iOS: หลังจาก Pegasus สปายแวร์ตัวใหม่จะโจมตี iPhone เพื่อสอดแนมพวกมัน

คุณชอบPegasus “เรื่องอื้อฉาวเกี่ยวกับการจารกรรมที่ใหญ่ที่สุดนับตั้งแต่เรื่อง Snowden”- ถ้าอย่างนั้นคุณก็จะรักรัชกาล เช่นเดียวกับรุ่นก่อนอันโด่งดังที่สร้างสรรค์โดยบริษัท NSO Group ของอิสราเอล Reign คือ aมัลแวร์ตั้งใจที่จะสอดแนมบน iPhone โดยที่ผู้ใช้ไม่ต้องดำเนินการใด ๆ โดยใช้แนวทางที่เรียกว่าคลิกเป็นศูนย์- ยินดีต้อนรับสู่โลกที่บริษัทข่าวกรองทางไซเบอร์กำลังสร้างซอฟต์แวร์ล้ำสมัยเพื่อโจมตีและประนีประนอมสมาร์ทโฟนของคุณเพื่อสอดแนมคุณ...

Reign สปายแวร์ตามรอยเพกาซัส

Pegasus และ Reign มีอะไรที่เหมือนกันหลายอย่าง เริ่มต้นด้วยความจริงที่ว่าสิ่งเหล่านี้เป็นผลจากการทำงานของบริษัทเล็กๆ ของอิสราเอล ซึ่งในกรณีนี้คือ QuaDream ซึ่งเชี่ยวชาญด้านการออกแบบสปายแวร์- เช่นเดียวกับกลุ่ม NSO จึงเป็นกพีเอสโอเอ-เทตัวรุกภาคเอกชนหรือผู้กระทำความผิดในภาคเอกชน บริษัทที่รักษาความรอบคอบโดยใช้บริษัท Cypriot ในการขายผลิตภัณฑ์ เพื่อไม่ให้ติดต่อกับลูกค้าโดยตรง อย่างไรก็ตาม แม้ว่าเธอจะพยายาม แต่เธอก็ถูกพูดถึงสองครั้งในปีที่ผ่านมา

• ในเดือนกุมภาพันธ์ 2565 เมื่อรอยเตอร์เปิดเผยว่ากำลังใช้ประโยชน์จากช่องโหว่ศูนย์วันetคลิกเป็นศูนย์เพื่อประนีประนอม iPhone เช่น NSO Group และ Pegasus
• และในเดือนธันวาคม 2022 เมื่อ Meta อ้างถึงในรายงานของเขารายงานภัยคุกคามในอุตสาหกรรมกล้องวงจรปิดเพื่อการจ้างงาน (PDF เป็นภาษาอังกฤษ)ซึ่งบ่งชี้ว่าพบร่องรอยของกิจกรรมโดยบริษัทนี้บนเครือข่าย โดยเฉพาะอย่างยิ่งบัญชี Facebook และ Instagram จำนวน 250 บัญชี ซึ่งกำลังพยายามดึงข้อมูลบน Android และ iOS

หาก QuaDream มีความสุขุมรอบคอบ มันก็ไม่ได้เกิดจากความว่างเปล่า ก่อตั้งโดยอดีตพนักงานของ… NSO Group ตามที่ระบุไว้ในรายงาน Meta เมื่อปลายปีที่แล้ว ดังนั้นจึงไม่มีเรื่องน่าประหลาดใจใหญ่ๆ ที่นี่ บริษัทยังมีความสัมพันธ์ในอดีตกับองค์กรอื่นที่ขายเครื่องมือเฝ้าระวัง Verint เช่นเดียวกับหน่วยสืบราชการลับของอิสราเอล ซึ่งในตัวมันเองก็ไม่น่าแปลกใจเลย เนื่องจากหน่วย 8200 มีอยู่ทั่วไปทุกหนทุกแห่งในหลักสูตรของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของอิสราเอลทุกคน
เช่นเดียวกับ Pegasus Reign ถูกขายให้กับนักแสดงของรัฐหรือหน่วยงานบังคับใช้กฎหมาย และมีเป้าหมายหลักคือนักข่าว นักการเมือง และนักเคลื่อนไหว อีกครั้งหนึ่ง นี่ไม่ใช่การจารกรรมมวลชน แต่เป็นการละเมิดเสรีภาพที่สำคัญอย่างโจ่งแจ้ง ไม่ว่าในกรณีใดนี่คือสิ่งที่เปิดเผยMicrosoft ในโพสต์ยาวบนบล็อกที่อุทิศให้กับความปลอดภัยทางไซเบอร์ และ Citizen Lab ที่มหาวิทยาลัยโตรอนโต ซึ่งออกมาประณามเรื่องเพกาซัสอยู่แล้ว

ทีมงานของข่าวกรองภัยคุกคามของ Microsoftจึงได้ระบุเรื่องนี้ไว้มัลแวร์ชื่อรหัส KingsPawn เชื่อมโยงกับบริษัท QuaDream ชื่อรหัส DEV-0196 สำหรับนักวิจัยจากยักษ์ใหญ่ Redmond ด้วยการสนับสนุนจาก Citizen Lab ไมโครซอฟต์สามารถระบุตัวเหยื่อได้อย่างน้อยห้ารายทั่วโลก ซึ่งแพร่กระจายไปทั่วอเมริกาเหนือ เอเชียกลาง เอเชียตะวันออกเฉียงใต้ ยุโรป และตะวันออกกลาง ในบรรดาเป้าหมายดังกล่าว ได้แก่ นักข่าว ฝ่ายตรงข้ามทางการเมือง และสมาชิกขององค์กรพัฒนาเอกชน Citizen Lab ระมัดระวังไม่ให้ข้อมูลเพิ่มเติมเกี่ยวกับบุคคลเป้าหมาย

มันทำงานอย่างไร?

การวิเคราะห์ทางเทคนิคของ Microsoft ทำให้สามารถติดตามข้อบกพร่องใน iOS 14 ได้ แม้ว่าผู้เชี่ยวชาญของยักษ์ใหญ่ชาวอเมริกันจะระบุว่าส่วนหนึ่งของโค้ดนั้นสามารถใช้บน Android ได้ด้วยก็ตาม ไม่ว่าข้อบกพร่องดังกล่าวจะถูกนำมาใช้เป็นข้อบกพร่องก็ตามศูนย์วันetคลิกเป็นศูนย์ระหว่างเวอร์ชัน iOS 14.4 และ 14.4.2“และอาจจะเป็นเวอร์ชันอื่นๆ”ระบุข่าวประชาสัมพันธ์จากนักวิจัยจากมหาวิทยาลัยโตรอนโต โพสต์แบบยาวของ Microsoft ได้รับการยืนยันมากกว่าในประเด็นนี้:“ตั้งแต่มัลแวร์กำหนดเป้าหมายเป็น iOS 14 เทคนิคบางอย่างที่ใช้อาจไม่ทำงานอีกต่อไปหรือเกี่ยวข้องกับ iOS เวอร์ชันใหม่กว่า อย่างไรก็ตาม มีความเป็นไปได้มากว่า DEV-0196(หรือที่รู้จักกันในชื่อ QuaDream บันทึกของบรรณาธิการ)ได้อัปเดตแล้วมัลแวร์--

ช่องโหว่ด้านความปลอดภัยนี้ซึ่งได้รับการตั้งชื่อว่าสิ้นสุดวันโดยนักวิชาการชาวแคนาดา ขึ้นอยู่กับความล้มเหลวของระบบเชิญปฏิทิน iCloud ผู้ดำเนินการของสปายแวร์ซึ่งอาจเป็นรัฐ หน่วยงานตำรวจ หน่วยต่อต้านจารกรรม ฯลฯ จะส่งคำเชิญไปยังเป้าหมาย ซึ่งอนุญาตให้ดำเนินการตามข้อกล่าวหาและการจัดตั้งมัลแวร์- เพื่อทำสิ่งที่ถูกต้องมัลแวร์จากนั้นจะลบร่องรอยของ "คำเชิญ" ที่มาจากทั้งหมด“ผู้จัดงาน”และได้รับในช่วงสองปีที่ผ่านมา

Microsoft ลงรายละเอียดเพิ่มเติมเล็กน้อยเกี่ยวกับวิธีการทำงานของ KingsPawn โดยเน้นสององค์ประกอบจากหลาย ๆ องค์ประกอบที่ประกอบขึ้นเป็น: เอเจนต์การตรวจสอบและเอเจนต์ความปลอดภัยมัลแวร์พูดอย่างเคร่งครัด

ส่วนแรกทำให้สามารถลดขนาดซอฟต์แวร์ได้ วิธีนี้จะป้องกันไม่ให้เครื่องมือพิเศษตรวจพบได้ง่าย แต่ยังช่วยให้สามารถปกปิดเส้นทางได้ในกรณีที่มีการสอบสวน Microsoft ยกตัวอย่างความสามารถในการตรวจสอบไฟล์ที่สร้างขึ้นจากข้อขัดข้องที่เกิดจากการมีอยู่และการลบออก เช่นเดียวกับกระบวนการซึ่งจะตอบสนองต่อการประหารชีวิตและหยุดชะงักลง

ส่วนที่สองซึ่งเป็นเอเจนต์หลักนั้นเขียนโค้ดใน Go ซึ่งเป็นภาษาโปรแกรมที่สามารถพกพาข้ามแพลตฟอร์มต่างๆ ได้อย่างง่ายดาย เขาสามารถ:

• รับข้อมูลอุปกรณ์ เช่น เวอร์ชัน iOS สถานะแบตเตอรี่ ฯลฯ
• รับข้อมูลเครือข่าย Wi-Fi (SSID, โหมดเครื่องบิน ฯลฯ)
• ดึงข้อมูลบนเครือข่ายเซลลูลาร์ (ผู้ให้บริการ ข้อมูลซิมการ์ด หมายเลขโทรศัพท์ ฯลฯ)
• ค้นหาและกู้คืนไฟล์
• ใช้กล้องของอุปกรณ์ในพื้นหลัง
• เพื่อค้นหาอุปกรณ์
• ตรวจสอบการโทร
• เข้าถึงรหัสผ่านที่เก็บไว้ใน iOS
• สร้างคำสำคัญตามเวลา (TOTP) ที่ไม่ซ้ำกันสำหรับ iCloud

รายการยาวและน่าประทับใจ แน่นอนว่าเมื่อใช้กล้องหรือไมโครโฟนของ iPhone นั้นมัลแวร์ข้ามการแจ้งเตือนปกติที่ขอให้ผู้ใช้อนุมัติแอปพลิเคชัน เมื่อต้องการทำเช่นนี้ จะทำให้ไบนารีของไฟล์เสียหายอย่างเห็นได้ชัดภูตทีซีซี (เทความโปร่งใส ความยินยอม และการควบคุม) รับผิดชอบในการตรวจสอบการใช้งานไมโครโฟนและกล้อง และแสดงการแจ้งเตือนตามนั้น

ในทำนองเดียวกัน KingsPawn จะหลีกเลี่ยงเครื่องมือต่าง ๆ เพื่อตรวจสอบความสมบูรณ์ของไฟล์ที่ดำเนินการ ในขณะเดียวกันก็หลีกเลี่ยงแซนด์บ็อกซ์ที่มันทำงานอยู่

Citizen Lab และ Microsoft สแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ QuaDream และสามารถค้นหาระบบปฏิบัติการในประเทศต่างๆ ได้: บัลแกเรีย สาธารณรัฐเช็ก ฮังการี กานา อิสราเอล เม็กซิโก โรมาเนีย สิงคโปร์ สหรัฐอาหรับเอมิเรตส์ และอุซเบกิสถานในที่สุด แต่ประเทศอื่นๆ เช่น โมร็อกโกหรือซาอุดีอาระเบีย ก็เป็นลูกค้าของ QuaDream เช่นกัน อย่างไรก็ตาม ตามกฎทั่วไป Microsoft กล่าวว่า DEV-0196 ใช้ผู้รับจดทะเบียนโดเมนราคาไม่แพงและโฮสติ้งคลาวด์ที่รับการชำระเงินด้วยสกุลเงินดิจิทัล

Citizen Lab ได้ระบุพื้นที่ที่มีความเชื่อมโยงอย่างมากกับประเทศที่มีเหยื่อสปายแวร์- แม้ว่า Microsoft จะระบุชัดเจนว่าการมีอยู่ของเป้าหมายในประเทศนั้นไม่ได้หมายความว่าประเทศเจ้าบ้านเป็นแหล่งกำเนิดของการโจมตี

แล้วหลังจากนั้นล่ะ?

Microsoft และ Citizen Lab ชี้ให้เห็นอย่างชัดเจนว่างานสืบสวนยังไม่เสร็จสิ้นและกำลังตามล่าหาสปายแวร์ของ QuaDream เปิดกว้างมากขึ้นกว่าเดิม นอกจากนี้ Citizen Lab ยังพูดถึงก“ปัจจัยอีโคพลาสมิก” (« ปัจจัยอีคโตพลาสซึม »ในภาษาอังกฤษ) ร่องรอยประเภทหนึ่งที่รัชกาลทิ้งไว้ซึ่งจะทำให้เรามองเห็นพระองค์ได้ อย่างไรก็ตาม นักวิเคราะห์ความปลอดภัยทางไซเบอร์ของแคนาดา ระมัดระวังที่จะไม่พูดมากกว่านี้ เพราะเกมยังไม่จบ

อย่างไรก็ตาม ผู้เชี่ยวชาญเหล่านี้แนะนำให้ผู้ใช้ที่สามารถตกเป็นเป้าหมายได้ (และเราสามารถให้คำแนะนำนี้แก่ทุกคนได้) ให้ปฏิบัติตามคำแนะนำ“หลักสุขอนามัยทางไซเบอร์ขั้นพื้นฐาน”- โดยเฉพาะอย่างยิ่ง คอยอัปเดตอุปกรณ์ของคุณให้ทันสมัยอยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการอัปเดตรวมแพตช์ความปลอดภัย และแน่นอนว่า หลีกเลี่ยงการคลิกลิงก์ที่มาจากแหล่งที่มาที่ไม่ปรากฏชื่อ ไม่คาดคิด หรือน่าสงสัย

รายงานทั้งสองฉบับยังแสดงรายการตัวบ่งชี้การบุกรุก ไม่ว่าไฟล์จะปรากฏบนอุปกรณ์และเพิ่มโดยมัลแวร์หรือชื่อโดเมนที่เกี่ยวข้องกับการดำเนินการและการมีอยู่ของ DEV-0196

นอกจากนี้ Microsoft ยังแนะนำให้ผู้ที่รู้สึกว่าตกเป็นเป้าหมายด้วยการโจมตีประเภทนี้จะเปิดใช้งานโหมดแยกจาก iOS สำหรับบันทึกดังกล่าว เปิดตัวเมื่อเดือนกรกฎาคมปีที่แล้วและมีวัตถุประสงค์เพื่อลดพื้นที่การโจมตีที่มีให้กับสปายแวร์บน iOS, iPadOS และ macOS แต่ก็ไม่แน่ใจว่านี่จะเพียงพอที่จะป้องกัน Reign หรือที่รู้จักในชื่อ KingsPawn ได้

เราได้ติดต่อกับ Apple เพื่อค้นหาจุดยืนของยักษ์ใหญ่แห่งแคลิฟอร์เนียเกี่ยวกับการเปิดเผยเหล่านี้ ซึ่งถูกส่งไปล่วงหน้าตามรายงานของ Citizen Lab เราจะอัปเดตบทความนี้ทันทีที่เราได้รับคำตอบ อย่างไรก็ตาม มีความเป็นไปได้มากที่ยักษ์ใหญ่แห่งคูเปอร์ติโนจะไม่อยู่ต่อไปโดยไม่มีปฏิกิริยาใดๆ ในเดือนพฤศจิกายน 2021 ตามรอย WhatsApp Apple ได้โจมตี NSO Group ซึ่งถูกขึ้นบัญชีดำในสหรัฐอเมริกาแล้ว ยักษ์ใหญ่แห่งอเมริกายังระบุถึงการเปิดกองทุน 10 ล้านดอลลาร์เพื่อครอบคลุมค่าใช้จ่ายและความเสียหายที่อาจเกิดขึ้นซึ่งเชื่อมโยงกับการดำเนินการทางกฎหมายกับบริษัทอิสราเอล ในเวลานั้น มันเป็นคำถามเรื่องภาพลักษณ์พอๆ กับความรับผิดชอบของยักษ์ใหญ่อเมริกันรายนี้ต่อผู้ใช้ทุกคน ในประเด็นนี้ การมาถึงของ Reign มีรสชาติที่แปลกประหลาดของเดจาวู

🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-

แหล่งที่มา : ห้องปฏิบัติการพลเมือง