Hogyan működnek a zero-click támadások, és hogyan védekezhetünk ellenük

Zero-click exploit létrehozása komoly szaktudást és jelentős erőforrásokat igényel. A zero-click működéséhez szükséges sebezhetőségek, hogy finoman fogalmazzunk, nem könnyen felfedezhetők - az ilyen biztonsági problémákkal kapcsolatos információk több százezer dollárt, ha nem milliókat érhetnek a feketepiacon.

Ez azonban nem jelenti azt, hogy ritkák lennének a zero-click exploitokat használó támadások. A sebezhetőségekről szerzett információkat (beleértve azokat, amelyek alkalmasak zero-click kizsákmányolás létrehozására) gyakran kutatók teszik közzé az interneten, néha akár még koncepcióbizonyító kódokkal együtt is. Vagyis idővel bármely kiberbűnöző, aki követi az információbiztonsági híreket, képes lesz felhasználni ezt a sebezhetőséget a malware-jében. És ugyan a szoftvertervezők igyekeznek minél gyorsabban kijavítani ezeket a sebezhetőségeket, de, mint tudjuk, nem mindenki telepíti azonnal a frissítéseket.

Ne feledjük el az IoT-eszközök, szerverek és más kapcsolódó rendszerek, például a hálózati tároló (NAS) eszközök sebezhetőségeit sem. Az összes eszköz olyan környezetben működik, ahol nincs folyamatos emberi ellenőrzés, és így az őket érintő támadások nem támaszkodnak felhasználói cselekvésre. Mindenképpen érdemes tudni a zero-click támadásokról; és még jobb, ha intézkedéseket is teszünk vállalatunk védelme érdekében ellenük.

Néhány, a valós életből vett példa segítségével lássuk, hogyan működnek a zero-click támadások a gyakorlatban, és milyen módszereket alkalmaznak ezeknek az exploitoknak a létrehozói céljaik eléréséhez.

Nemrég a Kaspersky cégének alkalmazottait ismeretlen csoport támadta meg többek között egy zero-click exploitot alkalmazva. Miután felfedezték, a kémkedési kampányt Háromszögelési műveletnek nevezték el. Az Apple iMessage szolgáltatásának használatával az elkövetők üzenetet küldtek az áldozat iPhone-jára egy speciális melléklettel, amely egy exploitot tartalmazott. Egy korábban ismeretlen iOS sebezhetőségnek köszönhetően ez az exploit felhasználói beavatkozás nélkül elindította a rosszindulatú kód végrehajtását, amely csatlakozott egy C2 szerverhez, és fokozatosan egy további rosszindulatú payloadot töltött be. Először előzetes jogosultságokat adott további exploitok segítségével, majd elindította a teljes körű APT platformot.

Az iPhone belső biztonsági mechanizmusainak megkerüléséhez a platform kizárólag az eszköz RAM-jában működött. Ez lehetővé tette az elkövetők számára, hogy információkat gyűjtsenek a tulajdonosról, és további pluginokat indítsanak el a C2 szerverekről letöltve. A fertőzést csak a hálózati eseményfigyelő és elemző rendszerüknek köszönhetően észlelték a Kaspersky munkatársai.

Természetesen az Apple gyorsan kijavította ezt a sebezhetőséget, de nem ez volt az első eset, hogy az iMessage-ben egy hibát használtak ki, ami lehetővé teszi az iPhone láthatatlan malware-vel történő fertőzését. Mivel az elkövetők aktívan kutatják ezt a szolgáltatást, nincs garancia arra, hogy nem fognak találni valamilyen alternatív módszert, és azt felhasználni (lehetséges, hogy még tömeges támadásokhoz is).

Egy másik viszonylag friss példa: nemrégiben az Apple kiadott egy fontos frissítést az iOS, macOS és néhány más szoftvertermék számára, amely súlyos sebezhetőségeket javított ki. A WebKitben (az Apple Safari böngésző által használt böngészőmotor) található sebezhetőséget egy zero-click exploit használta ki, amely része az Intellexa Predator kémprogramnak.

Először az elkövetők megvárták, hogy az áldozat egy olyan weboldalt látogasson meg, amelynek kapcsolata nem használ titkosítást (azaz HTTP-t, nem HTTPS-t). Ezután "man-in-the-middle" (MITM – amikor az áldozatot egy másik oldalra irányítják úgy, hogy ő azt gondolja, azon az oldalon van, amire szeretett volna eljutni, majd ott kicsalnak tőle minden fontos információt) támadást hajtottak végre az áldozatot az egy fertőzött oldalra irányítva. Ezt követően a Safari böngészőben található említett sebezhetőséget kihasználták - ez lehetővé tette az elkövetők számára, hogy tetszőleges kódot hajtsanak végre az iPhone-on az áldozat részéről történő bármilyen cselekvés nélkül. Ezután a bűnözők további sebezhetőségeket használtak fel a kémprogram telepítéséhez a kompromittált iPhone-on.

A kutatók hasonló exploit láncot is felfedeztek az Android okostelefonok fertőzéséhez, amelyet a Predator készítői használtak. Ebben az esetben a zero-click támadást a Chrome böngészőből hajtották végre.

A Kaspersky idén már beszámolt hasonló jellegű sebezhetőségekről mind az Apple Safari, mind a Google Chrome esetében. Mindezek lehetővé teszik rosszindulatú weboldalak létrehozását, amelyek pedig malware-rel fertőzhetik meg azoknak a felhasználóknak a telefonjait vagy számítógépeit, akik meglátogatják azokat - ismételten az áldozatok részéről történő további cselekvés nélkül.

Mivel a zero-click támadások fő veszélye abban rejlik, hogy a készítőknek nincs szükségük az áldozat aktív cselekvésére, az online higiénia általában nem sokat segít ezekben az esetekben. Ugyanakkor még mindig vannak olyan lépések, amelyeket az eszközök védelme érdekében megtehetünk:

1. Tartsd frissen a szoftvert - különösen az operációs rendszert és az azon telepített összes böngészőt.
2. Ha aggódsz a magas szintű kereskedelmi kémprogramok (például az NSO Pegasus) által alkalmazott támadások miatt, nézz utána, hogyan védekezhetsz ellenük (például a Kaspersky oldalán).
3. iPhone felhasználók számára hasznos a Lockdown Mode használata. Ez a mód részleges védelmet nyújt komoly támadások ellen, de semmiképpen ne tekintsd csodaszernek.
4. Az összes vállalati eszközt biztosítsd megbízható védelmi megoldással, amely gondoskodik a biztonságról olyankor is, amikor az új sebezhetőségeket már kihasználják, de a megfelelő javítások még nem jelentek meg.
5. Ez vonatkozik az iOS-re is. Igen, az Apple politikája miatt nincsenek teljes értékű antivírus megoldások ezen operációs rendszerre. Azonban a Kaspersky Endpoint Security for Business tartalmaz egy alkalmazást, amely legalább blokkolja a veszélyes weboldalakat, csökkentve ezzel a böngészőben kihasználható sebezhetőségek valószínűségét.

forrás: Kaspersky blog