaje wysokiej wartości exploity państwom narodowym. Wniosek o ukaranie za obrazę sądu niesie ze sobą poważniejsze konsekwencje. Może prowadzić do dalszego odkrycia wewnętrznych mechanizmów działania NSO lub nawet dotkliwszych kar finansowych. Dla reszty z nas jest to przypomnienie, że obrzeża naszego cyfrowego życia są pod nieustanną presją.

Praktyczne kroki dla użytkowników wysokiego ryzyka

Jeśli uważasz, że jesteś narażony na wyrafinowane cyberataki, natychmiast podejmij te kroki, aby wzmocnić swoje konto.

1. Włącz weryfikację dwuetapową. Dodaje to kod PIN, który jest wymagany do ponownej rejestracji numeru telefonu w WhatsApp.
2. Wyłącz podgląd linków. Zapobiega to automatycznemu łączeniu się aplikacji ze stronami internetowymi, których nie odwiedziłeś.
3. Ogranicz zaproszenia do grup. Ustaw to na „Moje kontakty”, aby uniemożliwić nieznajomym dodawanie Cię do złośliwych grup.
4. Aktualizuj system operacyjny. Pegasus często opiera się na lukach typu zero-day w systemach iOS lub Android.
5. Ogranicz widoczność profilu. Upewnij się, że Twoje zdjęcie profilowe i status „Widziano” są widoczne tylko dla osób, które znasz.

Te kroki nie czynią Cię niewidzialnym. Czynią Cię trudnym celem. Firmy zajmujące się najemnym oprogramowaniem szpiegującym szukają ścieżki najmniejszego oporu. Jeśli zamkniesz łatwe drzwi, mogą przenieść się na kogoś innego.

Źródła

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Ten artykuł służy wyłącznie celom informacyjnym i edukacyjnym. Nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usług reagowania na incydenty.