نرمافزار جاسوسی Pegasus (پگاسوس) که زمانی به عنوان ابزاری برای هدف قرار دادن روزنامهنگاران و فعالان شناخته میشد، اکنون علیه مدیران اجرایی در بخش خصوصی، از جمله بخشهای مالی، املاک و مستغلات، و لجستیک بهکار میرود.
طیی یک تحقیق انجام شده در دسامبر 2024، یازده مورد جدید از نفوذ پگاسوس در میان 18,000 دستگاه اسکن شده در سطح جهانی شناسایی شد که نشاندهنده تغییر در تاکتیکهای جاسوسی به سمت جاسوسی شرکتی است.
این یافتهها که در آخرین گزارش iVerify تشریح شده است، قابلیت نرمافزار جاسوسی برای عبور از موانع حفاظتی سنتی و جلوگیری از شناسایی توسط اعلانهای تهدید اپل را در نزدیک به 50 درصد از موارد نشان میدهد.
اکسپلویت های zero-click و نفوذ دائمی
پگاسوس که توسط گروه NSO اسرائیل توسعه یافته است، با سوءاستفاده از حملات zero-click (بدون کلیک) و بدون نیاز به هرگونه تعامل با کاربر، دستگاه ها را مورد نفوذ قرار می دهد و معمولا از آسیب پذیری های iMessage و واتساپ سوءاستفاده می کند.
پگاسوس پس از نصب، دسترسی root به سیستمهای iOS و Android پیدا میکند و به مهاجمان امکان میدهد تا پیامهای رمزگذاری شده، مدارک و اسناد مالی را استخراج کنند و حتی میکروفونها را از راه دور فعال نمایند.
بررسی ها نشان میدهد که برخی از دستگاهها از سال 2021 آلوده شدهاند و نسخههای مختلف پگاسوس مانند (v3.8.2 و v4.1.0) از طریق به روزرسانیهای سیستم عامل همچنان فعال باقی ماندهاند!
راکی کول، مدیر ارشد عملیاتی شرکت امنیت سایبری iVerify و تحلیلگر سابق NSA در این خصوص اذعان داشت که دیگر نمیتوان فرض کرد که گوشیهای آیفون و اندروید به طور پیش فرض ایمن هستند. امکاناتی که نشان دهند که گوشی شما به جاسوس افزارها آلوده شده است، در گذشته رایج نبودند.وجود موانع فنی منجر میشد که افراد بسیاری از این موضوع بی خبر بمانند. اکنون شما این امکان را دارید که بدانید آیا گوشی شما به بدافزار تجاری آلوده شده است یا خیر.
نحوه شناسایی
ویژگی “شکار تهدیدات موبایل” iVerify که هر اسکن آن 1 دلار هزینه دارد، شناسایی آثاری از پگاسوس را با ترکیب شناسایی مبتنی بر امضاء، تحلیل اکتشافی و یادگیری ماشین انجام میدهد.
این ابزار به تحلیل آرشیوهای sysdiagnose در سیستم عامل iOS میپردازد، به ویژه فایل Shutdown.log که فرآیندهای غیرعادی را هنگام راه اندازی مجدد (reboot) ثبت میکند. این موضوع نشان دهنده وجود جاسوس افزار است.
به عنوان مثال، فرآیندهای sticky مرتبط با پگاسوس با استفاده از قوانین YARA شناسایی شدهاند (برای مثال، قانون pegasus_shutdown {رشته ها $s1 = “com.apple.apsd” بدون توجه به حروف شرط $s1 }).
ابزار مکمل iShutdown کسپرسکی که در گیت هاب میزبانی میشود، به منظور شناسایی آلودگی ها، فرآیند تجزیه و تحلیل لاگها را به صورت خودکار انجام میدهد.
اسکریپت مبتنی بر پایتون (iShutdown.py) به بررسی شاخصهایی مانند فعالیتهای غیرمنتظره دایمونها یا کلیدهای رمزنگاری شده غیرمجاز میپردازد و هشهای SHA-256 را از فایلهای مشکوک ایجاد میکند تا برای تطابق با پایگاه داده تهدیدات بررسی شوند.
حالت Lockdown اپل که قابلیتی برای جلوگیری از اکسپلویت آسیب پذیریهای شناخته شده است، با وجود پیشرفتهایی که داشته است، در 5 مورد از 11 مورد قادر به جلوگیری از نفوذها نبوده و این امر تطبیق پذیری بالای جاسوس افزار را نشان میدهد.
براساس دادههای iVerify، نرخ نفوذ جهانی به ازای هر دستگاه 1.5 مورد میباشد که نشان دهنده وجود هزاران نفوذ شناسایی نشده است.
جالب اینجاست که 55 مورد از کاربران هک شده، هیچ گونه هشداری از اعلان های تهدید اپل دریافت نکرده و تنها با استفاده از ابزارهای جانبی از نفوذ به دستگاه خود مطلع شدهاند!
اقدامات امنیتی و پیشگیرانه
iVerify به منظور کاهش ریسک توصیه میکند:
- راه اندازی مجدد (reboot) روزانه دستگاه موبایل: نمونههای ناپایدار پگاسوس را با پاک سازی حافظه موقت (RAM) مختل کنید.
- غیرفعال کردن iMessage/FaceTime : این کار سطح حمله برای بردارهای بدون کلیک (zero-click) را کاهش میدهد.
- به روزرسانیهای منظم iOS : به روزرسانی منظم، آسیب پذیریهای مربوط به کِرنل مانند CVE-2024-3596 که در کمیپنهای اخیر پگاسوس مورد استفاده قرار گرفتهاند، پچ میشوند.
با تغییر جهت اپراتورهای پگاسوس به سمت بخش خصوصی، نیاز به ابزارهای شناسایی قابل دسترس بیشتر میشود. روشهای منبع باز iVerify و منابع GitHub کسپرسکی نشان دهنده پیشرفت هستند، اما همکاری سیستماتیک با غولهای فناوری همچنان حیاتی باقی میماند.
در حال حاضر، کسبوکارها باید نظارت پیشگیرانه را پیادهسازی کنند، زیرا ناآگاهی بزرگترین ضعف در دوران نرمافزارهای جاسوسی صنعتی است.
