Последняя уязвимость Apple была примером как атаки с нулевым щелчком мыши, так и эксплойта нулевого дня. Вот что нужно знать.
После того, как Citizen Lab, наблюдательная группа по кибербезопасности, которая потратила годы на отслеживание цифровых угроз, изучила содержимое телефона саудовского активиста, исследователи быстро обнаружили, что он заражен. Но телефон не был заражен каким-либо вирусом. Он был заражен шпионским ПО Pegasus от NSO Group — программным обеспечением, которое даже не требует, чтобы люди нажимали на ссылку, чтобы получить инфекцию.
С Pegasus, прежде чем исправление будет установлено, «вы абсолютно ничего не можете сделать, чтобы защитить свой телефон», — говорит Крис Викери. «Это ужасно на уровне кошмара». Обновление программного обеспечения — это самый простой способ защитить себя, поскольку компании выпускают исправления таким образом после обнаружения новых уязвимостей. Вот что вам нужно знать о том, что такое программное обеспечение с нулевым щелчком мыши и Pegasus.
Что такое подвиги, как Pegasus, так страшны?
Pegasus — это название программного эксплойта, созданного и проданного израильской организацией под названием NSO group, а «FORCEDENTRY» — более конкретное название уязвимости. В отличие от типа вирусов, которые вы, возможно, видели в фильмах, этот не распространяется. Он нацелен на один номер телефона или устройство, потому что он продается коммерческой компанией без стимула для того, чтобы сделать вирус легко распространяемым. Менее сложные версии Pegasus, возможно, требовали от пользователей сделать что-то, чтобы скомпрометировать свои устройства, например, нажать на ссылку, отправленную им с неизвестного номера.
В прошлом отправлялись тексты, в которых говорилось, что их дети попали в автомобильную аварию или что кто-то только что использовал их кредитную карту — это попытки фишинга. Как только ссылка нажата, в телефон вводится программное обеспечение Pegasus, которое дает полный контроль над телефоном людям, нацеленным на него.
Но вы, вероятно, даже не узнаете, что стали мишенью. «Для целей проведения расследования вы хотите быть как можно тише, — говорит Викери, — поэтому хакеры, вероятно, не собираются использовать телефон, чтобы делать очевидные вещи, которые покажут их присутствие».
Что такое эксплойт с нулевым щелчком мыши?
Самая продвинутая версия Pegasus включает в себя эксплойт с нулевым щелчком мыши. Он не требует человеческого взаимодействия, чтобы заразить телефон. «Это похоже на пулю, попавшую в вашу голову издалека», — говорит Викери. «У вас нет никакой защиты». Хакеры могут отправить полезную нагрузку эксплойта на ваш телефон. В случае, если Citizen Lab обнаружила, Pegasus был отправлен через поврежденный GIF-файл.
Уязвимость скрывалась в программном обеспечении iPhone, которое анализирует изображения. Именно поэтому Apple выпустила экстренное исправление и призвала всех обновить свои устройства.
Что такое атака нулевого дня?
Атака нулевого дня, уязвимость нулевого дня и эксплойт нулевого дня — все это термины, говорящие об одной и той же фундаментальной вещи: в программном обеспечении есть уязвимость, для которой производитель еще не выпустил исправление или патч. «Поскольку у защиты не было времени, чтобы догнать нападающих, это эксплойт нулевого дня», — говорит Викери. «Как только кто-то выпускает патч для него, на следующий день его можно рассматривать как однодневный эксплойт, а это означает, что был один день потенциального исправления для него».
Если вы хакер, вы хотите, чтобы этот нулевой день длился как можно больше дней, если вы хотите воспользоваться им в будущем. Есть много эксплойтов нулевого дня, которые продаются и передаются под землей, которые специально избегают сообщать об этом жертве, чтобы это был нулевой день в течение более длительного периода времени. Некоторые хакеры могут обнаружить эти нулевые дни и сообщить о них, чтобы получить вознаграждение от компании, в которую они сообщают об этом, но такие места, как военная разведка, накапливают знания об уязвимостях нулевого дня, говорит Викери, потому что их можно использовать для очень эффективного проникновения в целевую сеть. В 2013 году АНБ потратило 25 миллионов долларов на покупку уязвимостей программного обеспечения, а в 2020 году АНБ опубликовало список из 25 уязвимостей, которые, как они обнаружили, использовали спонсируемые Китаем кибер-субъекты.
Но процесс становится похожим на игру в кошки-мышки, потому что, как только вы его используете, вы рискуете тем, что противник узнает, что вы использовали, чтобы воспользоваться ими. «Существует серая зона того, что представляет ценность для нашей нации в том, чтобы знать, как это сделать, по сравнению с ценностью рассказа производителю, чтобы они могли защитить всех», — говорит Викери.
Кто такая группа НСУ?
NSO — это группа израильских хакеров по найму, которые работают уже много лет. Они предоставляют программное обеспечение, такое как Pegasus, в такие места, как Объединенные Арабские Эмираты и Саудовская Аравия. Группа утверждала, что их программное обеспечение помогло в захвате Эль-Чапо, и один иск связал убийство убитого журналиста Джамаля Хашогги с использованием программного обеспечения Саудовской Аравией. В одном сообщении отмечается, что NSO пыталась представить свое программное обеспечение местной полиции США.
Группа NSO заявила, что они предоставляют услуги этого программного обеспечения правительствам по всему миру, чтобы помочь в борьбе с терроризмом и преступностью. «NSO Group говорит, что их шпионское ПО предназначено только для нацеливания на преступников и террористов», — написал в Twitter Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab. «Но вот мы... Опять же: их подвиги были обнаружены нами, потому что они были использованы против активиста».
4/ NSO Group заявляет, что их шпионское ПО предназначено только для борьбы с преступниками и террористами.
Но вот мы... Опять же: их подвиги были обнаружены нами, потому что они были использованы против активиста.
Тезис: открытие является неизбежным побочным продуктом продажи шпионских программ безрассудным деспотам. pic.twitter.com/fsnmSZF6ny
— Джон Скотт-Рейлтон (@jsrailton) 13 сентября 2021 года
WhatsApp, который принадлежит Facebook, в настоящее время подает в суд на NSO Group, обвиняя компанию в предоставлении программного обеспечения, которое позволяло людям шпионить за журналистами и политическими диссидентами.
«Компания утверждает, что все, что они делают, это предоставляют программное обеспечение для эксплуатации», — говорит Викери. «Это похоже на то, как производитель оружия говорит, что они продают оружие, но они не те, кто нацеливает его на чью-то голову и нажимает на курок».
Как узнать, стали ли вы мишенью?
Часто бывает очень трудно узнать, заражен ли ваш телефон. Подобные эксплойты происходят тихо, ограниченные тем, какой риск люди, развертывающие его, хотят подвергнуть там. И поскольку хакеры контролируют все процессы в телефоне, они могут удалить текст или ссылку, которая первоначально заразила устройства, предотвращая показ уведомления. (Однако, как сказал Один эксперт по безопасности PopSci ранее на этой неделе, «эти атаки не представляют угрозы для большинства пользователей Apple».)
Если ваши телефонные журналы имеют контакт с определенным доменом или IP-адресом, это показатель того, что ваш телефон был скомпрометирован — это Pegasus на работе, потому что он обращался к командному и контрольному серверу, но только в таком месте, как Citizen Lab, были ресурсы, чтобы обнаружить это.
После того, как ваше устройство было заражено, нет никакого способа защитить себя. Эксперты говорят, что один из способов смягчить ущерб, который может возникнуть от скомпрометированного устройства, заключается в том, что если профессия связана с конфиденциальной информацией, поддерживать два отдельных телефона, один для работы, а другой для частного использования.
Самое важное, что может сделать обычный человек, это поддерживать свое программное обеспечение в актуальном состоянии, так как обновления программного обеспечения часто могут поставляться с исправлениями для уязвимостей безопасности. И тщательно изучите номера телефонов и электронные письма в сообщениях, которые вы получаете, чтобы убедиться, что они от кого-то, кому вы доверяете.