روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛اپل پس از کشف سه آسیب پذیری حمله zero days 1 که توسط دولت ها برای جاسوسی بر روی فعالیت های فعالان حقوق بشر و روزنامه نگاران انجام شده بود، دستور آپدیت اورژانسی را برای ios داد.
zero days که نیزه سه شاخه نامیده می شود، به مهاجم اجازه می دهد تا کنترل کامل یک آیفون یا یک آیپد را تنها با یک کلیک به دست گیرد. نیزه سه شاخه یک حمله ی زنجیره ای ایجاد میکند که می تواند حتی با دستگاه های جدیدتر ios اپل سازش کند.
zero days برای اپل به صورت کاملا محرمانه توسط لابراتوار سیتیزن و توسط کمپانی امنیتی موبایلLookout فاش شد. کاربران اپل مجبور شدند دستگاه های ios خود را به ورژن 9.3.5 آپدیت کنند.
Andrew Blaich محقق امنیتی در بررسی هایش گفت: "این یک آسیب پذیری جدی است. این نقشه کاملا در خفا و از راه دور طراحی شده است به طوری که یک کاربر تنها با کلیک کردن بر روی یک لینک درگیر آن می شود و سوء استفاده رخ می دهد، به گونه ای که دستگاه جیل بریک2 می شود و نرم افزارهای مخرب بر روی آن نصب می شود". در این رخداد، کاربر هیچ گونه نشانه ای از خطا بر روی دستگاهش مشاهده نمی کند.
طبق لابراتوار سیتیزن، zero-days توسط شرکت نرم افزاری جدال آمیز در اسرائیل که گروه NSO نامیده می شوند، فروخته شد. این شرکت جاسوسی تلفن همراه، نام تجاری(Pegasus) اسب بالدار گرفت و آن را به دولت ها و اشخاص سوم شخص می فروشد که با استفاده از آن جاسوسی روی اهدافی ارزشمند صورت می گیرد.
Ahmed Mansoor در لابراتوار سیتیزن در ماه آگوست در رابطه با Pegasus اعلام کرد، یک شخص فعال حقوق بشر از امارات متحده عربی که با سازمان در ارتباط بوده، مسیجی عجیب به آیفونش از یک شماره تلفن ناشناس ارسال شده بود.
در آن مسیج لینک وبسایتی ناشناخته بود که همراه آن پیامی بود که در آن او را وادار میکرد تا بر روی لینکی که برای دریافت "اسرار جدید" در مورد بازداشت شدگان شکنجه در زندان های امارات متحده عربی بود ، کلیک کند. منصور به جای کلیک کردن بر روی آن لینک، آن مسیج را برای لابراتوار کسپرسکی فوروارد کرد. Bill Marczak و John Scott-Railton محققان ارشد در لابراتوار سیتیزن، لینک را از طریق اتصال به دامنه های اینترنت شناسایی کردند، که بر این باور بودند بخشی از اکسپلویت (کدهای مخربی) است که توسط NSO نمایان شده است.
Scott-Railton گفت: ما بلافاصله پس از شناخت این دامنه به عنوان بخشی از شبکه ی حملات قبلی، آن را بررسی کردیم. امیدواریم بودیم که شبکه هنوز دایر باشد و آماده برای به کار بردن و بهره برداری باشد، ما آن را بر روی آیفون دیدیم و موفق شدیم تا آلودگی را بدست آوریم.
لابراتوار سیتیزن قادر به تعیین میزان آلودگی در گذشته و یا حال توسط Pegasus نشد. با این حال، قادر به مشخص کردن آن شد و منصور تنها کسی نبود که آلوده شده بود، روزنامه نگار مکزیکی، Rafael Cabrera نیز مورد هدف قرار گرفته است. لابراتوار سیتیزن روز پنجشنبه در مورد کشف آن مقاله ای منتشر کرده بود.
Scott-Railton در مصاحبه ای با Threatpost گفته است، این ها نشان می دهد که برخی دولت ها مایلند مقدار زیادی پول را صرف کنند تا به افکار و ارتباطات شخصی، افرادی که در موقعیتی خاص هستند، دست یابند. این تحقیق نشان می دهد سازمان های مستقلی مثل لابراتوار ستیزن می توانند با مخالفان و دیگر گروه هایی که هیچ منبع و پولی برای پرداخت امنیت ندارند، کار کنند. فقط بخاطر اینکه آن ها نمی توانند در برابر آن ها از خود دفاع کنند، البته به این معنی نیست که آن ها مورد هدف نرم افزار های مخرب قرار نخواهند گرفت. او می گوید، هرچه که به جلو می رویم انتظار می رود حملات بیشتری از این نوع مشاهده کنیم.
کمپانی Lookout گفته ؛ حمله ی Pegasus پیچیده ترین حمله ای بوده است که در هر اندپوینتی مشاهده شده است.
Pegasus یک توسعه دهنده حرفه ای و بسیار پیشرفته است که از آن در آسیب پذیری های ziro-day،مبهم کردن و رمزگذاری کدها استفاده می شود. Pegasus در یک عملکرد پیچیده سیستم عامل واژگون شده و ایمنی لایه نرم افزارها را در تماس های صوتی و اپلیکیشن هایی شامل Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram ، برنامه های پیامی اپل و اپلیکیشن های ایمیل و غیره را به دام می اندازد. Pegasus لیست تماس و موقعیت GPS ، همچنین موارد شخصی مثل رمز روتر و وای فای که در دستگاه قربانی ذخیره شده را سرقت می کند.
طبق آنالیزهای فنی در رابطه با نرم افزارهای مخرب در Lookout، اولین ZERO-DAY (CVE3-2016-4655)، یک آسیب پذیری تخریب حافظه در WebKit بروزر موبایل اپل بود.
طبق گفته Lookout ، دومین ZERO-DAY(CVE-2016-4656) بر پایه آسیب پذیری کرنل برنامه ریزی شده است که اطلاعات توسط مهاجمان نشت می کند و به آن ها اجازه ی محاسبه ی حافظه کرنل داده می شود. سومین ZERO-DAY(CVE-2016-4657) تخریب حافظه کرنل است که که منجربه جیلبریک دستگاه می شود. Lookout گفت نسخه های 32 و 64 بیتی IOS که دارای سطح آسیب پذیری کرنل هستند، به مهاجم اجازه می دهد تا دستگاه را به آرامی جیلبریک کند.
Lookout نوشته است: به دنبال آن حمله، نقشه فیشینگ پیش می رود: متنی ارسال می شود(در توییتر یا هرجا مثل اینها) مسیجی با یک URL کاملا عادی و غیر مشکوک، کاربر بر روی آن کلیک می کند، بروزر باز می شود، صفحه بارگذاری می شود، بروزر اکسپلویت یا سیستم عامل آسیب پذیر می شود ، برنامه به منظور جمع آوری اطلاعات و اطمینان نصب می شود که نرم افزار بر روی دستگاه باقی می ماند و تداوم می یابد.
Lookout گفته است: نرم افزار های جاسوسی Pegasus می توانند بر روی تمام تلفن ها، تماس ها، متن مسیج ها جاسوسی کنند و می تواند میکروفن، بلندگو و دوربین تلفن را روشن کند. دسترسی به این محتوا می تواند برای بدست آوردن اطلاعات بیشتر و حساب های دیگر با اهداف دیگری مثل بانکداری، ایمیل و سرویس های دیگر استفاده شود.
Blaic از Lookout معتقد است که از انواع نیزه سه شاخه در سال های قبل در iOS 7 سال 2013 استفاده شده است.
Lookout نوشته است: بنابر گزارش ها گروه NSO صدها نفر کارمند دارد و به طور اثرگذاری به عنوان دلال سایبری از طریق فروش حمله های پیچیده ای که به تلفن های همراه می شود، باعث می شود سالانه میلیون ها دلار درآمد داشته باشد. NSO تنها مثالی از مزدوران سایبری است که ما می دانیم تنها نیست.
1.حملهٔ Zero-Day یا حملهٔ روز صفر (به انگلیسی: Zero-day attack) یک حمله یا تهدید رایانهای است که از یک آسیبپذیری در یک نرمافزار کاربردی که تا پیش از آن ناشناخته بوده است بهرهجویی میکند. این بدان معناست که توسعهدهندگان برای رفع آسیبپذیری صفر روز فرصت داشتهاند.
- Jeailbreak فرآیندی است که با اجرای آن قفل های نرم افزاری باز می شوند و محدودیت هایی که توسط اپل بروی سیستم اعمال شده اند از بین می روند ، این نرم افزارها با تغییراتی که در سیستم و فریمور اعمال می کند اجازه دسترسی به نقاط مختلف را می دهند .
- CVE (شناسه آسیب پذیری) روش شناسهگذاری عمومی است که توسط نرمافزارهای تجاری و متنباز پذیرفته شده است و توسعهدهندگان نرمافزاری بر این باور بودند که این شیوهی کدگذاری آسیبپذیریها روشی ثابت است
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.