Кибербезопасность

Как эксплойт с нулевым кликом проник в расследование Европарламента о шпионском ПО

Как эксплойт Pegasus с нулевым кликом был направлен против члена Европарламента во время важного расследования шпионского ПО. Технический анализ уязвимости PWNYOURHOME.
Как эксплойт с нулевым кликом проник в расследование Европарламента о шпионском ПО

Взлом мобильного устройства законодателя, которому было поручено расследование незаконной слежки, — это сценарий, напоминающий шпионский роман, но для Стелиоса Кулоглу это стало судебно-технической реальностью. Во время работы в комитете Европарламента PEGA Кулоглу неоднократно становился целью заражения шпионским ПО Pegasus. Этот комитет был создан специально для расследования злоупотреблений инструментами коммерческого наблюдения на территории Европейского Союза. Ирония ситуации очевидна, однако технические механизмы атаки раскрывают гораздо более тревожную реальность современной мобильной безопасности. Этот инцидент не был следствием того, что пользователь перешел по подозрительной ссылке или скачал вредоносное вложение. Это было скрытое вторжение с «нулевым кликом» (zero-click), которое обошло стандартные средства контроля безопасности одного из самых защищенных потребительских устройств на рынке.

Недавно я провел вторую половину дня, изучая вместе с коллегой, специализирующимся на реагировании на мобильные инциденты, артефакты, характерные для заражений Pegasus. Мы часто видим закономерность, при которой наиболее изощренные злоумышленники полностью избегают взаимодействия с пользователем. Они предпочитают путь наименьшего сопротивления, который в мире высококлассного наемного шпионского ПО часто включает в себя атаку на системные процессы, которые пользователь никогда не видит. В случае Кулоглу злоумышленники использовали уязвимость в фреймворке Apple HomeKit. Эта методология позволяет атакующему скомпрометировать устройство без каких-либо уведомлений или действий со стороны владельца. Когда ваша модель безопасности полагается на то, что пользователь сделает правильный выбор, эксплойт с нулевым кликом фактически делает эту модель устаревшей.

Анатомия эксплойта PWNYOURHOME

Исследователи Citizen Lab установили, что заражение iPhone Кулоглу произошло через эксплойт под кодовым названием PWNYOURHOME. Эта конкретная цепочка атак нацелена на демон HomeKit в iOS. 21 октября 2022 года журналы криминалистического анализа зафиксировали поиск конкретного адреса электронной почты, связанного с HomeKit: rauharepo888[@]gmail.com. Через две минуты на устройстве активировался процесс Pegasus, потребляющий мобильные данные. Эта последовательность событий — классический признак работы эксплойта с нулевым кликом. Злоумышленник отправляет специально сформированный запрос через такой сервис, как iMessage или HomeKit, который телефон обрабатывает автоматически в фоновом режиме. Если запрос содержит вредоносный код, использующий ошибку управления памятью, злоумышленник получает возможность выполнять код с привилегиями целевой службы.

На момент первого заражения Кулоглу использовал iOS 15.5. Apple в конечном итоге устранила эту уязвимость в iOS 16.3.1, но в течение нескольких месяцев устройство оставалось открытым для этой конкретной точки входа. С архитектурной точки зрения этот эксплойт подсвечивает системную слабость в том, как мобильные операционные системы обрабатывают сложные, взаимосвязанные сервисы. HomeKit разработан, чтобы облегчить жизнь путем автоматизации устройств умного дома, но его глубокая интеграция в ядро ОС обеспечивает огромную поверхность атаки. Представьте себе заднюю дверь, оставленную незапертой в здании с высокой степенью безопасности, потому что жильцы хотели удобства системы дистанционного управления входом.

Картирование хронологии вторжения

Время этих заражений указывает на стратегическую цель. Первая успешная компрометация произошла в октябре 2022 года, когда Кулоглу находился в больнице на операции. В этот период его навестил Танасис Кукакис, греческий журналист, который ранее стал мишенью шпионского ПО Predator. Вторая серия заражений произошла в марте 2023 года. Этот период был критическим для комитета PEGA, так как его члены вели напряженные дискуссии по поводу окончательного проекта своего отчета о расследовании. Злоумышленники имели доступ к устройству именно в те недели, когда конфиденциальные обсуждения и свидетельские показания были наиболее чувствительными.

Citizen Lab обнаружила, что шпионское ПО было активно 6 и 7 марта 2023 года, используя тот же эксплойт PWNYOURHOME, что и несколькими месяцами ранее. Такая настойчивость является отличительной чертой операций Pegasus. Шпионское ПО разработано как скрытное, но оно также устойчиво. Если устройство перезагружается, оператору часто требуется повторно заразить его. Тот факт, что злоумышленники успешно повторно скомпрометировали устройство, используя тот же вектор, говорит о том, что они были уверены в сохраняющейся эффективности эксплойта против непатченной версии iOS. По своей конструкции Pegasus позволяет оператору записывать звонки, читать зашифрованные сообщения и даже удаленно активировать микрофон или камеру. Для члена комитета, расследующего именно эти инструменты, раскрытие таких данных является катастрофическим провалом конфиденциальности.

Связь с более широким европейским наблюдением

Одним из наиболее значимых выводов в отчете Citizen Lab является совпадение между делом Кулоглу и другими кампаниями. Конкретный адрес Gmail, использованный при поиске HomeKit, rauharepo888[@]gmail.com, также был замечен в атаках на российских и белорусских журналистов, живущих в изгнании в Европе. Криминалистический анализ инфраструктуры Pegasus показывает, что эти адреса электронной почты часто уникальны для конкретных операторов или клиентов NSO Group. Это открытие указывает на клиента Pegasus с лицензией, позволяющей проводить операции в нескольких европейских юрисдикциях.

Эта связь меняет повествование с изолированного инцидента на часть повсеместной модели трансграничного наблюдения. Когда один и тот же оператор нацелен как на оппозиционных журналистов, так и на высокопоставленных европейских законодателей, различие между национальной безопасностью и политическим шпионажем исчезает. С точки зрения целостности данных, наличие таких инструментов на устройстве законодателя ставит под вопрос безопасность каждого его общения с информаторами и активистами. Эти люди часто рискуют жизнью, предоставляя информацию следственным комитетам, и делают это в предположении, что их личность защищена цифровой безопасностью законодателя.

Телекоммуникации как скрытый вектор

Хотя случай Кулоглу был сосредоточен на слежке с помощью вредоносного ПО, важно признать, что Pegasus — это лишь часть более широкого инструментария. Недавние расследования Citizen Lab также выявили использование слежки на уровне телекоммуникаций. Эти кампании используют уязвимости в протоколах Signaling System No. 7 (SS7) и Diameter, которые являются основой глобального мобильного роуминга. Злоумышленники могут отслеживать местоположение человека, даже не устанавливая вредоносное ПО на его устройство. Они делают это, подменяя идентификаторы операторов и отправляя вредоносные сигнальные команды через доверенных телекоммуникационных провайдеров.

Этот тип слежки обнаружить еще сложнее, чем заражение Pegasus. На телефоне нет никаких криминалистических артефактов, потому что атака происходит внутри сетевой инфраструктуры. С проактивной точки зрения это делает телекоммуникационную экосистему критической точкой отказа для лиц из группы высокого риска. Определенные провайдеры в Великобритании и на Джерси были идентифицированы как транзитные пункты для этого вредоносного сигнального трафика. Эти провайдеры фактически функционировали как скрытый мост для поставщиков услуг наблюдения, позволяя отслеживать цели по всему миру. Это доказывает, что даже если у вас самый защищенный телефон в мире, сама сеть остается уязвимым путем для субъектов, спонсируемых государством.

На пути к устойчивой обороне

Повторяющаяся тема в этих отчетах заключается в том, что традиционных мер безопасности недостаточно против наемного шпионского ПО. Если вы являетесь целью высокого риска, установка патчей — это только первый шаг. Патчи подобны заделке пробоин в корпусе корабля; они держат вас на плаву, но не мешают противнику делать новые выстрелы. Для пользователей, сталкивающихся с угрозами со стороны государственных структур, Apple представила режим блокировки (Lockdown Mode). Эта функция радикально сокращает поверхность атаки, отключая сложные веб-технологии, блокируя определенные типы вложений и ограничивая входящие запросы на обслуживание, такие как приглашения HomeKit от неизвестных пользователей.

С точки зрения риска, дело Кулоглу является напоминанием о том, что цифровая безопасность является критически важным компонентом демократического надзора. Когда скомпрометированы сами следователи, под угрозой оказывается честность всего расследования. Мы должны перейти к модели нулевого доверия (zero-trust) для мобильных устройств, где мы больше не предполагаем, что устройство безопасно только потому, что оно обновлено. Для тех, кто занимает чувствительные должности, аппаратные ключи безопасности и сквозное шифрование связи через такие платформы, как Signal, больше не являются факультативными. Они являются базовым условием выживания в цифровой среде, где у стен есть уши.

Ключевые выводы для пользователей группы риска

Реализация оборонной стратегии требует детального подхода к усилению защиты устройств. Если ваша работа связана с обработкой конфиденциальных данных или расследованием деятельности влиятельных структур, рассмотрите следующие шаги:

  • Включите режим блокировки (Lockdown Mode) на всех устройствах iOS и macOS, чтобы отключить функции высокого риска, часто используемые в эксплойтах с нулевым кликом.
  • Проведите аудит своих учетных записей Apple ID и Google на наличие неавторизованных устройств и убедитесь, что разрешения HomeKit ограничены только известными, доверенными контактами.
  • Используйте аппаратные ключи безопасности для многофакторной аутентификации, чтобы предотвратить захват учетной записи, даже если ваши учетные данные скомпрометированы.
  • Ежедневно перезагружайте мобильное устройство. Хотя некоторые виды шпионского ПО являются резидентными, многие эксплойты находятся в оперативной памяти и удаляются при перезагрузке.
  • Следите за уведомлениями об угрозах от производителей. Apple и Google теперь проактивно предупреждают пользователей, когда обнаруживают признаки атак со стороны государственных структур.

Источники:

  • Citizen Lab: "The PEGA Committee and the Pegasus Spyware"
  • NIST Special Publication 800-213: "IoT Device Cybersecurity Guidance"
  • MITRE ATT&CK: "Mobile Software Techniques and Sub-Techniques"
  • European Parliament: "PEGA Committee Final Report on the Use of Pegasus"

Отказ от ответственности: Данная статья предназначена исключительно для информационных и образовательных целей и не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты.

bg
bg
bg

До встречи на другой стороне.

Наше решение для электронной почты и облачного хранения данных со сквозным шифрованием обеспечивает наиболее мощные средства безопасного обмена данными, гарантируя их сохранность и конфиденциальность.

/ Создать бесплатный аккаунт