W ostatnich latach Komercyjne oprogramowanie szpiegowskie zostało wdrożone przez większą liczbę podmiotów przeciwko szerszemu gronu ofiar, jednak nadal dominuje pogląd, że złośliwe oprogramowanie jest wykorzystywane w atakach ukierunkowanych na bardzo małą liczbę osób. Jednocześnie jednak badanie urządzeń pod kątem infekcji było trudne, co zmusiło poszczególne osoby do poruszania się po szeregu doraźnych instytucji akademickich i organizacji pozarządowych, które znajdują się na pierwszej linii frontu w opracowywaniu technik kryminalistycznych do wykrywania mobilnego oprogramowania szpiegującego. We wtorek firma iVerify zajmująca się bezpieczeństwem urządzeń mobilnych opublikować ustalenia Z funkcji wykrywania programów szpiegujących uruchomionej w maju. Spośród 2500 skanów urządzeń, które klienci firmy zdecydowali się przekazać do kontroli, siedem wykryło infekcję cieszącym się złą sławą złośliwym oprogramowaniem NSO Group o nazwie Pegasus.
Opracowana przez firmę funkcja Mobile Threat Hunting wykorzystuje kombinację wykrywania, wnioskowania i uczenia maszynowego na podstawie sygnatur złośliwego oprogramowania w celu wyszukiwania anomalii w aktywności urządzeń z systemem iOS i Android lub wyraźnych oznak infekcji oprogramowaniem szpiegującym. W przypadku płacących klientów iVerify narzędzie regularnie sprawdza urządzenia pod kątem potencjalnego zagrożenia. Ale firma oferuje również bezpłatną wersję tej funkcji dla każdego, kto pobierze aplikację iVerify Basics za 1 dolara. Użytkownicy ci mogą wykonać kroki umożliwiające utworzenie i wysłanie specjalnego pliku narzędzia diagnostycznego do usługi iVerify oraz otrzymanie analizy w ciągu kilku godzin. Bezpłatni użytkownicy mogą korzystać z narzędzia raz w miesiącu. Infrastruktura iVerify została zbudowana tak, aby chronić prywatność, ale aby uruchomić funkcję wyszukiwania zagrożeń mobilnych, użytkownicy muszą wprowadzić adres e-mail, aby firma mogła się z nimi skontaktować, jeśli podczas skanowania wykryje oprogramowanie szpiegujące – tak jak miało to miejsce w siedmiu ostatnich wyszukiwaniach Pegasusa .
„Naprawdę interesujące jest to, że celem ataku byli nie tylko dziennikarze i aktywiści, ale także liderzy biznesu, osoby prowadzące przedsiębiorstwa komercyjne i urzędnicy rządowi” – mówi Rocky Cole, dyrektor operacyjny iVerify i były urzędnik amerykańskiej Agencji Bezpieczeństwa Narodowego byli ludzie zajmujący stanowiska.” Analityk. „Wygląda bardziej na przeciętny szkodliwy program lub profil docelowy przeciętnej grupy APT, a nie na narrację o tym, że najemne oprogramowanie szpiegowskie jest niewłaściwie wykorzystywane do atakowania aktywistów. Dokładnie to robi, ale różne części społeczeństwa są tym zaskoczone”.
Siedem skanów na 2500 może wydawać się małą grupą, zwłaszcza wśród nieco samodzielnie wybranej bazy klientów iVerify, płatnych lub bezpłatnych, którzy chcą monitorować bezpieczeństwo swoich urządzeń mobilnych, zwłaszcza. Jest to dalekie od faktycznego sprawdzania oprogramowanie szpiegowskie. Jednak fakt, że narzędzie to wykryło już kilka infekcji, pokazuje, jak powszechne jest stosowanie oprogramowania szpiegującego na całym świecie. Posiadanie łatwiejszego narzędzia do diagnozowania zagrożeń związanych z oprogramowaniem szpiegującym mogłoby poszerzyć obraz częstotliwości jego używania.
„NSO Group sprzedaje swoje produkty wyłącznie amerykańskim i sprzymierzonym z Izraelem agencjom wywiadowczym i organom ścigania” – powiedział WIRED rzecznik NSO Group Gil Lehner w oświadczeniu. „Nasi klienci korzystają z tych technologii na co dzień.”
Wiceprezes ds. badań iVerify, Matthias Frilingsdorf, zaprezentuje w piątek ustalenia grupy Pegasus podczas konferencji dotyczącej bezpieczeństwa Objective by the Sea na Maui na Hawajach. Mówi, że opracowanie narzędzi do wykrywania wymagało znacznych inwestycji, ponieważ mobilne systemy operacyjne, takie jak Android, a zwłaszcza iOS, są bardziej zablokowane niż tradycyjne systemy operacyjne dla komputerów stacjonarnych i nie pozwalają na monitorowanie dostępu jądra oprogramowania do serca systemu. Cole twierdzi, że kluczem było wykorzystanie danych telemetrycznych znajdujących się jak najbliżej jądra w celu dostrojenia modeli uczenia maszynowego w celu wykrycia kluczowych spostrzeżeń. Niektóre programy szpiegowskie, takie jak Pegasus, również mają specyficzne cechy, które ułatwiają ich oznaczanie. Spośród siedmiu wykrycia funkcja Mobile Threat Hunting wyłapała Pegasusa na podstawie danych diagnostycznych, dzienników zamykania i dzienników awarii. Cole twierdzi jednak, że wyzwanie polega na udoskonaleniu narzędzi monitorowania mobilnego w celu ograniczenia liczby fałszywych alarmów.
Jednak rozwijanie umiejętności wykrywania jest już bezcenne. Cole twierdzi, że pomogło to iVerify zidentyfikować oznaki kompromisu na smartfonie Gurpatwanta Singha Pannuna, prawnika i sikhijskiego działacza politycznego, który stał się celem ataku. Rzekoma nieudana próba morderstwa Przez pracownika rządu indyjskiego w Nowym Jorku. Funkcja Mobile Threat Hunting wskazała również podejrzaną aktywność państwa narodowego na urządzeniach mobilnych dwóch urzędników kampanii Harris-Walz – starszego członka kampanii i członka działu IT – podczas wyścigu prezydenckiego.
„Era zakładania, że iPhone’y i telefony z systemem Android są bezpieczne od razu dobiegła końca” – mówi Cole. „Możliwości sprawdzenia, czy Twój telefon ma oprogramowanie szpiegujące, nie były kompleksowe. Istniały bariery techniczne, przez co wielu ludzi pozostawało w tyle. Teraz możesz sprawdzić, czy Twój telefon jest zainfekowany komercyjnym oprogramowaniem szpiegującym, czy nie. „A wskaźnik ten jest znacznie wyższy niż popularna narracja”.
Zaktualizowano o 12:12 czasu wschodniego 4 grudnia 2024 r. i uwzględniono oświadczenie NSO Group.
Zaktualizowano o godzinie 14:00 czasu wschodniego 4 grudnia 2024 r. i uwzględniono dodatkowe szczegóły dotyczące sposobu, w jaki narzędzie iVerify wykrywa oprogramowanie szpiegujące.
