Bir zamanlar gazetecileri ve aktivistleri hedeflemek için bir araç olarak kabul edilen Pegasus Spyware, şimdi finans, gayrimenkul ve lojistik de dahil olmak üzere özel sektördeki yöneticilere karşı konuşlandırılıyor.
Aralık 2024’teki bir soruşturmada, küresel olarak taranan 18.000 cihaz arasında 11 yeni Pegasus enfeksiyonu tespit edildi ve casusluk taktiklerinde kurumsal casusluğa doğru bir kaymaya işaret etti.
IVerify’nin son raporunda ayrıntılı olarak açıklanan bulgular, casus yazılımların geleneksel korumaları atlama ve Apple’ın vakaların yaklaşık% 50’sinde tehdit bildirimleriyle tespitten kaçınma yeteneğini vurgulamaktadır.
Sıfır-tıkaç istismarları ve kalıcı uzlaşma
İsrail’in NSO Grubu tarafından geliştirilen Pegasus, kullanıcı etkileşimi olmadan cihazlara sızan, genellikle iMessage veya WhatsApp’taki güvenlik açıklarından yararlanan sıfır tıkaç istismarları kullanıyor.
Kurulduktan sonra, casus yazılım iOS ve Android sistemlerine kök erişim kazanır ve saldırganların şifreli mesajları, finansal belgeleri pesipleştirmesini ve hatta mikrofonları uzaktan etkinleştirmesini sağlar.
Analiz, 2021’den bu yana bazı cihazların tehlikeye atıldığını, birden fazla Pegasus varyantının (örneğin, v3.8.2 ve v4.1.0) işletim sistemi güncellemeleri yoluyla devam ettiğini ortaya koydu.
Rocky Cole, Iverify’ın COO’su ve eski NSA analisti “İPhone’ların ve Android telefonların kutunun dışında güvenli olduğunu varsaymanın yaşı bitti. Telefonunuzun üzerinde casus yazılım olup olmadığını bilmek için özellik türleri yaygın değildi. ”
“Teknik engeller vardı ve birçok insanı geride bırakıyordu. Artık telefonunuza ticari casus yazılım bulaşıp bulaşmadığını bilebilirsiniz. ”
Demokratik tespit
IVerify’nin tarama başına 1 $ fiyatlandırılan mobil tehdit avı özelliği, imza tabanlı algılama, sezgisel analiz ve pegasus eserlerini tanımlamak için makine öğrenimini birleştirir.
Araç, iOS sysdiagnose arşivlerini, özellikle de casus yazılımların bir belirtisi olan yeniden başlatmalar sırasında anormal işlemleri kaydeden shutdown.log dosyasını analiz eder.
Örneğin, Pegasus ile bağlantılı “yapışkan” süreçler Yara kuralları kullanılarak işaretlendi (örneğin, kural pegasus_shutdown {strings: $ s1 = “com.apple.apsd” nocase durumu: $ s1}).
GitHub’da barındırılan Kaspersky’nin tamamlayıcı Ishutdown aracı, enfeksiyonları tespit etmek için günlük ayrıştırmayı otomatikleştiriyor.
Python tabanlı komut dosyası (ishutdown.py), beklenmedik arka planemon aktivitesi veya yetkisiz kriptografik anahtarlar gibi göstergeler için tarar ve tehdit veritabanlarıyla çapraz referans yapmak için şüpheli dosyaların SHA-256 hashları üretir.
Bu gelişmelere rağmen, Apple’ın Kilitleme Modu – bilinen istismar vektörlerini engellemek için tasarlanmış bir özellik – 11 vakanın 5’inde enfeksiyonları önlemek için başarısız oldu ve casus yazılımın uyarlanabilirliğini vurguladı.
Iverify’ın verileri, 1000 cihaz başına 1,5’lik bir küresel enfeksiyon oranını göstermektedir ve bu da binlerce tespit edilmemiş uzlaşma önermektedir.
Özellikle, enfekte kullanıcıların% 55’i Apple’ın tehdit bildirimlerinden hiçbir uyarı almadı ve üçüncü taraf araçları kullanana kadar farkında değil.
Hafifletme
Riskleri azaltmak için Ivanify şunları önerir:
- Günlük yeniden başlatmalar: RAM’i temizleyerek saygın olmayan Pegasus örneklerini bozar.
- IMessage/Facetime’ı devre dışı bırakma: Sıfır tutkulu vektörler için saldırı yüzeylerini azaltır.
- Sık sık iOS güncellemeleri: Son Pegasus kampanyalarında sömürülen CVE-2024-3596 gibi çekirdek seviyesi güvenlik açıkları.
Pegasus operatörleri özel sektöre döndükçe, erişilebilir algılama araçlarına duyulan ihtiyacı artmaktadır. Iverify’ın açık kaynaklı metodolojileri ve Kaspersky’nin GitHub kaynakları ilerlemesini işaret ediyor, ancak teknoloji devleriyle sistemik işbirliği kritik.
Şimdilik, işletmeler proaktif izlemeyi uygulamalıdır, çünkü cehalet endüstriyel casus yazılım çağındaki en büyük zayıflıktır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun