Достаточно просто попасться на него, но есть вещи, которые вы можете сделать для защиты.
Несколько дней назад появились статьи (в том числе и наши) о шпионском ПО Hermit, которые вызвали интерес читателей.
Подробно описанное Группой анализа угроз Google (TAG) шпионское ПО Hermit (охранная фирма Lookout, которая первой сообщила о его обнаружении, назвала его Hermit) является частью опасной и сложной вредоносной системы, которая активно используется в интернете. Злоумышленники используют уязвимости нулевого дня (то есть те, которые еще не были исправлены) и другие опасные эксплойты в коде Android и iOS для развертывания вредоносных программ, которые могут получить контроль над чьим-либо устройством iOS или Android.
У нас есть несколько хороших и несколько плохих новостей.
Массовая атака
Плохая новость заключается в том, что при правильном выполнении это очень сложный вирус, который может обмануть практически любого. Одна из тактик, которую использовали злоумышленники, согласно ТЕГУ, заключается в том, чтобы работать с интернет—провайдером цели, отключить подключение к мобильной передаче данных цели и отправить им вредоносную ссылку через SMS для восстановления подключения - и установить вредоносное ПО.
Неясно, действительно ли злоумышленники привлекли интернет-провайдеров к участию в атаке, или у них был инсайдер, который мог выполнить эти действия за них, но результат пугающе опасен. Представьте, что ваш телефон теряет подключение к мобильной передаче данных, а затем сразу же получает сообщение от вашего поставщика со словами: "Да, мы знаем, что подключение к данным вашего телефона не работает, вот ссылка, чтобы исправить это". Если вы не знаете об этой конкретной атаке, вы, вероятно, нажмете на нее без особых колебаний.
Другая тактика заключалась в отправке ссылок на убедительные, поддельные версии популярных приложений, таких как Facebook и Instagram, что, опять же, приводило к заражению телефона цели.
На устройствах Apple злоумышленники использовали недостатки в протоколах компании для распространения приложений, которые могут обходить App Store, но подпадают под действие тех же механизмов обеспечения безопасности. Другими словами, эти мошеннические приложения могли запускаться на устройствах iOS без того, чтобы система не видела в них ничего необычного. Одно из таких приложений, согласно анализу TAG, содержало недостатки в безопасности, которые могут быть использованы шестью различными эксплойтами, и они могли отправлять интересные файлы с устройства, например базу данных WhatsApp, третьей стороне.
ТЕГ не предоставляет много информации о том, что происходит, когда заражается целевое устройство. Но вот еще одна плохая новость: если злоумышленник имеет доступ к ресурсам для выполнения такого типа атак, он, вероятно, может развернуть вредоносное ПО, которое трудно или невозможно обнаружить или удалить. И это может быть (почти) что угодно: программное обеспечение, которое подслушивает ваши телефонные разговоры, читает ваши сообщения, получает доступ к вашей камере, вы называете это. Антивирусное программное обеспечение может обнаружить некоторые из них или, по крайней мере, уведомить вас о том, что что-то не так, но в первую очередь вам следует позаботиться о защите вашего устройства от заражения.
Но почему произошли эти атаки?
Согласно TAG, эти атаки и вредоносные программы используются RCS Lab, итальянской компанией, которая заявляет, что работает с правительствами (ее слоган гласит, что они "предоставляют технологические решения и оказывают техническую поддержку законным правоохранительным органам по всему миру"). В заявлении для TechCrunch компания заявила, что "экспортирует свою продукцию в соответствии как с национальными, так и с европейскими правилами и положениями" и что "любая продажа или реализация продукции осуществляется только после получения официального разрешения от компетентных органов".
Теоретически эти виды атак должны быть достаточно ограничены очень конкретными целями, такими как журналисты, активисты и политики. TAG видел их в действии только в двух странах, Италии и Казахстане (Lookout также добавляет Сирию в этот список). Очевидно, что это довольно ужасно — правительства покупают шпионские программы у сомнительных поставщиков, а затем используют их против тех, кого они считают своими врагами, — но таков мир, в котором мы живем.
Это не просто RC SLab и Hermit. TAG заявляет, что отслеживает более 30 поставщиков, которые продают "эксплойты или возможности наблюдения субъектам, поддерживаемым правительством". Среди этих поставщиков такие компании, как северо-македонская Citrix и ее шпионское ПО ALIEN/PREDATOR, а также израильская NSO Group, известная своим шпионским ПО Pegasus.
Хорошей новостью, если это можно так назвать, является то, что подобные атаки вряд ли массово распространятся на устройства сотен миллионов пользователей. Люди, использующие эти инструменты, не создают сеть спам-ботов, они нацелены на конкретных людей. Но по-прежнему важно, чтобы каждый знал, как защититься от подобных изощренных атак, поскольку вы никогда не знаете, когда вы можете стать "конкретным лицом" в списке какого-нибудь "законного правоохранительного органа".
Как вы можете защитить себя от подобных вредоносных атак?
Типичный совет, который вы получите от экспертов по безопасности, заключается в том, чтобы никогда, никогда не устанавливать что-либо от лица, которому вы не доверяете, и не переходить по ссылке, исходящей от кого-то, кого вы не знаете. Это немного сложнее реализовать, когда ваш интернет-провайдер замешан в мошенничестве и отправляет вам ссылки, чтобы "исправить" ваше подключение к данным. Эмпирическое правило по-прежнему действует: если что-то кажется неправильным, дважды проверьте это. Если вы не уверены, является ли ссылка или приложение законными, не нажимайте на них, даже если они исходят от Google, Facebook, Apple, вашего интернет-провайдера или даже родственника. И всегда поддерживайте программное обеспечение вашего устройства в актуальном состоянии.
ТЕГ также подчеркивает важный факт: ни одно из вредоносных приложений, которые использовались для развертывания Hermit, не было доступно в Apple App Store или Google Play Store (хакеры использовали различные тактики, чтобы обойти официальные магазины). Хотя установка приложений только из официальных магазинов приложений не обеспечивает 100-процентной защиты от вредоносных программ, это определенно хорошая практика безопасности.
Кроме того, TAG сообщает, что Google предпринял шаги для защиты пользователей, которые непосредственно пострадали от Hermit, в том числе предупредил всех жертв Android и внедрил исправления для предотвращения атак. Apple сообщила TechCrunch, что отозвала все известные учетные записи и сертификаты, связанные с Hermit.
Если вы хотите сделать еще несколько шагов вперед, у охранной фирмы Kaspersky есть список действий, которые вы можете предпринять, чтобы защитить себя от сложных шпионских программ, и он включает в себя ежедневные перезагрузки, отключение iMessage и FaceTime, а также использование альтернативного браузера для просмотра Интернета вместо популярных Chrome или Safari.
