Possivelmente a maior história de 2021 — uma investigação do The Guardian e de outras 16 organizações de mídia, publicada em julho —que mais de 30.000 ativistas de direitos humanos, jornalistas e advogados em todo o mundo podem ter sido alvos de um ataque usando Pegasus. O Pegasus é conhecido como “software de vigilância legal” e foi desenvolvido pela empresa israelense NSO. O relatório, chamado Projeto Pegasus, alegou que o malware foi amplamente implantado por meio de uma variedade de exploits, incluindo vários iOS zero-click zero-days.
Com base na análise forense de inúmeros dispositivos móveis, o Laboratório de Segurança da Anistia Internacional descobriu que o software era usado repetidamente de forma abusiva para vigilância. A lista de indivíduos alvos inclui 14 líderes mundiais e muitos outros ativistas, defensores dos direitos humanos, dissidentes e figuras da oposição.
Mais tarde, em julho, representantes do governo israelense visitaram os escritórios do NSO como parte de uma investigação. Em outubro, a Suprema Corte da Índia organizou um comitê técnico para investigar o uso da Pegasus e espionar seus cidadãos. A Apple anunciou, em novembro, que estava tomando medidas legais contra o NSO Group por desenvolver software que visa atacar os usuários com “malware malicioso e spyware”. Por último, mas não menos importante, em dezembro, a Reuters publicou que os telefones do Departamento de Estado dos EUA foram hackeados com o malware NSO Pegasus, como alertado pela Apple.
Nos últimos meses, recebi muitas perguntas de usuários preocupados em todo o mundo sobre como proteger seus dispositivos mobile do Pegasus e outras ferramentas e malware semelhantes. Estamos tentando abordar isso no artigo atual, com a observação de que nenhuma lista de técnicas de defesa pode ser exaustiva. Além disso, à medida que os cibercriminosos mudam seu modus operandi, as técnicas de proteção também devem ser adaptadas.
Como ficar a salvo da Pegasus e de outros spywares mobile avançados
Em primeiro lugar, devemos começar dizendo que Pegasus é um toolkit vendido para estados e países a preços relativamente altos. O custo de uma implantação completa pode facilmente atingir milhões de dólares. Da mesma forma, outros malwares mobile de APT podem ser implantados por meio de exploits de zero-day e zero-click. Estes são extremamente caros — como exemplo, a Zerodium, uma corretora de exploit paga até US$ 2,5 milhões por uma cadeia de infecção zero-click do Android com persistência:
Desde o início, isso leva a uma importante conclusão — a ciberespionagem patrocinada por países é um esforço muito engenhoso. Quando um ator ameaçador pode se dar ao luxo de gastar milhões, potencialmente dezenas de milhões ou mesmo centenas de milhões de dólares em seus programas ofensivos, é muito improvável que um alvo não seja capaz de evitar o ataque. Colocar isso em palavras mais simples, se você é alvo de tal ação, não é uma questão de “se você pode se infectar”, é realmente apenas uma questão de tempo e recursos antes de ser infectado.
Mas existe uma boa notícia – explorar o desenvolvimento e a guerra cibernética ofensiva são muitas vezes mais uma arte do que uma ciência exata. Os explotis precisam ser ajustados para versões e hardware específicos de sistemas operacionais e ainda tendem a ser facilmente frustrados por novas versões e atualizações, novas técnicas de mitigação ou até mesmo pequenas coisas, como eventos aleatórios.
Com isso em mente, infecção e direcionamento também é uma questão de custo e tornando as coisas mais difíceis para os responsáveis pelo ataque. Embora nem sempre possamos prevenir a exploração e a infecção bem-sucedidas em dispositivos mobile, podemos tentar torná-las o mais difícil possível para os cibercriminsos.
Como fazemos isso na prática? Aqui está uma lista de verificação simples.
Como proteger contra spyware avançado no iOS
Ligar e desligar diariamente. De acordo com uma pesquisa da Anistia Internacional e do Citizen Lab, a cadeia de infecções do Pegasus geralmente depende de zero-click 0-days sem persistência, por isso a reinicialização regular ajuda a limpar o dispositivo. Se o dispositivo for reiniciado diariamente, os atacantes terão que validá-lo repetidamente. Com o tempo, isso aumenta as chances de detecção; um acidente pode acontecer ou artefatos podem ser logados que evidenciam a natureza furtiva da infecção. Na verdade, isso não é apenas teoria, é prática — analisamos um caso em que um dispositivo móvel foi afetado por meio de exploit zero-click (provavelmente FORCEDENTRY). O proprietário do dispositivo reiniciou seu dispositivo regularmente e o fez nas próximas 24 horas após o ataque. Os criminosos tentaram invadi-lo mais algumas vezes, mas acabaram desistindo depois de serem eliminados pela reinicialização do sistema.
https://www.kaspersky.com.br/blog/what-is-noreboot-attack-and-how-to-protect-your-smartphone/43292/
Desabilite o iMessage. iMessage é incorporado ao iOS e é habilitado por padrão, tornando-o um vetor de ataque atraente. Por ser habilitado por padrão, é um mecanismo de entrega superior para cadeias de zero-click e por muitos anos, os exploits do iMessage estavam em alta, com os principais pagamentos de exploits. “Nos últimos meses, observamos um aumento no número de exploits de iOS, principalmente redes de Safari e iMessage, sendo desenvolvidas e vendidas por todo o mundo. O mercado de zero-day está tão inundado de exploits iOS que recentemente começamos a recusar alguns “, escreveu chaouki Bekrar, fundador da Zerodium, em 2019 à WIRED. Percebemos que a vida sem iMessage pode ser muito difícil para alguns (falaremos mais sobre isso depois), mas se o Pegasus e outros malwares mobile APT de alto nível estão em seu modelo de ameaça, esta é uma troca que vale a pena ser feita.
Desative Facetime. Mesmo conselho acima.
Mantenha o dispositivo móvel atualizado; instale as patches mais recentes do iOS assim que estiverem disponíveis Nem todo mundo pode pagar zero-click ou 0-day, na verdade muitos dos kits de exploits do iOS que estamos vendo estão mirando vulnerabilidades já corrigidas. No entanto, muitas pessoas possuem aparelhos mais antigos e adiam atualizações por várias razões. Se você quiser estar à frente de (pelo menos alguns) hackers, atualize o mais rápido possível e ensine a si mesmo a não precisar de Emojis para instalar as patches.
Não clique em links recebidos em mensagens. Este é um conselho simples, mas eficaz. Nem todos os clientes do Pegasus podem comprar complexas ameaças de cadeias de zero-click 0-day a um custo de milhões, então eles dependem de exploits de 1-click. Estes chegam na forma de uma mensagem, às vezes por SMS, ou por outras aplicações de mensagens instantâneas ou até mesmo e-mail. Se você receber um SMS interessante (ou por qualquer outro app de mensagens) com um link, abra-o em um computador desktop, de preferência usando o TOR Browser, ou melhor ainda usando um sistema operacional não persistente seguro, como o Tails.
[how-to-protect-from-pegasus-spyware-malicious-sms]
Navegue na Internet com um navegador alternativo como o Firefox Focus em vez do Safari ou do Chrome. Apesar do faWebkit, aalguns exploits não funcionam bem (veja os casos LightRighter / TwoSailJunk APT) em alguns navegadores alternativos:
Strings de agente de usuário no iOS dos navegadores Safari, Chrome e Firefox Focus:
• Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mobile/15E148 Safari/604.1
• Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
• Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) FxiOS/39 Mobile/15E148 Versão/15.0
Sempre use uma VPN que mascare seu tráfego. Alguns exploits são fornecidos pelos de ataques MitM do operador GSM, ao navegar em sites HTTP ou por sequestro de DNS. O uso de uma VPN para mascarar o tráfego dificulta que o operador GSM o direja diretamente pela Internet. Também complica o processo de segmentação se os invasores tiverem controle sobre seu fluxo de dados, como durante o roaming. Por favor, note que nem todas as VPNs são iguais e nem todas são confiáveis. Sem favorecer qualquer provedor específico de VPN, aqui estão algumas coisas a considerar quando você compra uma assinatura de VPN com anonimato sendo uma prioridade máxima:
● Comprar significa exatamente isso — não use VPNs “gratuitas”.
● Procure por serviços que aceitam o pagamento em criptomoedas.
● Procure por serviços que não exija que você forneça nenhuma informação de registro.
● Tente evitar aplicativos VPN — em vez disso, use ferramentas de código aberto, como perfis OpenVPN, WireGuard e VPN.
● Evite novos serviços de VPN e procure serviços estabelecidos que já existem há algum tempo.
Instale um aplicativo de segurança que verifica e avisa sobre jailbroken. Frustrados por serem chutados várias vezes, os atacantes eventualmente implantarão um mecanismo de persistência e jailbreak seu dispositivo no processo. É aqui que a chance de invasão aumenta dez vezes e podemos aproveitar o fato de que o dispositivo é jailbroken.
Faça backups no iTunes uma vez por mês. isso permite diagnosticar e encontrar infecções mais tarde, por meio do uso do maravilhoso pacote MVT da Anistia Internacional (mais sobre isso posteriormente).
Ative sysdiags com frequência vezes e os guarde em backups externos. artefatos forenses podem ajudá-lo a determinar mais tarde se você foi alvo. Desencadear um sysdiag depende do modelo do telefone — por exemplo, em alguns iPhones, isso é feito pressionando Volume Up + Volume Down + Power ao mesmo tempo. Você pode precisar brincar com isso algumas vezes, até o telefone seguir o comando. Uma vez criado o sysdiag, ele aparecerá em diagnósticos:
Como proteger contra spyware avançado no Android
Uma lista semelhante para usuários de Android (para detalhes e raciocínio, verifique a lista para iOS acima):
• Ligue e desligue diariamente. A persistência nas versões mais recentes do Android é difícil, muitos APTs e vendedores de exploits evitam qualquer persistência!
• Mantenha o telefone atualizado; instale as patches mais recentes.
• Não clique em links recebidos em mensagens de texto.
• Utilize um navegador alternativo como o Firefox Focus em vez do Chrome padrão.
• Sempre use uma VPN que mascare seu tráfego. Algumas explorações são fornecidas por meio dos ataques MITM do operador GSM, ao navegar em sites HTTP ou por sequestro de DNS.
• Instale uma suite de segurança que verifica e alterta se o dispositivo foi hackeado.
Em um nível mais sofisticado — tanto para iOS quanto para Android — verifique sempre o tráfego da sua rede usando IoCs em tempo real. Uma boa configuração pode incluir uma VPN de Wireguard sempre em um servidor sob seu controle, que usa pihole para filtrar coisas ruins e registra todo o tráfego para uma inspeção posterior.
Como ficar sem iMessage
Eu estava conversando com meu amigo Ryan Naraine recentemente, e ele disse – “iMessage e FaceTime – eles são os motivos pelos quais as pessoas usam iPhones! “ e, com certeza, ele está certo. Eu sou usuário de iPhone desde 2008 e acho que o iMessage e o FaceTime foram duas das melhores invenções que a Apple adicionou a esse ecossistema. Países espionem nossos aparelhos, tentei escapar do iMessage Hotel California. A coisa mais difícil? Fazer com que a família pare de usá-lo também. Por mais surpreendente que possa parecer, esta foi uma das coisas mais difíceis de toda essa saga de segurança.
No começo, tentei convencer todos a mudarem para o Telegram. Não consegui. Em seguida, o Signal ficou cada vez melhor, implementou chamadas de vídeo e chamadas em grupo. Com o tempo, mais e mais amigos começaram a adotar o Signal. E logo minha família também passou a utilizar. Não estou dizendo que você deve fazer o mesmo. Talvez você possa manter o iMessage ativado e viver feliz e livre de malware — verdade seja dita, a Apple melhorou muito a segurança da sandbox associada ao iMessage com o BlastDoor no iOS 14. No entanto, o exploit FORCEDENTRY usado pela NSO para entregar o BlastDoor ignorado do Pegasus e, claro, nenhum recurso de segurança é sempre 100% à prova de ataques.
Então, qual é o melhor dos dois mundos, você pode perguntar? Algumas pessoas, incluindo eu, têm vários telefones — um em que o iMessage é desativado, e um iPhone “honeypot” onde o iMessage é ativado. Ambos estão associados com o mesmo Apple ID e número de telefone. Se alguém decidir me atacar assim, há uma boa chance de acabarem no telefone ˜isca˜
Como detectar a Pegasus e outros malwares mobile avançados
Detectar traços de infecção da Pegasus e outros malwares movile avançados é muito complicado e complicado pelos recursos de segurança de sistemas operacionais modernos, como iOS e Android. Com base em nossas observações, isso é ainda mais complicado pela implantação de malware não persistente, o que não deixa quase nenhum rastro após a reinicialização. Uma vez que muitas estruturas forenses requerem um jailbreak de dispositivos, o que por sua vez requer uma reinicialização, isso resulta na retirada do malware da memória durante a reinicialização.
Atualmente, vários métodos podem ser usados para detecção da Pegasus e outros malwares mobile. O MVT (Mobile Verification Toolkit) da Anistia Internacional é gratuito, de código aberto e permite que desenvolvedores e pesquisadores inspecionem telefones celulares em busca de sinais de infecção. O MVT é ainda impulsionado por uma lista de IoCs (indicadores de compromisso) coletados de casos de alto perfil e disponibilizados pela Anistia Internacional.
O que fazer se você foi infectado com Pegasus
Então você seguiu todas essas recomendações cuidadosamente e ainda foi infectado. Infelizmente, essa é a realidade em que vivemos hoje em dia. Eu sinto por você, realmente. Você pode até ser agilizado em algumas situações – mas, eu tenho certeza que você é um dos mocinhos. Talvez você tenha lutado contra pessoas poderosas, ou participado de alguns protestos contra uma decisão questionável de certas figuras políticas, ou simplesmente usado software de criptografia ou estar no lugar errado na hora errada. Olhe pelo lado bom – você conhece você foi infectado, porque artefatos e conhecimento permitiram que você determinasse isso. Pense nas seguintes coisas:
• Quem te atacou e por quê? Tente descobrir o que te chamou a atenção dos cibercriminosos. Isso é algo que você pode evitar no futuro por meio de uma conduta mais vigilante?
• Pode falar sobre isso? O que acabou derrubando muitas empresas de vigilância foi má publicidade. Repórteres e jornalistas escrevendo sobre abusos e expondo as mentiras, o mal e todo o mal. Se você foi alvo, tente encontrar um jornalista e conte a eles sua história.
• Troque seu dispositivo — se você estiver no iOS, tente se mudar para Android por um tempo. Se você estava no Android, mude-se para o iOS. Isso pode confundir atacantes por algum tempo; por exemplo, alguns atores de ameaça são conhecidos por terem comprado sistemas de exploit que só funcionam em uma determinada marca de telefone e sistema operacional.
• Deixe um dispositivo secundário, de preferência executando GrapheneOS, para comunicações seguras. Use um cartão pré-pago nele, ou, apenas conecte-se por Wi-Fi e TOR enquanto estiver no modo avião.
• Evite acessar domínios em que você precisa fornecer seus contatos com seu número de telefone. Uma vez que um cibercriminoso consiga seu número de telefone, eles podem facilmente direcioná-lo por meio de muitos aplicativos de mensagens diferentes — iMessage, WhatsApp, Signal, Telegram, todos eles estão associados ao seu número de telefone. Uma escolha interessante aqui é o Session, que encaminha automaticamente suas mensagens por uma rede no estilo Onion e não depende de números de telefone.
• Converse com um especialista de segurança em sua área e discuta constantemente as melhores práticas. Compartilhe artefatos, mensagens suspeitas ou registros sempre que achar algo estranho. A segurança nunca é uma solução única com 100% de efetividade; pense nele como uma jornada que você precisa ajustar as variáveis e rotas a depender da velocidade, correntes e obstáculos.
No final disso, eu gostaria de deixá-lo com um pensamento. Se você for alvo de governos, isso significa você é importante. Lembre-se: é bom ser importante, mas é mais importante fazer as coisas dentro das leis. Sozinhos, somos fracos, juntos, somos fortes. O mundo pode estar quebrado, mas acredito que estamos vivendo em um momento em que ainda podemos mudar as coisas.
De acordo com um relatório do grupo sem fins lucrativos Committee to Protect Journalists, 293 jornalistas foram presos em 2021, o maior número já relatado pelo CPJ desde que começou a mapear, em 1992. Cabe a nós moldar como o mundo será para nós em 10 anos, para nossos filhos e filhos de nossos filhos.
Vocês, o povo, têm o poder – o poder de criar máquinas. O poder de criar felicidade! Vocês, o povo, têm o poder de tornar esta vida livre e bela, de fazê-la uma aventura maravilhosa.
Portanto – em nome da democracia – usemos desse poder, unamo-nos todos nós. Lutemos por um mundo novo – um mundo bom que a todos assegure o ensejo de trabalho, que dê futuro à juventude e segurança à velhice. É pela promessa de tais coisas que desalmados têm subido ao poder. Mas, eles mentem! Não cumprem o que prometem. Jamais cumprirão!
Os ditadores libertam-se, porém escravizam o povo. Lutemos agora para libertar o mundo, destruir as fronteiras nacionais, dar fim à ganância, ao ódio e à prepotência. Lutemos por um mundo de razão, um mundo em que a ciência e o progresso conduzam à ventura de todos nós. Soldados, em nome da democracia, unamo-nos!
Discurso final do O Grande Ditador
Este post originalmente foi publicado como uma série artigos de opinião no Dark Reading (parte 1, parte 2).