Πέμπτη 8 Σεπτεμβρίου 2022

«Ο θηρευτής, ο πήγασος και ο χρυσάωρ»

 

Αρσεις απορρήτου των επικοινωνιών για λόγους «εθνικής ασφάλειας»
Αρσεις απορρήτου των επικοινωνιών για λόγους «εθνικής ασφάλειας»
Μέχρι πρότινος γνωρίζαμε από τα στοιχεία των εκθέσεων της ΑΔΑΕ ότι η όρεξη της κυβέρνησης, του αστικού κράτους και των υπηρεσιών του (βλέπε ΕΥΠ κ.ά.) για παρακολουθήσεις έχει ανοίξει για τα καλά. Ο αριθμός των άρσεων απορρήτου από 7.182 το 2017 έφτασε το 2021 τις 15.475, δηλαδή υπερδιπλασιάστηκε!

Μετά τις πρόσφατες αποκαλύψεις σχετικά με τις παρακολουθήσεις - υποκλοπές των κινητών του προέδρου του ΚΙΝΑΛ, Νίκου Ανδρουλάκη, των δημοσιογράφων αλλά και τις επί 6 χρόνια αναπάντητες καταγγελίες του ΚΚΕ για την παρακολούθηση των τηλεφώνων του, έγινε καθαρό ότι υπάρχει ένα βαθιά αντιδραστικό νομικό πλαίσιο που έχουν ψηφίσει τα αστικά κόμματα και οι κυβερνήσεις τους, το οποίο προβλέπει ακόμη και όποιος παρακολουθείται να μην το μαθαίνει ποτέ. Στο έδαφος αυτού του τερατώδους πλαισίου εντείνεται συνεχώς η καταστολή του «εχθρού» λαού, περιστέλλονται οι λαϊκές ελευθερίες και ανοίγουν διάπλατα οι δυνατότητες να παραβιάζεται η ιδιωτικότητα του λαού, των εργαζομένων και της νεολαίας με αξιοποίηση κάθε δυνατού μέσου, όπως είναι οι εφαρμογές παρακολούθησης για έξυπνα κινητά made in Israel (!)...

Τα γνωστά πλέον σε όλους μας λογισμικά παρακολούθησης (spyware) με όνομα predator, pegasus & chrysaor υπάρχουν αρκετά πριν από την εμφάνιση του σκανδάλου των υποκλοπών στη χώρα μας. Εχουν απασχολήσει διεθνώς όσους ασχολούνται με την κυβερνοασφάλεια από το 2016 περίπου, με πρώτο να εμφανίζεται το Pegasus το οποίο είχε συσχετισθεί με την παρακολούθηση του Ahmed Mansoor από την κυβέρνηση των Ηνωμένων Αραβικών Εμιράτων, η οποία είχε αγοράσει το συγκεκριμένο λογισμικό από την εταιρεία «NSO Group» (Ισραήλ)1. Βέβαια, οι συγκεκριμένες τρεις εφαρμογές στις οποίες αναφερόμαστε σίγουρα δεν είναι οι μοναδικές που υπάρχουν. Σε αναφορά του Ευρωπαϊκού Κοινοβουλίου με τίτλο «Pegasus and surveillance spyware», η οποία εκδόθηκε τον Μάη του 2022, αναφέρεται μια εκτενής λίστα με λογισμικά παρακολούθησης2.

Pegasus
 

Συνήθως, για να αξιοποιηθεί η ευπάθεια του λογισμικού χρειάζεται κάποια ενέργεια από το θύμα της επίθεσης, όπως π.χ. να ανοίξει συνδέσμους που του στέλνονται με κάποιο μήνυμα
Συνήθως, για να αξιοποιηθεί η ευπάθεια του λογισμικού χρειάζεται κάποια ενέργεια από το θύμα της επίθεσης, όπως π.χ. να ανοίξει συνδέσμους που του στέλνονται με κάποιο μήνυμα
Το λογισμικό παρακολούθησης Pegasus έχει παραχθεί από το 2011. Ενδιαφέρον στοιχείο είναι ότι το Pegasus ήταν φτιαγμένο ώστε να μη γίνεται εφικτή τεχνικά η παρακολούθηση αμερικανικών αριθμών τηλεφώνων και αργότερα βγήκε ειδική έκδοση η οποία είχε προγραμματιστεί προκειμένου να τα περιλαμβάνει ώστε να καλύψει και τις απαιτήσεις της αμερικανικής αγοράς. Το συγκεκριμένο λογισμικό θεωρείται όπλο από την κυβέρνηση του Ισραήλ και υποτίθεται ότι η εταιρεία που το παράγει το πουλάει μόνο κατόπιν άδειας της κυβέρνησης.

Το Pegasus είναι φτιαγμένο για κινητά IPhone (Apple). Το λογισμικό Pegasus εγκαθίσταται στις κινητές συσκευές μέσω κάποιων ευπαθειών οι οποίες έχουν ανακαλυφθεί από ερευνητές ασφαλείας χωρίς να τις έχουν κάνει όμως γνωστές ούτε στο ευρύ κοινό αλλά ούτε καν στην «Apple». Οι ευπάθειες αυτές είναι γνωστές ως zero days3. Συνήθως, για να αξιοποιηθεί μια τέτοια ευπάθεια χρειάζεται κάποια ενέργεια από το θύμα της επίθεσης, π.χ. να λάβει ένα SMS4 με ένα κακόβουλο link το οποίο οδηγεί σε μια εφαρμογή, η οποία αξιοποιεί / εκμεταλλεύεται την ευπάθεια για να εγκαταστήσει το spyware στην κινητή συσκευή.

Δεν αποκλείεται όμως να υπάρχουν ευπάθειες zero day οι οποίες να μη χρειάζονται καθόλου την παρέμβαση του θύματος παρά μόνο του θύτη5. Τέτοια είναι η γνωστή ευπάθεια ως «zero-click imessage»6, η οποία είχε αξιοποιηθεί για την παρακολούθηση στόχων στην Καταλονία αλλά και Ευρωπαίων.

Μόλις εγκατασταθεί το Pegasus αποκτά πρόσβαση σε όλη τη συσκευή και τις εφαρμογές της: Στο μικρόφωνο, στα emails, στα SMS, στην τοποθεσία συσκευής, στις λεπτομέρειες του δικτύου, στις ρυθμίσεις συσκευής, στο ιστορικό του browser, στις επαφές, στα κοινωνικά δίκτυα, στις διάφορες εφαρμογές μηνυμάτων (viber, messenger, whatsup κ.λπ.), στις κλήσεις, στο ημερολόγιο, στα αρχεία, στις φωτογραφίες και στην κάμερα.

Η εφαρμογή αφού συλλέξει τα δεδομένα από τη συσκευή του στόχου τα μεταφέρει μέσω ενός ανωνυμοποιημένου δικτύου που έχει φτιαχτεί ειδικά γι' αυτόν τον σκοπό από την «NSO Group». Το δίκτυο ανωνυμοποίησης δημιουργείται στην πράξη μέσω μιας αλυσίδας ενδιάμεσων κόμβων (proxy chain system).

Αφού εγκατασταθεί το Pegasus σε ένα iphone τρέχουν σε αυτό διάφορες διεργασίες (processes) οι οποίες είναι μεταμφιεσμένες με ονόματα τα οποία μοιάζουν με αυτά των πραγματικών διεργασιών του λειτουργικού συστήματος των iphone (iOS) ώστε να μην είναι εύκολα ανιχνεύσιμο ως κακόβουλο λογισμικό από τους εκάστοτε αναλυτές ασφάλειας. Στην ίδια κατεύθυνση σβήνει με αρκετά μεγάλο ποσοστό επιτυχίας τα ίχνη στις καταγραφές του συστήματος (logs) καθώς και το ιστορικό των φυλλομετρητών (browsers/Safari) οι οποίοι χρησιμοποιούνται για να φτάσει το θύμα μέσω των κακόβουλων συνδέσμων στον θύτη και να εγκατασταθεί το κακόβουλο λογισμικό με επιτυχία μέσω των υποδομών/εξυπηρετητών (servers) του επιτιθέμενου/θύτη.

Το Pegasus διαθέτει επίσης λειτουργία «αυτοκτονίας», πράγμα που σημαίνει ότι μπορεί να απεγκατασταθεί κατ' απαίτηση του θύτη/επιτιθέμενου.

Το Pegasus όσο και να έχει προγραμματιστεί ώστε να μην αφήνει ίχνη μόλυνσης σε μια συσκευή έχει παρατηρηθεί από ειδικούς αναλυτές εξειδικευμένους σε λειτουργικά συστήματα iOS ότι κάποια ίχνη μένουν στις μολυσμένες συσκευές.

Η Διεθνής Αμνηστία έχει δημιουργήσει ένα εργαλείο που ενσωματώνει τη γνώση των ερευνητών μέχρι τώρα και ανανεώνεται συχνά, το οποίο μπορεί να ελέγξει μια συσκευή για το αν έχει κάποιες ενδείξεις προσβολής από το Pegasus. Το συγκεκριμένο έργο ονομάζεται MVT (Mobile verification Toolkit)7. Επιπλέον αντίμετρα για να αποφύγει κάποιος χρήστης τη μόλυνση είναι να μην πατάει οποιοδήποτε λινκ λαμβάνει χωρίς δεύτερη σκέψη. Να μην έχει ενεργοποιημένο το iMessage, το facetime, να εγκαθιστά όλες τις ενημερώσεις στη συσκευή του και να κάνει καθημερινά επανεκκίνηση την κινητή συσκευή του.

Σε έκθεση της Διεθνούς Αμνηστίας8γίνεται εκτενής τεχνική αναφορά στη συμπεριφορά του συγκεκριμένου λογισμικού.

Σχετικά με το Pegasus αξίζει να σημειωθεί ότι ο κώδικας του συγκεκριμένου έχει διαρρεύσει στο dark web από το 2018 και πωλούνταν αρχικά για 50 εκατ. δολάρια. Πράγμα που σημαίνει ότι από τότε και έπειτα δεν έχουν πρόσβαση μόνο τα κράτη, οι κυβερνήσεις και οι μυστικές υπηρεσίες αλλά και άλλοι9, 10που έχουν την οικονομική δυνατότητα να το προμηθευτούν.

Chrysaor

Το Chrysaor είναι γνωστό και ως «Pegasus for Android», κατασκευασμένο πάλι από ό,τι φαίνεται από την ισραηλινή εταιρεία «NSO Group». Η «Google» τον Απρίλη του 2017 δημοσίευσε μια αναφορά σχετική με το Chrysaor, στην οποία ενημέρωνε τους χρήστες Android συσκευών για το συγκεκριμένο κακόβουλο λογισμικό11.

Το Chrysaor σε αντίθεση με το Pegasus φαίνεται ότι αρχικά δεν χρησιμοποίησε zero day ευπάθειες για να εγκατασταθεί στις συσκευές - στόχους. Για τη μόλυνση αυτών των συσκευών φαίνεται ότι χρησιμοποιήθηκαν κλασικές επιθέσεις ηλεκτρονικού ψαρέματος (phising attacks)12.

Μόλις εγκατασταθεί στη συσκευή η συγκεκριμένη εφαρμογή αντίστοιχα με το Pegasus αποκτάει πρόσβαση σε όλα τα μέρη της (μικρόφωνο, κάμερα, κλήσεις, SMS κ.λπ.) και συλλέγει δεδομένα. Κάποιες από τις εφαρμογές που έχει αποδειχθεί ότι παρακολουθεί το Chrysaor είναι οι εξής: WhatsApp, Skype, Facebook, Viber, Kakao, Twitter, Gmail, Android's Native Browser or Chrome, Android's Native Email, Calendar.

Κατ' αναλογία με το Pegasus, εδώ προσπαθεί αντίστοιχα να μην αποκαλυφθεί κατά τη διάρκεια ελέγχων ασφαλείας στην κινητή συσκευή και εκτελεί διάφορες αλλαγές στο Android OS. Το Chrysaor διαθέτει επίσης λειτουργία αυτόματης απεγκατάστασης σε διάφορες περιπτώσεις όπως όταν δεν ισχύει ο τηλεφωνικός αριθμός του συγκεκριμένου συνδρομητή ή έχει χαθεί η επικοινωνία με τους κεντρικούς εξυπηρετητές του θύτη/ επιτιθέμενου.

Το application Chrysaor μπορεί να ανιχνευθεί με διάφορους τρόπους, όπως κακόβουλα links που προσπαθεί να επισκεφθεί η ίδια η εφαρμογή ή ο χρήστης από την «Google», κακόβουλα εγκατεστημένα αρχεία στη συσκευή του θύματος κ.ά. Απαραίτητη προϋπόθεση είναι να χρησιμοποιούνται οι τρόποι επίθεσης που ήδη έχουν ανιχνευθεί από ερευνητές ασφάλειας και όχι η ίδια εφαρμογή κάπως παραλλαγμένη διότι αυτό κάνει την ανίχνευση πιο δύσκολη.

Επιπλέον αντίμετρα για να αποφύγει κάποιος χρήστης τη μόλυνση είναι όπως και για το Pegasus και όλα τα κακόβουλα λογισμικά να μην πατάει οποιοδήποτε λινκ λαμβάνει χωρίς δεύτερη σκέψη. Ο κάθε χρήστης πρέπει να εγκαθιστά εφαρμογές μόνο από αξιόπιστες πηγές, π.χ. Google play. Να έχει πάντα κλειδωμένη οθόνη και να εγκαθιστά πάντα τις ενημερώσεις λογισμικού Android.

Ερευνητές της εταιρείας «Lokout» έχουν προχωρήσει σε εκτενή τεχνική ανάλυση, από την οποία μπορεί κανείς να αλιεύσει περαιτέρω λεπτομέρειες για το Chrysaor13.

Predator

Το Predator είναι κατασκευασμένο από την «Cytrox» με έδρα τη Β. Μακεδονία, η οποία είναι μέλος του Intellexa Alliance με έδρα (μαντέψτε!) το Ισραήλ και έγινε ευρέως γνωστό στη χώρα μας με το πρόσφατο σκάνδαλο. Στον χώρο της κυβερνοασφάλειας είναι γνωστό από το 2021 όταν πρωτοβρέθηκε στις συσκευές 2 Αιγυπτίων, στον έναν εκ των οποίων (Ayman Nour) είχαν εγκαταστήσει αρχικά το Pegasus και μετά και το Predator14!

Το Predator έχει τη δυνατότητα να μολύνει συσκευές που «τρέχουν» Apple iOS ή Αndroid λειτουργικό σύστημα. Το Predator προκειμένου να μολύνει μια συσκευή χρησιμοποιεί zero day ευπάθειες που φαίνεται ότι μέχρι στιγμής απαιτούν κάποια ενέργεια από το θύμα μετά από κάποια καμπάνια phising.

Γενικά λειτουργεί περίπου όπως τα προηγούμενα. Ενδεικτικά κάποιες εφαρμογές σε iOS που παρακολουθεί: App Store, Camera, Mail, Maps, Safari, as well as third-party apps including Twitter, Instagram, Facebook Messenger, LinkedIn, Skype, SnapChat, Viber, Wire, TikTok, Line, OpenVPN, WhatsApp, Signal και Telegram.

Η ειδοποιός διαφορά από το Pegasus είναι ότι παραμένει εγκατεστημένο σε μια συσκευή σταθερά και αφού επανεκκινηθεί από τον χρήστη15.

Τα αντίστοιχα ίχνη εκτελέσιμων αρχείων και μετατροπών στο λειτουργικό σύστημα υπάρχουν και σε αυτήν την περίπτωση και μπορούν να ανιχνευθούν από έναν έμπειρο αναλυτή εξειδικευμένο σε iOS ή Android. Επίσης, η προσβολή από το Predator μπορεί να γίνει αντιληπτή από την επίσκεψη της συσκευής σε διάφορα κακόβουλα links.

Πέρα από την προσοχή του χρήστη σχετικά με το τι links πατάει και τα συχνά updates που αναφέραμε και παραπάνω, η «Apple» έχει δημιουργήσει μια νέα λειτουργία που ονομάζεται lockdown mode και έρχεται να προστατέψει υποτίθεται από όλα αυτά τα λογισμικά παρακολούθησης16.

Το μέγιστο κέρδος - κριτήριο και για την αποκάλυψη των 0-day ευπαθειών

Οι ερευνητές κυβερνοασφάλειας κάνουν μια συνεχή προσπάθεια να βρεθούν νέες ευπάθειες για εκμετάλλευση σε κάθε είδους έξυπνες κινητές συσκευές. Αποτέλεσμα αυτής της έρευνας είναι συνεχώς να προκύπτουν νέα στοιχεία, για αδυναμίες/ευπάθειες των συστημάτων οι οποίες μπορούν να προσφέρουν μη εξουσιοδοτημένη πρόσβαση κάποιου θύτη επάνω στο smartphone ενός θύματος.

Τα αποτελέσματα της έρευνας αυτής δεν αποκλείεται σε κάποιες περιπτώσεις να πωλούνται αρκετά ακριβά σε εταιρείες τύπου «Cytrox», «NSO Group» κ.λπ. Οι ευπάθειες αυτές πωλούνται και αγοράζονται στο dark webb και συμπληρώνουν έτσι τις εκάστοτε εφαρμογές παρακολούθησης σε ένα θελκτικό πακέτο για τους υποψήφιους αγοραστές (κυβερνήσεις, αστικά κράτη, μυστικές υπηρεσίες κ.λπ.).

Εχει λοιπόν διαμορφωθεί ένα περιβάλλον εχθρικό και επικίνδυνο για τα λαϊκά δικαιώματα όπου το λεγόμενο απόρρητο των επικοινωνιών φαντάζει ανέκδοτο. Ολα αυτά καλύπτει και το τερατώδες αντιδραστικό θεσμικό πλαίσιο που δημιούργησαν και διατήρησαν διαχρονικά όλες οι κυβερνήσεις της χώρας μας σε συνεργασία με την Ευρωπαϊκή Ενωση.

Καμία εμπιστοσύνη λοιπόν σε αυτό το σάπιο σύστημα και το κράτος του. Ο λαός να μην εγκλωβιστεί στις φαγωμάρες μεταξύ μεγάλων επιχειρηματικών και άλλων συμφερόντων, μεταξύ των αστικών κομμάτων που αφήνουν ανέγγιχτες τις αιτίες του προβλήματος. Με τον αγώνα του για τη ζωή που μας αξίζει και δικαιούμαστε και σε συμπόρευση με το ΚΚΕ μπορεί να τους χαλάσει τα σχέδια.

Παραπομπές

1. https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

2. https://www.europarl.europa.eu/RegData/etudes/IDAN/2022/732268/IPOL_IDA(2022)732268_EN.pdf

3. https://en.wikipedia.org/wiki/Zero-day_(computing)

4. https://www.kaspersky.com/resource-center/threats/what-is-smishing-and-how-to-defend-against-it

5. https://www.kaspersky.com/resource-center/definitions/what-is-zero-click-malware

6. https://www.bleepingcomputer.com/news/security/newly-found-zero-click-iphone-exploit-used-in-nso-spyware-attacks/

7. https://github.com/mvt-project

8. https://www.amnesty.org/en/documents/doc10/4487/2021/en/

9. https://www.csoonline.com/article/3287968/when-an-insider-rides-pegasus-into-the-dark-web.html

10. https://www.techrepublic.com/article/programmer-tried-to-sell-cyberweapon-on-dark-web-for-50m-reminder-to-secure'-employees/

11. https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html

12. https://www.ncsc.gov.uk/guidance/phishing

13. https://threatfox.abuse.ch/browse/malware/apk.chrysaor/

14. https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-android-technical-analysis.pdf

15. https://hackernoon.com/how-to-detect-if-an-ios-device-is-jailbroken-263u3tdj

16. https://www.bleepingcomputer.com/news/security/google-predator-spyware-infected-android-devices-using-zero-days/

17. https://deibert.citizenlab.ca/2021/12/new-citizen-lab-report-pegasus-vs-predator/


Αρθρo ειδικού συνεργάτη μας

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου