English
Director al Echipei Globale de Cercetare şi Analiză (GReAT) (Kaspersky), Costin G. Raiu este specializat în analiza ameninţărilor persistente avansate, a exploatărilor de tip zero-day şi a programelor malware complexe. El conduce renumita Global Research and Analysis Team (GReAT), care a investigat mecanismele interne ale multor atacuri de profil înalt, inclusiv RedOctober, WannaCry, ShadowPad şi ShadowHammer şi Moonlight Maze. Activitatea sa actuală se concentrează pe dezvoltarea de tehnologii şi sisteme de similaritate a codurilor pentru a îmbogăţi informaţiile privind ameninţările. Costin are peste 28 de ani de experienţă în tehnologia antivirus şi în cercetarea în domeniul securităţii. Este membru al Virus Bulletin Technical Advisory Board, membru al Computer AntiVirus Researchers'Organization (CARO) şi reporter pentru Wildlist Organization International. Înainte de a se alătura Kaspersky Lab, Costin a lucrat pentru GeCad ca cercetător şef şi ca expert în securitatea datelor în cadrul grupului de dezvoltatori antivirus RAV. Costin are centura albastră la Taekwondo. Printre hobby-urile sale se numără şahul, fotografia şi literatura ştiinţifico-fantastică.
Unul dintre cele mai importante evenimente din lumea cibernetică în 2021 este reprezentat de rezultatele unei investigaţii realizate de The Guardian şi de alte 16 organizaţii media, care a constatat că peste 30.000 de activişti pentru drepturile omului, jurnalişti şi avocaţi din întreaga lume ar fi putut fi ţinta unui spyware Pegasus (Pegasus este un aşa-numit "software de supraveghere legală" dezvoltat de compania israeliană NSO).
Raportul publicat în iulie 2021, intitulat "Pegasus Project", susţine că malware-ul a fost implementat pe scară largă prin diverse exploatări, inclusiv mai multe zero-day care au vizat sistemele iOS. Pe baza analizei criminalistice a numeroase dispozitive mobile, laboratorul de securitate al Amnesty International a constatat că software-ul a fost utilizat în mod repetat în scopuri de supraveghere.
Lista persoanelor vizate include 14 lideri mondiali şi un număr mare de activişti, apărători ai drepturilor omului, disidenţi şi personalităţi din opoziţie. Mai târziu în aceeaşi lună, când a fost publicat raportul Guardian and Amnesry, oficiali ai guvernului israelian au vizitat birourile NSO ca parte a unei anchete privind acuzaţiile.
În octombrie 2021, Curtea Supremă a Indiei a numit un comitet tehnic pentru a investiga utilizarea Pegasus pentru spionarea cetăţenilor săi. În noiembrie, Apple a anunţat că a iniţiat o acţiune în justiţie împotriva NSO Group pentru dezvoltarea de software care vizează utilizatorii săi cu "malware şi spyware".
În cele din urmă, în decembrie 2021, Reuters a publicat că telefoanele Departamentului de Stat al SUA, alertate de Apple, au fost piratate cu malware-ul Pegasus al NSO.
În 2022, dezvăluirile au continuat - la 2 mai 2022, guvernul spaniol a anunţat că premierul Pedro Sanchez şi ministrul apărării, Margarita Robles, erau monitorizaţi de Pegasus. În urma acestor dezvăluiri, guvernul spaniol l-a demis imediat pe şeful serviciului de informaţii al ţării, Paz Esteban.
Detectarea urmelor lui Pegasus şi a altor infecţii malware avansate pentru telefoane mobile este foarte dificilă şi este complicată şi mai mult de caracteristicile de securitate ale sistemelor de operare moderne, cum ar fi iOS şi Android.
Conform observaţiilor noastre, analiza lor este şi mai dificilă, deoarece sunt implementări malware nepersistente, care nu lasă aproape nicio urmă după o repornire a dispozitivului infectat.
Deoarece multe instrumente criminalistice necesită un jailbreak (intruziune completă, în acest caz voluntară) al dispozitivului, malware-ul este eliminat din memorie în timpul repornirii, care este necesară pentru această operaţiune. Din fericire, până în prezent, mai multe metode pot fi folosite pentru a detecta Pegasus şi alte programe malware pentru dispozitive mobile. De exemplu, Mobile Verification Toolkit (MVT) al Amnesty International este gratuit, open source şi permite tehnicienilor şi anchetatorilor să inspecteze telefoanele mobile pentru a detecta semne de infecţie. MVT este susţinută de o listă de IoC (indicatori de compromis), compilată din cazuri de abuzuri ale drepturilor omului, pusă la dispoziţie şi de Amnesty International.
În aceste vremuri nesigure, mulţi utilizatori din întreaga lume se întreabă cum să îşi protejeze dispozitivele mobile de Pegasus şi de alte instrumente şi programe malware similare.
În mod similar, guvernele încearcă să îşi evalueze punctele slabe şi să dezvolte strategii pentru a identifica astfel de vulnerabilităţi sau, cel puţin, pentru a preveni apariţia lor în viitor. În această lucrare, ne propunem să examinăm cele mai recente tehnici de atac utilizate pentru a implementa programe malware pe telefoanele mobile şi cum să ne apărăm împotriva lor, ţinând cont de faptul că o listă de tehnici de apărare nu poate fi exhaustivă. În plus, pe măsură ce atacatorii îşi schimbă modul de operare, tehnicile de apărare existente trebuie, de asemenea, să fie adaptate foarte frecvent.
• Cum vă protejaţi de cele mai sofisticate programe malware pentru dispozitive mobile?
În primul rând, trebuie spus că Pegasus este un set de instrumente cu un preţ relativ ridicat. Costul unei implementări complete poate ajunge cu uşurinţă la milioane de dolari americani. În mod similar, alte programe malware pentru dispozitive mobile pot fi implementate prin exploatări 0-click 0-day. Acestea sunt extrem de costisitoare - de exemplu, Zerodium, o firmă de brokeraj de "exploit", cere până la 2,5 milioane de dolari pentru un lanţ de infecţii Android 0-click cu persistenţă avansată:
O concluzie importantă poate fi trasă imediat: spionajul cibernetic sofisticat este o activitate care necesită multe resurse. Atunci când un sponsor îşi permite să cheltuiască milioane, sau chiar zeci sau sute de milioane de dolari americani pentru a procura programe ofensive, este foarte puţin probabil ca o ţintă să poată evita să fie infectată. În practică, mai simplu spus, nu este vorba de "dacă poţi fi infectat", ci de când şi cum: de fapt, este doar o chestiune de timp şi înainte de a fi infectat, datorită resurselor corespunzătoare instrumentelor şi nivelului de securitate al acestora.
Vestea bună este că dezvoltarea de exploatări şi războiul cibernetic ofensiv este adesea mai mult o artă decât o ştiinţă exactă. Exploatările trebuie să fie adaptate la versiuni specifice ale sistemului de operare şi hardware-ului şi pot fi uşor contracarate de noi sisteme de operare, noi tehnici de atenuare sau chiar de lucruri mărunte, cum ar fi evenimente aleatorii.
Din acest punct de vedere, infectarea şi ţintirea este, de asemenea, o chestiune de cost şi dificultate pentru atacatori.
(va urma)
Notă: Articol publicat în premieră în limba română, © Cybersecurity Trends; Traducere L. Chrzanovski
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
