Rimanere al sicuro da Pegasus, Chrysaor e altri malware mobile APT

Come proteggere il vostro iPhone o smartphone Android da Pegasus e simili APT mobili.

Forse la più grande storia del 2021, un’indagine del Guardian e di altre 16 organizzazioni di media, pubblicata a luglio, ha suggerito che oltre 30.000 attivisti dei diritti umani, giornalisti e avvocati in tutto il mondo potrebbero essere stati presi di mira utilizzando Pegasus. Pegasus è un cosiddetto “software di sorveglianza legale” sviluppato dalla società israeliana NSO. Il report, chiamato Pegasus Project, sosteneva che il malware è stato distribuito ampiamente attraverso una varietà di exploit, compresi diversi zero-click zero-days di iOS.

Sulla base dell’analisi forense di numerosi dispositivi mobili, il Security Lab di Amnesty International ha scoperto che il software è stato ripetutamente usato in modo abusivo per la sorveglianza. La lista delle persone prese di mira include 14 leader mondiali e molti altri attivisti, sostenitori dei diritti umani, dissidenti e figure dell’opposizione.

Più tardi a luglio, rappresentanti del governo israeliano hanno visitato gli uffici di NSO come parte di un’indagine sulle affermazioni. In ottobre, la Corte Suprema dell’India ha commissionato un comitato tecnico per indagare sull’uso di Pegasus per spiare i suoi cittadini. Apple ha annunciato, a novembre, che stava intraprendendo un’azione legale contro NSO Group per lo sviluppo di software che prende di mira i suoi utenti con “malware e spyware maligni”. Infine, ma non meno importante, a dicembre, Reuters ha pubblicato che i telefoni del Dipartimento di Stato degli Stati Uniti sono stati violati con il malware NSO Pegasus, come avvertito da Apple.

Negli ultimi mesi abbiamo ricevuto molte domande da utenti preoccupati in tutto il mondo su come proteggere i loro dispositivi mobili da Pegasus e altri strumenti e malware simili. Stiamo cercando di affrontare questo argomento nell’articolo attuale, con l’osservazione che nessun elenco di tecniche di difesa può mai essere esaustivo. Inoltre, poiché i criminali informatici cambiano il loro modus operandi, anche le tecniche di protezione dovrebbero essere adattate.

Come rimanere al sicuro da Pegasus e altri spyware avanzati per cellulari

Prima di tutto, dovremmo iniziare dicendo che Pegasus è un toolkit venduto agli stati nazionali a prezzi relativamente alti. Il costo di un deployment completo può facilmente raggiungere milioni di dollari. Allo stesso modo, altri malware APT mobili possono essere distribuiti attraverso exploit 0-day a zero click. Questi sono estremamente costosi, per esempio, Zerodium, una società di intermediazione di exploit paga fino a 2,5 milioni di dollari per una catena di infezioni zero-click Android con persistenza:

Nel listino di Zerodium le vulnerabilità di persistenza valgono fino a 2,5 milioni di dollari

Fin dall’inizio, questo trae un’importante conclusione: il cyber-spionaggio sponsorizzato dagli stati nazionali è un’impresa dalle mille risorse. Quando un attore di minacce può permettersi di spendere milioni, potenzialmente decine di milioni o addirittura centinaia di milioni di dollari per i propri programmi offensivi, è molto improbabile che un obiettivo sia in grado di evitare di essere infettato. Per dirlo in parole più semplici, se si è presi di mira da un tale attore, non è una questione di “se si può essere infettati”, è in realtà è solo una questione di tempo e di risorse prima di essere infettati.

Ora, per quanto riguarda le buone notizie, lo sviluppo degli exploit e la guerra informatica offensiva sono spesso più un’arte che una scienza esatta. Gli exploit devono essere messi a punto per specifiche versioni del sistema operativo e hardware e possono essere facilmente contrastati da nuove versioni del sistema operativo, nuove tecniche di mitigazione o anche piccole cose come eventi casuali.

Con questo in mente, l’infezione e il targeting sono anche una questione di costi e di rendere le cose più difficili per gli attaccanti. Anche se non siamo sempre in grado di prevenire lo sfruttamento e l’infezione del dispositivo mobile, possiamo cercare di renderlo il più difficile possibile per gli aggressori.

Come lo facciamo in pratica? Ecco una semplice lista di controllo.

Come proteggersi dallo spyware avanzato su iOS

Riavviate ogni giorno. Secondo la ricerca di Amnesty International e Citizen Lab, la catena di infezioni di Pegasus spesso si basa su zero-click 0-days senza persistenza, quindi il riavvio regolare aiuta a pulire il dispositivo. Se il dispositivo viene riavviato quotidianamente, gli aggressori dovranno reinfettarlo più e più volte. Col tempo, questo aumenta le possibilità di rilevamento; potrebbe verificarsi un crash o potrebbero essere registrati artefatti che rivelano la natura furtiva dell’infezione. In realtà, questa non è solo teoria, è pratica – abbiamo analizzato un caso in cui un dispositivo mobile è stato preso di mira attraverso un exploit zero-click (probabilmente FORCEDENTRY). Il proprietario del dispositivo ha riavviato regolarmente il proprio dispositivo e lo ha fatto nelle 24 ore successive all’attacco. I criminali informatici hanno cercato di prenderlo di mira ancora un paio di volte, ma alla fine hanno rinunciato dopo essere stati presi a calci un paio di volte attraverso i riavvii.

NoReboot: un falso riavvio per ottenere un accesso al sistema

Disattivate iMessage. iMessage è integrato in iOS ed è abilitato di default, rendendolo un vettore di sfruttamento attraente. Poiché è abilitato di default, è un meccanismo di consegna top per le catene zero-click e per molti anni, gli exploit di iMessage sono stati molto richiesti, con pagamenti top alle società di intermediazione di exploit. “Durante gli ultimi mesi, abbiamo osservato un aumento del numero di exploit iOS, soprattutto catene Safari e iMessage, sviluppati e venduti da ricercatori di tutto il mondo. Il mercato degli zero-day è così inondato da exploit iOS che recentemente abbiamo iniziato a rifiutarne alcuni. Il fondatore di Zerodium, Chaouki Bekrar, ha scritto nel 2019 a WIRED. Ci rendiamo conto che la vita senza iMessage può essere molto difficile per alcuni (ora più di prima), ma se Pegasus e altri malware mobile APT di fascia alta sono nel vostro modello di minaccia, questo è un compromesso che vale la pena prendere.

Disattivate Facetime. Stesso consiglio di cui sopra.

Mantenete il dispositivo mobile aggiornato; installare le ultime patch di iOS non appena escono. Non tutti possono permettersi gli zero-click 0-day, in realtà molti degli exploit kit di iOS che stiamo vedendo stanno prendendo di mira le vulnerabilità già risolte. Tuttavia, molte persone hanno telefoni più vecchi e rimandano gli aggiornamenti per vari motivi. Se volete essere in anticipo su (almeno alcuni) hacker statali, aggiornate il prima possibile e insegnate a voi stessi a non aver bisogno di emoji per installare le patch.

Non cliccate mai sui link ricevuti nei messaggi. Questo è un consiglio semplice ma efficace. Non tutti i clienti di Pegasus possono permettersi di comprare catene 0-day a costo di milioni, quindi si affidano agli exploit 1-click. Questi arrivano sotto forma di messaggio, a volte via SMS, ma possono anche essere tramite altri messenger o anche e-mail. Se ricevete un SMS interessante (o da qualsiasi altro messenger) con un link, apritelo su un computer desktop, preferibilmente utilizzando TOR Browser, o meglio ancora utilizzando un sistema operativo sicuro non persistente come Tails.

SMS con un link dannoso usato per colpire un attivista politico

SMS con un link dannoso usato per colpire un attivista politico. Fonte: Citizen Lab

Navigate su Internet con un browser alternativo come Firefox Focus invece di Safari o Chrome. Nonostante il fatto che tutti i browser su iOS utilizzano praticamente lo stesso motore, Webkit, alcuni exploit non funzionano bene (vedete il caso di LightRighter / TwoSailJunk APT) su alcuni browser alternativi:

LightRiver exploit kit verifica la presenza di “Safari” nella stringa user agent user

  • Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
  • Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
  • Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0

Usate sempre una VPN che nasconda il vostro traffico. Alcuni exploit sono consegnati attraverso gli attacchi MitM dell’operatore GSM, quando si naviga su siti HTTP o attraverso l’hijack del DNS. Usare una VPN per mascherare il traffico rende difficile per il vostro operatore GSM prendervi di mira direttamente su Internet. Complica anche il processo di targeting se gli attaccanti hanno il controllo sul tuo flusso di dati, come ad esempio durante il roaming. Si prega di notare che non tutte le VPN sono uguali e non tutte le VPN vanno bene da usare. Senza favorire alcun provider VPN specifico, ecco alcune cose da considerare quando acquisti un abbonamento VPN con l’anonimato come priorità assoluta:

  • L’acquisto significa solamente che non esistono VPN gratuite”.
  • Cercate servizi che possono accettare pagamenti con criptovalute.
  • Cercate servizi che non richiedono di fornire alcuna informazione di registrazione.
  • Cercate di evitare le app VPN, invece, usate strumenti open-source come OpenVPN, WireGuard e profili VPN.
  • Evitate i nuovi servizi VPN e cercare servizi consolidati che sono stati in giro per qualche tempo.

Installate un’applicazione di sicurezza che controlli e avverta se il dispositivo è jailbroken. Frustrati dall’essere presi a calci più e più volte, gli hacker alla fine implementeranno un meccanismo di persistenza e faranno il jailbreak del vostro dispositivo nel processo. Qui è dove la possibilità di catturarli aumenta di dieci volte e possiamo approfittare del fatto che il dispositivo è jailbroken.

Fate backup di iTunes una volta al mese. questo permette di diagnosticare e trovare le infezioni più tardi, attraverso l’uso del meraviglioso pacchetto MVT di Amnesty International (ne parleremo più avanti).

Attivate spesso i sysdiag e salvarli in backup esterni. Gli artefatti forensi possono aiutarvi a determinare in un secondo momento se siete stati presi di mira. L’attivazione di un sysdiag dipende dal modello di telefono, per esempio, su alcuni iPhone, questo viene fatto premendo contemporaneamente Volume su + Volume giù + Accensione. Potrebbe essere necessario provarci un paio di volte, fino a quando il telefono non vibra. Una volta creato il sysdiag, apparirà nella diagnostica:

Sysdiagnosi nelle analisi e nei miglioramenti di iOSCome proteggersi dallo spyware avanzato su Android

Una lista simile per gli utenti Android (per dettagli e ragionamenti controlla la lista per iOS qui sopra):

  • Riavviate ogni giorno. La persistenza sulle ultime versioni di Android è difficile, molte APT e venditori di exploit evitano la persistenza!
  • Mantenete il telefono aggiornato; installare le ultime patch.
  • Non cliccate mai sui link ricevuti nei messaggi di testo.
  • Navigate su internet con un browser alternativo come Firefox Focus invece di quello predefinito di Chrome.
  • Usate sempre una VPN che maschera il vostro traffico. Alcuni exploit sono consegnati attraverso attacchi MitM dell’operatore GSM, durante la navigazione in siti HTTP o attraverso l’hijack del DNS.
  • Installate una suite di sicurezza che analizza il malware e controlla e avvisa se il dispositivo è dotato di root.

Ad un livello più sofisticato, sia per iOS che per Android, controllate sempre il vostro traffico di rete usando live IoC. Una buona configurazione potrebbe includere una VPN Wireguard sempre attiva verso un server sotto il vostro controllo, che utilizza pihole per filtrare le cose pericolose e registra tutto il traffico per ulteriori ispezioni.

Come cavarsela senza iMessage

Stavo parlando con il mio amico Ryan Naraine di recente, e mi ha detto “iMessage e FaceTime, questi sono i motivi per cui le persone usano gli iPhone!” e, chiaramente, ha ragione. Io stesso sono un utente di iPhone dal 2008 e penso che iMessage e FaceTime siano state due delle più grandi cose che Apple ha aggiunto a questo ecosistema. Quando mi sono reso conto che queste sono anche alcune delle caratteristiche più sfruttate che permettono agli stati nazionali di spiare il tuo telefono, ho cercato di fuggire dall’iMessage Hotel California. La cosa più difficile? Far smettere anche la famiglia di usarlo. Per quanto possa sembrare sorprendente, questa è stata una delle cose più difficili in tutta questa saga della sicurezza.

La vita senza iMessage è triste e senza emoji

All’inizio ho cercato di passare tutti a Telegram. Questo non è andato troppo bene. Poi, Signal è diventato sempre meglio, ha implementato le videochiamate e le chiamate di gruppo. Col tempo, sempre più amici hanno iniziato a passare a Signal. E questo ha funzionato bene anche con la mia famiglia. Non sto dicendo che dovresti fare lo stesso. Forse potete mantenere iMessage abilitato e vivere felicemente e senza malware – a dire il vero, Apple ha migliorato notevolmente la sandbox di sicurezza intorno a iMessage con BlastDoor in iOS 14. Tuttavia, l’exploit FORCEDENTRY utilizzato da NSO per consegnare Pegasus ha aggirato BlastDoor e, naturalmente, nessuna funzione di sicurezza è mai a prova di hacking al 100%.

Quindi, qual è il meglio dei due mondi, vi chiederete? Alcune persone, me compreso, hanno diversi telefoni – uno dove iMessage è disabilitato, e un iPhone “honeypot” dove iMessage è abilitato. Entrambi sono piacevolmente associati allo stesso ID Apple e allo stesso numero di telefono. Se qualcuno decide di prendermi di mira in questo modo, c’è una buona probabilità che finisca nel telefono honeypot.

Come rilevare Pegasus e altri malware mobili avanzati

Rilevare le tracce di infezione di Pegasus e di altri malware mobili avanzati è molto difficile, e complicato dalle caratteristiche di sicurezza dei moderni sistemi operativi come iOS e Android. Sulla base delle nostre osservazioni, questo è ulteriormente complicato dalla distribuzione di malware non persistente, che non lascia quasi nessuna traccia dopo il riavvio. Poiché molti framework forensi richiedono un jailbreak del dispositivo, che a sua volta richiede un riavvio, questo si traduce nella rimozione del malware dalla memoria durante il riavvio.

Attualmente, diversi metodi possono essere utilizzati per il rilevamento di Pegasus e altri malware mobili. MVT (Mobile Verification Toolkit) di Amnesty International è gratuito, open source e permette a tecnologi e investigatori di ispezionare i telefoni cellulari alla ricerca di segni di infezione. MVT è ulteriormente potenziato da una lista di IoC (indicatori di compromissione) raccolti da casi di alto profilo e resi disponibili da Amnesty International.

 

Cosa fare se siete stati infettati da Pegasus

Quindi avete seguito attentamente tutte queste raccomandazioni e siete stati comunque infettati. Purtroppo, questa è la realtà in cui viviamo oggi. Ci Dispiace. Sicuramente non siete affatto dei cattivi ragazzi, al contrario, siamo sicuri che siete parte dei buoni. Forse avete parlato contro persone potenti, o avete partecipato a qualche protesta contro una decisione discutibile di certe figure politiche, o semplicemente avete usato un software di cifratura o siete stati nel posto sbagliato al momento sbagliato. Guardate il lato positivo, sapete che siete stati infettati, perché gli artefatti e le conoscenze vi hanno permesso di determinarlo. Pensate alle seguenti cose:

  • Chi vi ha preso di mira e perchè? Cercate di capire cos’è stato che vi ha portato all’attenzione dei grandi. È qualcosa che potete evitare in futuro attraverso un comportamento più furtivo?
  • Ne potete parlare? La cosa che alla fine ha fatto cadere molte compagnie di sorveglianza è stata la cattiva pubblicità. Reporter e giornalisti che scrivono degli abusi e smascherano le bugie, le malefatte e tutto il male. Se siete stati presi di mira provate a trovare un giornalista e raccontate loro la vostra storia.
  • Cambiate il vostro dispositivo, se eravate su iOS, provate a passare ad Android per un po’. Se eravate su Android, passate a iOS. Questo potrebbe confondere gli aggressori per un po’ di tempo; per esempio, alcuni attori di minacce sono noti per aver acquistato sistemi di sfruttamento che funzionano solo su una certa marca di telefono e OS.
  • Prendete un dispositivo secondario, preferibilmente con GrapheneOS, per comunicazioni sicure. Usate una carta prepagata o connettetevi solo tramite Wi-Fi e TOR mentre siete in modalità aereo.
  • Evitate app di messaggistica in cui è necessario fornire ai vostri contatti il vostro numero di telefono. Una volta che un hacker ha il vostro numero di telefono può facilmente prendervi di mira attraverso molti messaggeri diversi, iMessage, WhatsApp, Signal, Telegram, sono tutti legati al vostro numero di telefono. Una nuova scelta interessante qui è Session, che instrada automaticamente i vostri messaggi attraverso una rete in stile Onion e non si basa sui numeri di telefono.
  • Provate a mettervi in contatto con un ricercatore di sicurezza nella vostra zona e discutere costantemente delle migliori pratiche. Condividete artefatti, messaggi sospetti o log ogni volta che pensate che ci sia qualcosa di strano. La sicurezza non è mai un’unica soluzione istantanea che sia a prova di 100%; pensatela come un torrente che scorre e dovete regolare la vostra navigazione a seconda della velocità, delle correnti e degli ostacoli.

Alla fine di questo, vorremmo lasciarvi con un pensiero. Se venite presi di mira dagli stati nazionali, ciò significa che siete importanti. Ricordate: è bello essere importanti, ma è più importante essere gentili. Da soli siamo deboli, insieme siamo forti. Il mondo può essere rotto, ma credo che stiamo vivendo in un momento in cui possiamo ancora cambiare le cose. Secondo un report del gruppo no-profit Committee to Protect Journalists, 293 giornalisti sono stati imprigionati nel 2021, il numero più alto che CPJ abbia mai riportato da quando ha iniziato a monitorarlo, nel 1992. Sta a noi plasmare come sarà il mondo per noi tra 10 anni, per i nostri figli e i figli dei nostri figli.

Voi, il popolo, avete il potere, il potere di creare macchine. Il potere di creare la felicità! Voi, il popolo, avete il potere di rendere questa vita libera e bella, di rendere questa vita un’avventura meravigliosa.

Allora, in nome della democrazia, usiamo questo potere, uniamoci tutti. Combattiamo per un nuovo mondo – un mondo decente che dia agli uomini la possibilità di lavorare, che dia alla gioventù un futuro e alla vecchiaia una sicurezza. Con la promessa di queste cose, i bruti sono saliti al potere. Ma essi mentono! Non mantengono quella promessa. Non lo faranno mai!

I dittatori si liberano ma schiavizzano il popolo! Ora lottiamo per mantenere questa promessa! Combattiamo per liberare il mondo, per eliminare le barriere nazionali, per eliminare l’avidità, l’odio e l’intolleranza. Combattiamo per un mondo di ragione, un mondo dove la scienza e il progresso porteranno alla felicità di tutti gli uomini. Soldati, in nome della democrazia, uniamoci tutti!

Discorso finale da “Il grande dittatore”.

Questo post è stato originariamente pubblicato come una serie di articoli su Dark Reading (parte 1, parte 2).

Consigli