W ostatnich latach komercyjne oprogramowanie szpiegowskie zostało wdrożone przez większą liczbę podmiotów przeciwko szerszemu gronu ofiar, jednak nadal dominuje opinia, że to złośliwe oprogramowanie jest wykorzystywane w atakach ukierunkowanych na niezwykle małą liczbę osób. Jednocześnie jednak trudno było sprawdzić urządzenia pod kątem infekcji, co skłoniło poszczególne osoby do korzystania z doraźnych działań instytucji akademickich i organizacji pozarządowych, które przodują w opracowywaniu technik kryminalistycznych do wykrywania mobilnego oprogramowania szpiegującego. We wtorek firma iVerify zajmująca się bezpieczeństwem urządzeń mobilnych publikowanie ustaleń z funkcji wykrywania oprogramowania szpiegującego, która została uruchomiona w maju. Z 2500 skanów urządzeń, które klienci firmy zdecydowali się poddać do kontroli, siedem ujawniło infekcje wywołane przez cieszące się złą sławą szkodliwe oprogramowanie NSO Group znane jako Pegasus.
Opracowana przez firmę funkcja Mobile Threat Hunting wykorzystuje kombinację wykrywania złośliwego oprogramowania w oparciu o sygnatury, heurystyki i uczenia maszynowego w celu wyszukiwania anomalii w aktywności urządzeń z systemem iOS i Android lub charakterystycznych oznak infekcji oprogramowaniem szpiegującym. W przypadku płacących klientów iVerify narzędzie regularnie sprawdza urządzenia pod kątem potencjalnego zagrożenia. Ale firma oferuje również bezpłatną wersję tej funkcji dla każdego, kto pobierze aplikację iVerify Basics za 1 dolara. Użytkownicy ci mogą wykonać kolejne kroki, aby wygenerować i wysłać specjalny plik narzędzia diagnostycznego do iVerify i otrzymać analizę w ciągu kilku godzin. Bezpłatni użytkownicy mogą korzystać z narzędzia raz w miesiącu. Infrastruktura iVerify została zbudowana tak, aby chronić prywatność, ale aby uruchomić funkcję Mobile Threat Hunting, użytkownicy muszą wprowadzić adres e-mail, aby firma mogła się z nimi skontaktować, jeśli skanowanie wykryje oprogramowanie szpiegujące – tak jak miało to miejsce w przypadku siedmiu ostatnich odkryć Pegasusa .
„Naprawdę fascynujące jest to, że celem byli nie tylko dziennikarze i aktywiści, ale także liderzy biznesu, osoby prowadzące przedsiębiorstwa komercyjne i osoby na stanowiskach rządowych” – mówi Rocky Cole, dyrektor operacyjny iVerify i były pracownik amerykańskiej Agencji Bezpieczeństwa Narodowego analityk. „To bardziej przypomina profil docelowy przeciętnego złośliwego oprogramowania lub przeciętnej grupy APT niż krążącą narrację o wykorzystywaniu najemnego oprogramowania szpiegującego do atakowania aktywistów. Zdecydowanie tak się dzieje, ale odkrycie tej części społeczeństwa było zaskakujące.
Siedem na 2500 skanów może wydawać się małą grupą, szczególnie w przypadku nieco samodzielnie wybierającej się bazy klientów iVerify, płatnych lub bezpłatnych, którzy w ogóle chcą monitorować bezpieczeństwo swoich urządzeń mobilnych, a tym bardziej sprawdzać pod kątem oprogramowania szpiegującego. Jednak fakt, że narzędzie to w ogóle wykryło kilka infekcji, świadczy o tym, jak powszechnie na całym świecie rozpowszechniło się wykorzystanie oprogramowania szpiegującego. Posiadanie prostego narzędzia do diagnozowania zagrożeń związanych z oprogramowaniem szpiegującym może znacznie poszerzyć obraz częstotliwości jego używania.
„Grupa NSO sprzedaje swoje produkty wyłącznie sprawdzonym agencjom wywiadowczym i organom ścigania sprzymierzonym z USA i Izraelem” – powiedział WIRED w oświadczeniu rzecznik NSO Group Gil Lainer. „Nasi klienci codziennie korzystają z tych technologii”.
iVerify twierdzi, że opracowanie narzędzia do wykrywania wymagało znacznych inwestycji, ponieważ mobilne systemy operacyjne, takie jak Android, a zwłaszcza iOS, są bardziej zablokowane niż tradycyjne systemy operacyjne dla komputerów stacjonarnych i nie pozwalają oprogramowaniu monitorującemu na dostęp do jądra w sercu systemu. Cole twierdzi, że kluczowym odkryciem było wykorzystanie danych telemetrycznych pobranych możliwie najbliżej jądra w celu dostrojenia modeli uczenia maszynowego pod kątem wykrywania. Niektóre programy szpiegowskie, takie jak Pegasus, również mają charakterystyczne cechy, które ułatwiają ich oznaczanie. W przypadku siedmiu wykrycia funkcja Mobile Threat Hunting wykryła Pegasusa na podstawie danych diagnostycznych, dzienników zamykania i dzienników awarii. Jednak wyzwanie, mówi Cole, polega na udoskonaleniu mobilnych narzędzi monitorujących, aby ograniczyć liczbę fałszywych alarmów.
Jednak rozwój zdolności wykrywania był już bezcenny. Cole twierdzi, że pomogło to iVerify zidentyfikować oznaki kompromisu na smartfonie Gurpatwanta Singha Pannuna, prawnika i sikhijskiego działacza politycznego, który był celem ataku rzekomą, udaremnioną próbę zamachu przez pracownika rządu indyjskiego w Nowym Jorku. Funkcja Mobile Threat Hunting oznaczyła również podejrzenia działań państwa narodowego na urządzeniach mobilnych dwóch urzędników kampanii Harris-Walz – starszego członka kampanii i członka działu IT – podczas wyścigu prezydenckiego.
„Era, w której zakładano, że iPhone’y i telefony z Androidem są bezpieczne od razu po wyjęciu z pudełka, minęła” – mówi Cole. „Funkcje umożliwiające sprawdzenie, czy na telefonie znajduje się oprogramowanie szpiegujące, nie były powszechne. Istniały bariery techniczne, przez co wielu ludzi pozostawało w tyle. Teraz możesz sprawdzić, czy Twój telefon jest zainfekowany komercyjnym oprogramowaniem szpiegującym. A wskaźnik ten jest znacznie wyższy niż w dominującej narracji”.
Zaktualizowano o 12:12 czasu wschodniego, 4 grudnia 2024 r. i uwzględniono oświadczenie NSO Group.
