Pegasus wciąż na wolności

VMware
by Damian Sieradzon

Ostatnie doniesienia w polskich i zagranicznych mediach dotyczących spyware o nazwie Pegasus skłoniły nas do bliższego zajęcia się tematem tego wyrafinowanego narzędzia ataku na urządzenia mobilne. Program szpiegujący firmy NSO Group już w 2016 roku narobił sporo szumu wokół bezpieczeństwa systemów iOS i Android wnikając w urządzenia poprzez ukierunkowane ataki phishingowe na aktywistów walczących o prawa człowieka. W maju 2019 roku sprawa Pegasusa wróciła ze zdwojoną siłą, wraz z informacją o wykryciu w bardzo popularnym komunikatorze WhatsApp podatności, która pozwala na zarażenie spywarem poprzez wykonanie zwykłego połączenia video z aplikacji. Kolejne mocne uderzenie to informacja grupy badaczy Citizen Lab z Uniwersytetu w Toronto o obecności Pegasusa, w jednej z polskich służb.

No dobrze, zrobiło się głośno i strasznie, ale czym właściwie jest ten Pegasus?

Pegasus to oprogramowanie szpiegujące, które może zostać zainstalowane na urządzeniach mobilnych z systemami iOS i Android. Infekcja zachodzi na przykład poprzez nieaktualny system operacyjny i wspominany powyżej atak phishingowy, czyli kliknięcie w złośliwe łącze przesłane SMS/mailem lub poprzez zainfekowaną aplikację, taką jak WhatsApp, gdzie wystarczy samo wykonanie połączenia, więc ofiara nawet nie musi go odebrać. Po instalacji oprogramowanie potajemnie przejmuje kontrolę nad urządzeniem i umożliwia m.in.:

  • Włączanie aparatu i mikrofonu,
  • Odczytanie wiadomości e-mail, wiadomości tekstowych, wiadomości z popularnych komunikatorów i aplikacji, takich jak WhatsApp, iMessage, Gmail, Facebook itp.,
  • Zbieranie danych o lokalizacji GPS użytkownika,
  • Śledzenie połączeń,
  • Zbieranie haseł.

 

Jest się czego bać, ponieważ samych użytkowników WhatsApp na świecie jest już ponad 1,5 miliarda. Co więcej, prawdziwą zmorą jest używanie niezaktualizowanych urządzeń i aplikacji. Nie trzeba długo szukać takich informacji, wystarczy spojrzeć na najnowsze informacje mówiące o tym, że Apple w wersji iOS 12.4 ponownie załatało dziurę dającą atakującemu możliwość przejęcia kontroli nad urządzeniem wykorzystując aplikację iMessage. Konfrontując to z danymi podanymi przez Wandera pod tym linkiem,  do dnia 1 sierpnia 2019 roku tylko 9.6% urządzeń firmowych z systemem iOS zostało zaktualizowanych. Daje nam to ponad 90% urządzeń firmowych zagrożonych wrogim przejęciem.

Jak żyć, jak się chronić, czy jest jeszcze nadzieja?

Chociaż ten temat przyciągnął ostatnio wiele uwagi, to jest tylko przypomnieniem, że zarówno zespoły IT, jak i użytkownicy muszą zachować czujność, jeśli chodzi o zagrożenia mobilne. Na pewno podniesienie świadomości użytkowników pozwoli na zmniejszenie ryzyka, a dodatkowe wykorzystanie odpowiednich narzędzi sprawi, że bezpieczeństwo firmy będzie na najwyższym poziomie.

Łagodzenie ryzyka

  • Edukuj i komunikuj się z użytkownikami końcowymi na temat prawidłowego korzystania z urządzeń mobilnych w celach biznesowych, w tym na temat znaczenia aktualizacji systemów operacyjnych i aplikacji, a także ogólnych najlepszych praktyk bezpieczeństwa.
  • Sprawdź/wprowadź zasady swojej firmy, których aplikacji pracownicy mogą używać do celów związanych z pracą i ogranicz użycie nieistotnych aplikacji na urządzeniach korporacyjnych. W końcu odkrywanie luk i łatanie ich jest jak wyścig zbrojeń między deweloperami i atakującymi – im mniej nieistotnych aplikacji na urządzeniu firmowym, tym mniejsze ryzyko, że jedna z nich będzie miała luki wykryte przez hakerów, ale jeszcze nie załatane.

 

Wykorzystanie narzędzi

 

+

Użyj rozwiązania mobilnej ochrony przed zagrożeniami (Mobile Threat Defense) Wandera, aby chronić urządzenia i sieci przed znanymi zagrożeniami złośliwego oprogramowania oraz atakami. Wandera w ochronie przed Pegasusem, może m.in. wykryć zagrożenie, wskazać zagrożoną aplikację, zablokować ruch z aplikacji, wskazać nieaktualne systemy operacyjne.

Integrując Wandera z systemem MDM/UEM VMware Workspace One automatycznie wykonasz blokowanie dostępu do poczty, danych firmowych, zablokujesz aplikacje, wprowadzisz polityki i restrykcje na urządzenie, wymusisz aktualizację systemów operacyjnych i aplikacji, a nawet wykonasz czyszczenie telefonu w momencie skompromitowania urządzenia.

O autorze

Damian Sieradzon

Absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu na kierunku Informatyka Stosowana. Od początku kariery związany z szeroko rozumianą infrastrukturą IT, zarówno od strony sprzętowej jak i oprogramowania. W EMS Partner zajmuje stanowisko Deputy Director i zarządza obszarem rozwiązań End User Computing. Posiadane certyfikaty: ITIL Foundation, WMware AirWatch Mobility Expert, VMware Certified Professional 7 – Desktop and Mobility, VMware Technical Solution Professional. Miłośnik turystyki motocyklowej i górskiej, zapalony narciarz i fan sportu.

ZAPISZ SIĘ
DO NEWSLETTERA

EMS Partner Sp. z o.o.
ul. Szyperska 14, 61-754 Poznań
tel.: +48 61 624 85 89
info@emspartner.pl

BeyondTrust Distribution Center
Jesteśmy dystrybutorem BeyondTrust na Europę Środkowo-Wschodnią