Pegasus špijunski softver, koji se nekada smatrao alatom za ciljanje novinara i aktivista, sada se koristi protiv rukovodilaca u privatnom sektoru, uključujući finansije, nekretnine i logistiku.
U istrazi iz decembra 2024. otkriveno je 11 novih Pegasus infekcija među 18.000 uređaja skeniranih širom svijeta, što je signaliziralo promjenu taktike špijunaže prema korporativnoj špijunaži.
Nalazi, detaljno navedeni u najnovijem izvještaju iVerify-a , ističu sposobnost špijunskog softvera da zaobiđe tradicionalne zaštitne mjere i izbjegne otkrivanje Apple-ovim obavijestima o prijetnjama u gotovo 50% slučajeva.
Eksploatacije bez klika i uporni kompromis
Pegasus, koji je razvila izraelska NSO grupa, koristi eksploatacije bez klika koje se infiltriraju na uređaje bez interakcije korisnika, često iskorištavajući ranjivosti u iMessage-u ili WhatsApp-u.
Jednom instaliran, špijunski softver dobija root pristup iOS i Android sistemima, omogućavajući napadačima da eksfiltriraju šifrovane poruke, finansijske dokumente, pa čak i daljinski aktiviraju mikrofone.
Analiza je otkrila da su neki uređaji kompromitovani od 2021. godine, s više varijanti Pegasus-a (npr. v3.8.2 i v4.1.0) koje su postojale kroz ažuriranja operativnog sistema.
Rocky Cole, izvršni direktor iVerify-a i bivši analitičar NSA-e „Doba pretpostavke da su iPhone i Android telefoni sigurni kada su u pitanju je prošlo. Vrste mogućnosti da saznate da li vaš telefon ima špijunski softver na sebi nisu bile široko rasprostranjene.”
“Postojale su tehničke barijere i to je ostavljalo mnogo ljudi iza sebe. Sada imate mogućnost da znate da li je vaš telefon zaražen komercijalnim špijunskim softverom.”
Detekcija
Funkcija iVerify Mobile Threat Hunting, po cijeni od 1 USD po skeniranju, kombinuje detekciju zasnovanu na potpisu, heurističku analizu i mašinsko učenje za identifikaciju Pegasus artefakata.
Alat analizira arhive sistemske dijagnostike iOS-a, posebno datoteku Shutdown.log, koja bilježi anomalne procese tokom ponovnog pokretanja – što je znak špijunskog softvera.
Na primjer, “ljepljivi” procesi povezani sa Pegasus-om su označeni pomoću YARA pravila (npr. pravilo pegasus_shutdown { strings: $s1 = “com.apple.apsd” nocase uslov: $s1 }).
Kasperskyjev komplementarni alat iShutdown, koji se nalazi na GitHub-u , automatizuje raščlanjivanje dnevnika radi otkrivanja infekcija.
Skripta zasnovana na Python-u (iShutdown.py) skenira indikatore kao što su neočekivana aktivnost demona ili neovlašteni kriptografski ključevi, generišući SHA-256 heševe sumnjivih datoteka za unakrsno referenciranje sa bazama podataka prijetnji.
Uprkos ovim napretcima, Apple-ov Lockdown Mode – funkcija dizajnirana da blokira poznate vektore eksploatacije – nije uspjela spriječiti infekcije u 5 od 11 slučajeva, naglašavajući prilagodljivost špijunskog softvera.
Podaci iVerify-a ukazuju na globalnu stopu infekcije od 1,5 na 1.000 uređaja, što ukazuje na hiljade neotkrivenih kompromisa.
Značajno je da 55% zaraženih korisnika nije primilo upozorenja od Apple-ovih obavijesti o prijetnjama, što ih ostavlja nesvjesnim sve dok ne koriste alate trećih strana.
Ublažavanja
Za ublažavanje rizika, iVerify preporučuje:
- Svakodnevno ponovno pokretanje: Ometa nepostojane Pegasus instance brisanjem RAM-a.
- Onemogućavanje iMessage/FaceTime: Smanjuje površine napada za vektore bez klikova.
- Česta ažuriranja iOS-a: Zakrpe ranjivosti na nivou kernela kao što je CVE-2024-3596 , iskorištene u nedavnim Pegasus kampanjama.
Kako se Pegasus operateri okreću privatnom sektoru, raste potreba za pristupačnim alatima za detekciju. Metodologije otvorenog koda iVerify-a i Kaspersky-jevi GitHub resursi označavaju napredak, ali sistemska saradnja sa tehnološkim divovima ostaje ključna.
Za sada, kompanije moraju implementirati proaktivno praćenje jer je neznanje najveća slabost u eri industrijskog špijunskog softvera.
Izvor: CyberSecurityNews
