Pegasus casus yazılımlarının bir zamanlar gölgeli alanı, yeni sınırları ihlal etti ve adli analizler, gazetecileri ve aktivistleri hedeflemekten özel sektöre sızmak için keskin bir pivotu ortaya çıkardı.
Aralık 2024’te mobil güvenlik firması Ivanify, finans, gayrimenkul ve lojistik yöneticilerini eşi görülmemiş gözetim risklerine maruz bırakan 18.000 taranmış cihaz arasında – 1.000 insidans oranı – 11 yeni Pegasus enfeksiyonu tespit etti.
Bu bulgular, siber-karşıt taktiklerinde sistemik bir kaymanın altını çizerek, yüksek değerli kurumsal hedefleri tehlikeye atmak için sıfır tıkaç istismarlarından ve gelişmiş kalıcılık mekanizmalarından yararlanmaktadır.
Pegasus’un teknik evrimi ve kurumsal hedeflemesi
İsrail’in NSO grubu tarafından geliştirilen Pegasus, kullanıcı etkileşimi olmadan kök erişimi elde etmek için IMessage, WhatsApp ve diğer uygulamalardaki güvenlik açıklarından yararlanarak sıfır tıkaç infiltrasyon yöntemlerini kullanıyor.
Kurulduktan sonra, mikrofonları ve kameraları gerçek zamanlı izleme için etkinleştirirken e-postaları, şifrelenmiş mesajları ve hassas belgeleri söndürür.
Son varyantlar, iOS SYS’de adli artefaktlarla kanıtlanan çok yıllı kalıcılık sergilemektedir.
Casus yazılımların genişletilmiş hedeflemesi, geleneksel savunmaları atlama yeteneği ile uyumludur.
Iverify’ın Aralık 2024 taramaları, iOS 15-17 cihazları ve Android 12-14 dahil olmak üzere 2021’e tarihlenen enfeksiyonları ortaya çıkardı.
Geleneksel kötü amaçlı yazılımlardan farklı olarak, Pegasus, bellekte yükleri şifreleyerek ve geçici C2 sunucularını kullanarak algılamayı önler ve özel adli araçlar dışında minimal izler bırakır.
Tespit atılımları: Kapatma günlüklerinden makine öğrenimine kadar
Kaspersky’nin büyük ekibi, Pegasus’un “yapışkan” süreçlerinin neden olduğu yeniden başlatma anomalilerini kaydeden iOS kapatma günlüklerini (Shutdown.log) analiz eden hafif bir algılama yöntemine öncülük etti.
Ishutdown gibi açık kaynaklı araçlar. /private/var/db/) NSO Group’un çerçevelerine bağlı.
Eşzamanlı olarak, Uluslararası Af Örgütü’nün Mobil Doğrulama Araç Seti (MVT) Cross-References, alan adları ve süreç karmalar gibi bilinen Pegasus uzlaşma göstergeleri (IOCS) ile cihaz yedeklemeleri.
Iverify’ın mobil tehdit avcılık özelliği, bu yaklaşımları makine öğrenimi, ağ trafiği, bellek kalıpları ve davranışsal anomalilerin sezgisel analizi ile 18.000 cihaz taramasıyla birleştiriyor.
Sistem, Apple’ın tehdit bildirimleriyle kaçırılan 11 enfeksiyonu işaretleyerek ticari güvenlik modellerindeki boşlukları vurguladı.
Finansal ve operasyonel çıkarımlar
Ekonomik serpinti veri hırsızlığının ötesine uzanıyor.
Birleşme müzakerelerindeki veya düzenleyici tartışmalardaki uzlaşmış cihazlar, pazarları istikrarsızlaştırarak içeriden bilgileri sızdırabilir.
Bir Avrupa lojistik firması enfeksiyondan sonra% 12 stok düşüşü bildirdi, ancak nedensellik doğrulanmadı.
Pegasus’un operatörleri-genellikle devlet tarafından hizalanmış aktörler-emtia fiyatlarını manipüle etmek veya rakipleri sabote etmek için böyle bir zekayı inceliyor.
İşletmeler için azaltma stratejileri
- Kilitleme modu: IOS 16+ kısıtlamalarını sıfır-tıkaç vektörlerini engellemek için etkinleştirin.
- Sysdiagnose analizi: ISHutdown.py veya MVT kullanarak Düzenli olarak kapatma.log’u inceleyin.
- Ağ segmentasyonu: VLAN’lar ve TLS 1.3 şifreleme kullanarak yönetici cihazları kritik altyapıdan izole edin.
- Tehdit avı: Pegasus’a özgü IOC’ler ve bellek tarama özellikleriyle EDR çözümlerini dağıtın.
Şeffaflık çağrısı
Pegasus kurumsal risk manzaralarını yeniden şekillendirirken, siber güvenlik topluluğu NSO Group’u müşteri listelerini ve enfeksiyon kalıplarını açıklamaya çağırıyor.
O zamana kadar, Iverify ve MVT gibi araçlar, tehdit tespitini demokratikleştirmek için hayati öneme sahiptir – bir seferde bir tarama.
Pasif mobil güvenlik yaşı bitti. İşletmeler için, soru artık değil, Pegasus’un ne zaman vurulacağı ve savunmalarının sessizce gelişen bir düşmanı geride bırakıp bırakamayacağıdır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here