به گزارش کارگروه بینالملل سایبربان؛ شرکت امنیت سایبری «Group-IB» اخیراً وبلاگی منتشر کرده و در آن به تحلیل نرمافزارهای جاسوسی خطرناک پگاسوس (Pegasus) پرداخته است. پگاسوس، ابزاری که توسط گروه اسرائیلی « NSO» برای جاسوسی سایبری مخفیانه ایجاد شده، از آسیبپذیریهای روز صفر برای نفوذ به دستگاهها سوء استفاده میکند و امنیت سایبری محصولات «iOS» را که معمولاً به خاطر استحکامات تسخیرناپذیرشان مشهور هستند، به چالش میکشد.
ارزیابی دقیق توسط Group-IB، شیوههای عملیاتی و قابلیتهای هشدار دهنده پگاسوس را نشان میدهد. همچنین پانورامای آسیبپذیری گستردهتر iOS را بررسی، نقصهای برنامههایی مانند «iMessage» را تحلیل و ویژگیهای امنیتی اَپل مانند «BlastDoor» و «Lockdown Mode» را ارزیابی میکند. این دیدگاهها، شناسایی بهتر و استراتژیهای مقابلهای را علیه پگاسوس و نرمافزارهای جاسوسی مشابه ترویج میکنند.
با اولین حمله ثبت شده پگاسوس که به اوت 2016 برمیگردد، این نرمافزار جاسوسی بی سر و صدا به اطلاعات حساس مانند پیامها، دادههای جیپیاس (GPS)، دادههای دستگاه و گزارشهای صوتی از دستگاههای آلوده دسترسی پیدا میکند. پگاسوس همچنین میتواند دوربین و میکروفون دستگاه را از راه دور فعال و دستگاه را به یک ابزار نظارت غیرقانونی قوی تبدیل کند.
گروه NSO که در سال 2010 تأسیس شد، به طور مداوم روشهای نفوذ غیرقانونی خود را برای دستگاهها بهروزرسانی میکند. پگاسوس، مهمترین جاسوسافزار این شرکت رژیم صهیونیستی، میتواند به هر 2 دستگاه iOS و اندروید (Android) عمدتاً از طریق پلتفرمهای پیامرسان سریع مانند اساماس (SMS)، واتساپ (WhatsApp) و iMessage نفوذ و امکان تهاجم بدون دردسر دستگاه را بدون آگاهی کاربر فراهم کند. این امر خطر قابل توجهی برای حریم خصوصی و امنیت افراد و سازمانها دارد.
اثربخشی پگاسوس در طراحی استراتژیک آن با استفاده از آسیبپذیریهای روز صفر، مبهمسازی کد و رمزگذاری نهفته است. پس از نصب، به طور مداوم برای انطباق با تنظیمات دستگاه تکامل مییابد. برای یک لایه امنیتی اضافی، اگر در معرض دید قرار گیرد یا منسوخ تلقی شود، میتواند خود را حذف یا تخریب کند.
با وجود نادر بودن حملات به سبک پگاسوس، خطرات بعدی برای کاربران iOS بسیار واقعی است. با گذشت زمان، برای افزایش تجربه کاربر، iOS به سیستمی پیچیده و باز تبدیل شده است؛ به عنوان مثال، نقص در طراحی برنامه iMessage توسط مکانیسمهای امنیتی سیستم بدون محافظت باقی مانده است.
این نظارت به اندازه کافی در iOS 14 با ویژگی امنیتی BlastDoor آن مورد توجه قرار نگرفت و نیازمند اجرای مکانیسم «حالت قفل» بود. با این وجود، آسیبپذیریهای مستمر ممکن است کاربران را تشویق کند که iMessage را، بهویژه بدون در نظر گرفتن مکانیسمی برای بررسی مستقیم دستگاههای آلوده، به طور کامل غیرفعال کنند.
به عنوان بخشی از یک استراتژی گستردهتر پیشگیرانه، Group-IB رویکردی را برای بررسی آلودگیهای احتمالی بدون تعامل مستقیم با دستگاه آسیبدیده توضیح داد. این فرآیند، در ارتباط با ابزارهای منبع باز مانند جعبه ابزار تأیید موبایل، به طور بالقوه میتواند به شناسایی نه تنها پگاسوس بلکه نرمافزارهای جاسوسی ایجاد شده برای عملیات «Triangulation»، جاسوسافزار «Predator» و موارد دیگر کمک کند.
هشدارهای دستگاه آلوده میتواند شامل عملکرد کندتر دستگاه، راهاندازی مجدد یا خاموش شدن خود به خود، تخلیه سریع باتری، ظاهر شدن مجدد ناخواسته برنامههایی که قبلاً نصب نشدهاند و هدایتهای غیرمنتظره به وبسایتهای ناآشنا باشد. برای به حداقل رساندن خطر نفوذ سایبری، Group-IB کاربران دستگاه را تشویق کرد تا دستگاههای بهروز شده را نگهداری و مجوزهای برنامه را بررسی کنند و تمام اقدامات حفاظتی موجود را به کار گیرند. استفاده از آخرین نسخههای iOS و غیرفعال کردن iMessage و فیستایم (FaceTime) نیز میتواند امنیت بهتری را ایجاد کند.
کسبوکارها، بهویژه آنهایی که دادههای حساس یا تراکنشهای مالی را مدیریت میکنند، باید بر امنیت دستگاههای تلفن همراه، برنامهها و APIهای خود تأکید زیادی داشته باشند. اطلاعات تهدید گروه-IB به سازمانها در سراسر جهان کمک میکند تا تهدیدات سایبری را در محیطهای متعدد شناسایی کنند و بهروزرسانیهای مستمری را در مورد حملات سایبری جدید و قبلی و همچنین استراتژیها، تکنیکها و رفتار بازیگران تهدید ارائه میدهند.
کارشناسان این شرکت سایبری همچنین آماده ارائه پشتیبانی فوری، در صورتی که یک دستگاه iOS یا Android توسط نرمافزارهای جاسوسی مانند پگاسوس در معرض خطر قرار گیرد، هستند. آنها میتوانند به تجزیه و تحلیل دستگاه و ایجاد اقدامات امنیتی اضافی کمک و اطمینان حاصل کنند که بهروزترین مکانیسمهای دفاعی برای محافظت در برابر تهدیدات سایبری وجود دارد.
