설명: Pegasus 스파이웨어가 장치를 감염시키는 방법 어떤 데이터가 손상될 수 있는지

프로젝트 페가수스: 인도에서 수백 대의 전화기를 표적으로 삼는 데 사용된 것으로 밝혀진 이스라엘 스파이웨어는 클릭에 대한 의존도가 낮아졌습니다. Pegasus는 표적의 개입이나 인지 없이 장치를 감염시킬 수 있습니다.

Pegasus는 NSO 그룹의 주력 제품입니다(Express illustration)

2019년 11월, 뉴욕시의 기술 기자가 파리의 국토 안보에 관한 전시회인 Milipol에 전시된 차단 장치를 촬영했습니다. 전시업체인 NSO 그룹은 하드웨어를 밴 뒤쪽에 배치해 휴대성의 편리함을 암시하며 미국 전화번호에서는 작동하지 않을 것이라고 밝혔습니다. 아마도 회사에서 자체적으로 부과한 제한 때문일 것입니다.

이스라엘 사이버 거인이 2010년에 설립된 이래로 NSO가 만든 휴대용 BTS(Base Transceiver Station)가 미디어 보고서에 등장한 것은 아마 처음이었을 것입니다.

BTS, 즉 'Rogue cell tower', 'IMSI Catcher' 또는 'stingray'는 합법적인 기지국을 가장하고 반경 내의 휴대폰을 강제로 연결하여 가로챈 트래픽을 공격자가 조작할 수 있도록 합니다. 2019년에 촬영된 방탄소년단은 가로로 쌓인 카드로 구성되어 있어 여러 주파수 대역에서 가로챌 가능성이 있습니다.

다른 옵션은 대상의 이동통신사 자체에 대한 액세스를 활용하는 것입니다. 이 시나리오에서 공격자는 악성 셀 타워가 필요하지 않지만 조작을 위해 일반 네트워크 인프라에 의존합니다.

어느 쪽이든 '네트워크 주입' 공격을 시작하는 기능 - 대상의 개입 없이 원격으로 수행됩니다(따라서 제로 클릭이라고 함 ) 또는 지식 —주다 페가수스 , NSO 그룹의 주력 제품으로 글로벌 스파이웨어 시장에서 경쟁사보다 우위에 있습니다.

Pegasus는 현재 스파이웨어가 다음을 표적으로 삼는 데 사용되었음을 발견한 글로벌 공동 조사 프로젝트의 중심에 있습니다. 인도의 수백 대의 휴대전화 .

Pegasus는 다른 스파이웨어와 어떻게 다릅니까?

NSO 그룹(Q Cyber ​​Technologies)이 법 집행 기관과 정보 기관이 거의 ​​모든 모바일 장치에서 원격으로 은밀하게 데이터를 추출할 수 있도록 하는 세계 최고의 사이버 인텔리전스 솔루션으로 판매하는 Pegasus(Q Suite)는 이스라엘 정보 기관의 베테랑이 개발했습니다.

2018년 초까지 NSO Group 클라이언트는 주로 SMS 및 WhatsApp 메시지에 의존하여 대상을 속여 악성 링크를 열도록 하여 모바일 장치를 감염시켰습니다. Pegasus 브로셔에서는 이를 ESEM(Enhanced Social Engineering Message)이라고 설명했습니다. ESEM으로 패키징된 악성 링크를 클릭하면 전화기는 운영 체제를 확인하고 적절한 원격 익스플로잇을 전달하는 서버로 연결됩니다.

국제앰네스티는 2019년 10월 보고서에서 공격자가 표적과의 상호작용 없이 스파이웨어를 설치할 수 있도록 하는 '네트워크 주입' 사용을 처음으로 문서화했다. Pegasus는 다양한 방법으로 이러한 제로 클릭 설치를 달성할 수 있습니다. OTA(무선) 옵션 중 하나는 대상 장치가 스파이웨어를 로드하도록 하는 푸시 메시지를 은밀하게 보내는 것입니다. 대상은 자신이 제어할 수 없는 설치를 인식하지 못합니다.

Pegasus 브로셔가 자랑하는 이것은 NSO의 고유성으로 Pegasus 솔루션을 시장에서 사용 가능한 다른 스파이웨어와 크게 차별화합니다.

어떤 종류의 장치가 취약합니까?

거의 모든 장치. iPhone은 Apple의 기본 iMessage 앱과 이를 기반으로 하는 APN(푸시 알림 서비스) 프로토콜을 통해 Pegasus의 광범위한 대상이 되었습니다. 스파이웨어는 iPhone에 다운로드한 응용 프로그램을 가장하고 Apple 서버를 통해 푸시 알림으로 자신을 전송할 수 있습니다.

2016년 8월 토론토 대학에 기반을 둔 학제간 연구실인 Citizen Lab은 사이버 보안 회사 Lookout에 Pegasus의 존재를 보고했고 두 회사는 Apple에 대한 위협을 표시했습니다. 2017년 4월 Lookout과 Google은 Android 버전의 Pegasus에 대한 세부 정보를 발표했습니다.

2019년 10월 WhatsApp은 화상 통화 기능의 취약점을 악용한 NSO 그룹을 비난했습니다. 사용자는 영상 통화로 보이는 전화를 받았지만 이는 정상적인 통화가 아니었습니다. 전화벨이 울린 후 공격자는 피해자의 전화를 스파이웨어로 감염시키기 위해 몰래 악성 코드를 전송했습니다. WhatsApp의 책임자인 Will Cathcart는 그 사람이 전화를 받을 필요조차 없었다고 말했습니다.

2020년 12월, Citizen Lab 보고서는 정부 요원이 2020년 7월-8월 동안 Al Jazeera와 런던에 기반을 둔 Al Araby TV의 기자, 프로듀서, 앵커 및 임원 소유의 전화기 37개를 해킹하기 위해 정부 요원이 Pegasus를 사용하여 제로데이( (개발자에게 알려지지 않은 취약점) Apple의 당시 최신 iPhone 11을 해킹할 수 있는 최소 iOS 13.5.1에 ​​대한 공격 NSO 그룹의 고객 기반이 전 세계적으로 확산되고 iOS 14 업데이트 이전에 거의 모든 iPhone 장치의 명백한 취약성을 감안할 때 공격.

스파이웨어는 항상 대상이 되는 모든 장치에 침입합니까?

일반적으로 공격자는 네트워크 주입을 위해 Pegasus 시스템에 대상 전화번호만 제공해야 합니다. 나머지는 시스템에서 자동으로 수행되며 대부분의 경우 스파이웨어가 설치됩니다.

그러나 경우에 따라 네트워크 삽입이 작동하지 않을 수 있습니다. 예를 들어, 대상 장치가 NSO 시스템에서 지원되지 않거나 해당 운영 체제가 새로운 보안 보호 기능으로 업그레이드되면 원격 설치가 실패합니다.

분명히 Pegasus를 피하는 한 가지 방법은 기본 전화 브라우저를 변경하는 것입니다. Pegasus 브로셔에 따르면 장치 기본값(및 Android 기반 장치의 경우 chrome) 이외의 브라우저에서 설치하는 것은 시스템에서 지원되지 않습니다.

이러한 모든 경우에 설치가 중단되고 대상 장치의 브라우저는 미리 결정된 무해한 웹 페이지를 표시하여 대상이 실패한 시도를 인지하지 못하도록 합니다. 다음으로, 공격자는 ESEM 클릭 미끼로 후퇴할 가능성이 높습니다. 다른 모든 방법이 실패하면 공격자가 대상 장치에 물리적으로 액세스할 경우 Pegasus를 5분 이내에 수동으로 주입하고 설치할 수 있습니다.

어떤 정보가 손상될 수 있습니까?

일단 감염되면 전화기는 공격자의 완전한 통제 하에 있는 디지털 스파이가 됩니다.

설치 시 Pegasus는 공격자의 명령 및 제어(C&C) 서버에 접속하여 지침을 수신 및 실행하고 암호, 연락처 목록, 일정 이벤트, 문자 메시지 및 실시간 음성 통화(종단 연결을 통한 경우도 포함)를 포함한 대상의 개인 데이터를 되돌려 보냅니다. -최종 암호화된 메시징 앱). 공격자는 전화기의 카메라와 마이크를 제어하고 GPS 기능을 사용하여 표적을 추적할 수 있습니다.

대상에게 경고할 수 있는 광범위한 대역폭 소비를 피하기 위해 Pegasus는 예약된 업데이트만 C&C 서버에 보냅니다. 스파이웨어는 포렌식 분석을 회피하고 안티바이러스 소프트웨어의 탐지를 피하도록 설계되었으며 필요할 때 공격자가 비활성화 및 제거할 수 있습니다.

어떤 예방 조치를 취할 수 있습니까?

이론적으로, 기민한 사이버 위생은 ESEM 미끼로부터 보호할 수 있습니다. 그러나 Pegasus가 휴대폰 운영 체제의 취약점을 악용하면 네트워크 주입을 막을 수 있는 방법이 없습니다. 설상가상으로 디지털 보안 연구소에서 장치를 스캔하지 않는 한 이를 인식하지 못할 수도 있습니다.

기본적인 통화와 메시지만 허용하는 구식 핸드셋으로 전환하면 데이터 노출이 확실히 제한되지만 감염 위험은 크게 줄어들지 않을 수 있습니다. 또한 이메일 및 앱에 사용되는 모든 대체 장치는 필수 서비스를 모두 사용하지 않는 한 취약한 상태로 유지됩니다.

따라서 할 수 있는 최선은 장치 제조업체에서 출시하는 모든 운영 체제 업데이트 및 보안 패치를 최신 상태로 유지하고 제로 데이 공격이 줄어들기를 바라는 것입니다. 그리고 예산이 있다면 주기적으로 핸드셋을 바꾸는 것이 비용이 많이 들더라도 가장 효과적일 것입니다.

스파이웨어가 하드웨어에 상주하기 때문에 공격자는 새 장치가 변경될 때마다 성공적으로 감염시켜야 합니다. 이는 물류(비용) 및 기술(보안 업그레이드) 문제를 모두 제기할 수 있습니다. 일반적으로 국가 권력과 관련된 무제한 자원에 맞서지 않는 한.

친구들과 공유하십시오: