5 meses após as revelações do uso prolongado do Pegasus, o spyware ataca novamente.
Recentemente, funcionários do Departamento de Estado dos EUA foram alvo de um grupo não identificado usando o software Pegasus da NSO. Após as revelações em julho, expondo que havia atingido jornalistas e autoridades, o malware de espionagem continua a se propagar nos dispositivos móveis de alvos críticos.
Em julho de 2021, 50.000 pessoas foram atingidas diretamente pelo spyware, mas as informações roubadas também envolveram todos os conectados às vítimas, pois às vezes é mais fácil atingir um alvo por meio de sua rede.
Enquanto os sistemas operacionais Android e iOS são desenvolvidos levando em conta a segurança móvel, com tal spyware, o grupo NSO demonstra novamente que as proteções padrão do sistema operacional móvel não são confiáveis o suficiente para manter os dados dos usuários seguros, trazendo à tona a necessidade de adicionar um camada de segurança para todos os dispositivos móveis.
Pegasus, Modus Operandi
Para comprometer alvos de alto valor, o spyware Pegasus explora vulnerabilidades em aplicativos comuns como iMessage, FaceTime, Safari, WhatsApp, etc. que possuem um módulo web (WebKit, WebView…) para alcançar silenciosamente URLs invisíveis e não classificados gerados dinamicamente.
As páginas alcançadas então executam o código JavaScript para explorar vulnerabilidades para sair das caixas de proteção dos aplicativos, ignorando todos os mecanismos existentes nos sistemas Android e iOS.
Uma vez nas camadas do kernel, o Pegasus explora uma sequência de vulnerabilidades de processador de dia zero e conhecidas para executar código arbitrário (Execução de código arbitrário) sem exigir que o sistema seja enraizado ou desbloqueado.
O código é carregado diretamente na RAM e não como um aplicativo, dificultando a detecção. Depois de cumprir todas essas etapas, a Pegasus extrai massivamente os dados dos usuários, inclusive os criptografados (conversas WhatsApp, Signal, Telegram…).
O que aprender com Pegasus
Dispositivos móveis são alvos inegáveis de alto valor
Em 10 anos, o smartphone tornou-se o dispositivo conectado mais utilizado para uso profissional e pessoal. Sempre à mão, ele acessa e armazena quase todos os dados relacionados a um indivíduo: agenda, localizações, contatos, fotos, conversas. Ainda assim, em um momento em que a proteção de dados é cada vez mais aplicada, as práticas de segurança cibernética em vigor não estão à altura da sensibilidade desses dispositivos.
Recentemente, testemunhamos um aumento nos ataques cibernéticos com mais e mais manchetes apontando para violações originadas em dispositivos móveis. A Pegasus traz a realidade da falibilidade multinível de um dispositivo móvel e o amplo alcance de um ataque móvel.
Um dispositivo móvel pode ser comprometido no nível do aplicativo, da rede e do sistema operacional. Para 76% das violações de dados móveis, os aplicativos estão envolvidos. Em média, 3 em cada 5 aplicativos têm vulnerabilidades e/ou backdoors que podem ser explorados para exfiltrar dados. Além dos aplicativos, as conexões de rede (celular, WiFi, BlueTooth, NFC…) representam outro ponto de acesso direto aos dados que transitam dos dispositivos móveis pela rede, expondo-os a espionagem ou infectando-os com códigos maliciosos recebidos. E, finalmente, as configurações incorretas e vulnerabilidades do sistema operacional podem ser exploradas para aumentar os privilégios e acessar os dados dos usuários armazenados no dispositivo. Pegasus atua em cada um desses níveis para espionar suas vítimas.
iOS não é uma fortaleza inexpugnável
Até agora, a crença comum era que a abordagem de bloqueio inerente ao sistema iOS o tornava invulnerável a ataques cibernéticos. O Projeto Pegasus rejeitou definitivamente esse mito urbano com, entre outros casos, um iPhone 12 Pro Max rodando a versão mais recente do sistema 14.6 sendo comprometido por um ataque zero-clique por meio de uma exploração de vulnerabilidade zero-day do iMessage em junho de 2021.
“Quando estamos falando de algo como um iPhone, todos estão executando o mesmo software em todo o mundo. Então, se eles encontrarem uma maneira de hackear um iPhone, eles encontraram uma maneira de hackear todos eles.” comentou Edward Snowden.
Apesar dos esforços consideráveis iniciados pela Apple, o iOS é falível como qualquer sistema e o fato de a maioria dos dispositivos rodarem simultaneamente na mesma versão tem seu lado negativo. O cenário de ameaças cibernéticas está em constante evolução e invadir o sistema da Apple é uma atividade empolgante e lucrativa para os hackers.
Vigilância em larga escala não é uma história nova
Pegasus destaca a profundidade de um ataque em grande escala contra chefes de estado, figuras políticas ou jornalistas. No entanto, não se deve iludir que a vigilância é realizada diariamente por meio de abordagens orientadas para o setor, hackers de exfiltração de dados não direcionados e até práticas comuns de marketing. A dark web está repleta de corretores de dados que monetizam dados de 1 milhão de usuários ativos por uma média de 4.000 USD/mês.
Portanto, todos os usuários móveis e todas as empresas devem se preocupar com a forma como os dados são tratados em dispositivos móveis e quais medidas estão em vigor para evitar a exfiltração de dados.
Nossa diretriz global
Uma solução de segurança eficaz para dispositivos móveis deve fornecer funcionalidades inovadoras e avançadas para acompanhar especificamente a cibercriminalidade móvel. A diretriz principal que o Pradeo fornece é implementar uma solução de segurança móvel dedicada, em vez de um serviço completo que apenas apresentará a resposta às ameaças móveis.
• Proteja todo o seu ambiente móvel
Tanto o Android quanto o iOS têm centenas de vulnerabilidades detectadas e corrigidas todos os anos, e o mesmo vale para aplicativos móveis usados nesses ambientes.
• Use recursos de segurança adaptáveis
Cada organização atribui uma importância diferente a cada dado de acordo com sua atividade, seus padrões de segurança, o setor ao qual pertence etc. Para proteger os dados que mais valorizam, as equipes de segurança devem contar com políticas granulares de detecção e resposta a ameaças que podem ser personalizadas para refletir suas necessidades específicas.
• Condicione o acesso aos recursos da empresa
Para garantir que nenhuma ameaça espione seus recursos confidenciais por meio dos dispositivos móveis que os acessam, o acesso condicional baseado em segurança é a melhor prática recomendada. Dessa forma, quando um dispositivo apresenta uma ameaça, seu acesso aos recursos da empresa é negado.
• Analisar eventos de segurança
A visibilidade unificada dos eventos de segurança deve ser alcançada através de uma solução SIEM (Security Information and Event Management). Ele visa reunir eventos em ambientes (PCs, servidores e celulares) para fins forenses e aproveita a granularidade de uma detecção móvel dedicada para análise cruzada e avançada.
Por: Roxane Suau
Fonte: Pradeo