- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 424 zobrazení
V dubnu Apple rozeslal uživatelům iPhonů v 92 zemích upozornění, že se stali terčem spywaru. „Apple zjistil, že jste terčem útoku žoldáckého spywaru, který se snaží vzdáleně kompromitovat iPhone spojený s vaším Apple ID,“ stojí v oznámení.
Uživatelé rychle přešli na stránky sociálních médií včetně X a snažili se zjistit, co oznámení znamená. Mnoho z nich mělo sídlo v Indii, ale další v Evropě také hlásili, že obdrželi varování od společnosti Apple.
O několik týdnů později se o nejnovějších útocích na iPhone stále ví jen málo. Bývalý gigant smartphonů Blackberry, nyní bezpečnostní firma, zveřejnil výzkum, který naznačuje, že jsou spojeni s čínskou spywarovou kampaní nazvanou „LightSpy“, ale mluvčí Applu Shane Bauer říká, že je to nepřesné.
Zatímco Apple tvrdí, že nejnovější upozornění na spyware nejsou spojena s LightSpy, podle výzkumníků Blackberry zůstává spyware rostoucí hrozbou, zejména pro lidi, kteří mohou být cílem v jižní Asii. LightSpy, popisovaný jako „sophisticated iOS implant,“, se poprvé objevil, když útočil na demonstranty v Hongkongu v roce 2020. Nejnovější iterace je však mnohem schopnější než ta první.
„Jde o plně funkční modulární sledovací nástroje, které se primárně soustředí na exfiltraci soukromých informací obětí, včetně hyperspecifických dat o poloze a záznamu zvuku během hovorů přes IP,“ napsali vědci.
Dubnová varování nebyla prvním případem, kdy Apple vydal oznámení tohoto druhu. Výrobce iPhone rozeslal od roku 2021 výstrahy lidem ve více než 150 zemích, protože spyware se stále zaměřuje na vysoce sledované osoby po celém světě.
Spyware může být vyzbrojen protivníky národních států – ale to je relativně vzácné a drahé. Jeho nasazení je obvykle vysoce cílené proti velmi specifické skupině lidí, včetně novinářů, politických disidentů, vládních pracovníků a podniků v určitých sektorech.
„Tyto útoky jsou mnohem složitější než běžná kyberzločinecká aktivita a spotřebitelský malware, protože žoldáčstí spywaroví útočníci využívají výjimečné zdroje k zacílení na velmi malý počet konkrétních jednotlivců a jejich zařízení,“ napsal Apple v dubnovém doporučení. "Spywarové útoky žoldáků stojí miliony dolarů a často mají krátkou skladovatelnost, takže je mnohem těžší je odhalit a zabránit jim. Naprostá většina uživatelů nebude nikdy cílem takových útoků."
Apple navíc říká, že jeho funkce Lockdown Mode může úspěšně chránit před útoky. „Jak jsme již řekli, nejsme si vědomi, že by někdo, kdo používá režim Lockdown, byl úspěšně napaden žoldáckým spywarem,“ říká Bauer. Pro ty, kteří jsou cíleni a chyceni nevědomky, je spyware extrémně nebezpečný.
Útoky s nulovým kliknutím
Spyware poskytuje útočníkům přístup k mikrofonu smartphonu a umožňuje jim zobrazit vše, co píšete, včetně zpráv v šifrovaných aplikacích, jako je WhatsApp a Signal. Mohou také sledovat vaši polohu, shromažďovat hesla a získávat informace z aplikací.
V minulosti byl spyware dodáván prostřednictvím phishingu, který vyžadoval, aby oběť klikla na odkaz nebo si stáhla obrázek. Dnes jej lze doručit v takzvaných „útocích s nulovým kliknutím“ prostřednictvím obrázku iMessage nebo WhatsApp, který do vašeho zařízení automaticky zasadí spyware.
V roce 2021 výzkumníci z projektu Google Project Zero podrobně popsali, jak bylo zneužití nulového kliknutí založené na iMessage použito k cílení na saúdského aktivistu. „Kromě toho, že zařízení nepoužíváte, neexistuje způsob, jak zabránit zneužití zneužitím bez kliknutí; je to zbraň, proti které není obrana,“ varovali vědci.
Řetězec infekce spywarem využívající exploity s nulovým kliknutím přes iMessage byl demonstrován bezpečnostní organizací Kaspersky v rámci svého loňského výzkumu Operation Triangulation.
Vše, co se musí stát, je, že oběť obdrží zprávu iMessage s přílohou obsahující exploit s nulovým kliknutím. „Bez jakékoli další interakce zpráva spustí zranitelnost, což vede ke spuštění kódu pro eskalaci oprávnění a poskytuje plnou kontrolu nad infikovaným zařízením,“ říká Boris Larin, hlavní bezpečnostní výzkumník v globálním výzkumném a analytickém týmu společnosti Kaspersky.
Jakmile útočník zjistí svou přítomnost na zařízení, zpráva se automaticky smaže.
Vzestup Pegasa
Nejvýznamnějším a nejznámějším spywarem je Pegasus, vyrobený izraelskou firmou NSO Group, aby se zaměřil na zranitelnosti v softwaru iOS a Android.
Spyware existuje pouze díky prodejcům, jako je NSO Group, která tvrdí, že prodává exploity vládám pouze za účelem lovu zločinců a teroristů. „Všichni zákazníci, včetně vlád v Evropě a Severní Americe, souhlasí s tím, že tyto zranitelnosti nezveřejní,“ říká Richard Werner, poradce pro kybernetickou bezpečnost společnosti Trend Micro.
Navzdory tvrzením NSO Group se spyware nadále zaměřuje na novináře, disidenty a demonstranty. Manželka saúdského novináře a disidenta Džamála Chášukdžího, Hanan Elatr, byla před jeho smrtí údajně terčem útoku Pegase. V roce 2021 se reportér New York Times Ben Hubbard dozvěděl, že jeho telefon byl dvakrát zaměřen pomocí Pegase.
Pegasus byl tiše implantován do iPhonu Clauda Magnina, manželky politického aktivisty Naamy Asfariho, který byl uvězněn a údajně mučen v Maroku. Pegasus byl také použit k cílení na prodemokratické demonstranty v Thajsku, ruskou novinářku Galinu Timčenkovou a vládní úředníky Spojeného království.
V roce 2021 Apple podal žalobu na NSO Group a její mateřskou společnost, aby ji pohnal k odpovědnosti za „sledování a zaměření uživatelů Apple“.
Případ stále pokračuje a NSO Group se pokouší žalobu zamítnout, ale odborníci tvrdí, že problém nezmizí, dokud budou prodejci spywaru schopni fungovat.
David Ruiz, hlavní obhájce soukromí v bezpečnostní firmě Malwarebytes, obviňuje „obsedantní a utlačovatelské operátory za spywarem, kteří zvyšují jeho nebezpečí pro společnost“.
Spyware Drain
Pokud se potýkáte se zneužitím s nulovým kliknutím přinášejícím spyware, odborníci tvrdí, že pro svou ochranu nebo obnovení zabezpečení svých zařízení můžete udělat velmi málo. „Nejlepší věc, kterou můžete udělat, pokud se na vás někdo zaměří, je úplně opustit hardware i všechny přidružené účty,“ říká Aaron Engel, ředitel informační bezpečnosti ExpressVPN. "Pořiďte si nový počítač, získejte nové telefonní číslo a vytvořte zcela nové účty propojené se zařízením."
Detekce spywaru může být náročná, ale neobvyklé chování, jako je rychlé vybíjení baterie, neočekávaná vypnutí nebo vysoká spotřeba dat, může naznačovat některé typy infekcí, říká Javvad Malik, hlavní obhájce povědomí o bezpečnosti v organizaci pro školení v oblasti bezpečnosti KnowBe4. Zatímco konkrétní aplikace tvrdí, že odhalují spyware, jejich účinnost se může lišit a pro spolehlivou detekci je často nezbytná odborná pomoc, říká.
Chris Hauk, obhájce ochrany osobních údajů spotřebitelů v Pixel Privacy, souhlasí s tím, že vybíjení baterie je silným indikátorem spywaru ve vašem zařízení. „Většina spywaru nebyla vyvinuta tak, aby fungovala efektivně,“ říká.
U sofistikovaného žoldáckého spywaru, který se zaměřuje na uživatele iOS, nebyly takové zjevné indikátory, jako je vybíjení baterie, náhodné vypínání nebo problémy s využíváním dat, podloženy, říká Bauer z Applu. „Tyto příznaky se týkají spíše komoditního spywaru Android než vysoce cíleného žoldáckého spywaru, který je zběhlý v tom, že na zařízeních uživatelů zůstane bez povšimnutí,“ říká.
Uživatelé by si také měli dávat pozor na aplikace, které nenainstalovali, vynucená přesměrování kvůli ukradení prohlížeče a změněná nastavení ve výchozím prohlížeči nebo vyhledávači.
Začátkem tohoto roku představil tým Kaspersky metodu pro detekci indikátorů infekce spywarem pro iOS, jako jsou Pegasus, Reign a Predator. Je to efektivní, protože infekce Pegasem zanechávají stopy v neočekávaném systémovém protokolu Shutdown.log uloženém v archivu sysdiagnose zařízení iOS, říká bezpečnostní oddělení.
Dalším krokem, který můžete podniknout k zabezpečení svého zařízení, je zajistit, že jej restartujete alespoň jednou denně. "Útočníci proto musí opakovaně infikovat, čímž se zvyšuje šance na odhalení v průběhu času," říká Larin.
Pokud byste mohli být cílem, můžete také zakázat iMessage a FaceTime, abyste snížili riziko, že se stanete obětí útoků bez kliknutí. Zároveň udržujte své zařízení aktualizované na nejnovější verzi softwaru a neklikejte na odkazy přijaté ve zprávách, jako jsou e-maily.
„Aktualizujte na nejnovější verzi softwaru, abyste se chránili před známými zranitelnostmi, používejte vícefaktorové ověřování a instalujte aplikace pouze z ověřených a legitimních zdrojů,“ říká Adam Price, analytik kybernetických hrozeb ve společnosti Cyjax.
Pokud se stanete obětí, jsou k dispozici linky důvěry pro pomoc při odstraňování spywaru, jako je Linka pomoci digitální bezpečnosti Access Now a bezpečnostní laboratoř Amnesty International. Mezitím Apple Lockdown Mode - který deaktivuje určité funkce, ale je překvapivě použitelný - může chránit váš iPhone před infekcí.
Zdroj článku: WIRED