الباحثون في فريق البحث والتحليل العالمي في Kaspersky (GReAT) طورت وأصدرت طريقة خفيفة الوزن لمساعدة مستخدمي Apple iPhone المعرضين لخطر الاستهداف من قبل برامج التجسس بيغاسوس اكتشاف وجودها على أجهزتهم.
لقد تم استهداف نظام Apple البيئي بشكل كبير من قبل مطوري برامج التجسس في الماضي بسبب شعبيته الواسعة. حصان مجنح، التي طورتها شركة التطوير الإسرائيلية المشينة NSO وتم بيعها للحكومات التي استخدمتها للتجسس على النشطاء والمعارضين والصحفيين والمعارضين السياسيين، يمكن القول إنها أكثر هذه الأدوات شهرة على نطاق واسع. ومع ذلك، هناك آخرون موجودون، مثل المفترسوالتي نشأت في شركة أوروبية تدعى Cytrox، وعهدوالذي يُعتقد أنه تم استخدامه من قبل كل من وكالة الأمن القومي ومقر الاتصالات الحكومية البريطانية (GCHQ).
تزعم شركة Kaspersky أن أداتها الجديدة تكشف عن وجود Pegasus من خلال تحليل قطعة أثرية للطب الشرعي لم يتم استكشافها سابقًا تسمى Shutdown.log. Shutdown.log هو سجل نظام غير متوقع يتم تخزينه في أرشيف تشخيص النظام لجهاز iOS، والذي يحتفظ بالمعلومات من كل جلسة إعادة تشغيل. ونتيجة لذلك، وجد فريق GReAT أن الحالات الشاذة المرتبطة ببرنامج Pegasus تصبح واضحة إذا قام مستخدم مصاب بإعادة تشغيل الجهاز.
ومن بين الآثار التي تم العثور عليها، كانت هناك حالات من العمليات اللزجة التي أعاقت عمليات إعادة التشغيل، وآثار العدوى التي لاحظها سابقًا باحثون إلكترونيون آخرون.
لاحظ الفريق أيضًا مسارًا شائعًا للعدوى يعكس تلك التي شوهدت في عدوى Predator وReign، مما قد يشير إلى أن المنهجية تحمل أيضًا إمكانية تحديد تلك العدوى.
“أثبت تحليل تفريغ sysdiag أنه يتسم بالحد الأدنى من التدخل ويستهلك القليل من الموارد، ويعتمد على المصنوعات المستندة إلى النظام لتحديد حالات الإصابة المحتملة بجهاز iPhone. وقال ماهر يموت، كبير الباحثين الأمنيين في Kaspersky GReAT: “بعد تلقي مؤشر الإصابة في هذا السجل وتأكيد الإصابة باستخدام معالجة مجموعة أدوات التحقق المحمولة (MVT) لعناصر iOS الأخرى، أصبح هذا السجل الآن جزءًا من نهج شامل للتحقيق في الإصابة بالبرامج الضارة لنظام iOS”.
“بما أننا أكدنا اتساق هذا السلوك مع إصابات Pegasus الأخرى التي قمنا بتحليلها، فإننا نعتقد أنه سيكون بمثابة أداة موثوقة للطب الشرعي لدعم تحليل العدوى.”
تقييم ذاتى
أداة التقييم الذاتي الجديدة من Kaspersky عبارة عن برنامج نصي Python3 يستخرج ويحلل ويحلل قطعة Shutdown.log. قد كان متاحة للاستخدام العام على GitHubويمكن استخدامه أيضًا على الأجهزة التي تعمل بنظام التشغيل macOS وWindows وLinux.
وإلى جانب الاستفادة من أداتها الجديدة، نصحت كاسبرسكي أيضًا المستخدمين الذين يعتقدون أنهم قد يتعرضون لخطر محاولات منسقة للتجسس عليهم عبر أجهزتهم، باتخاذ عدد من الخطوات الإضافية.
يتضمن ذلك إعادة تشغيل الأجهزة يوميًا، نظرًا لأن العديد من ثغرات يوم الصفر التي استخدمها Pegasus تاريخيًا لا تتيح الاستمرارية في حالة إعادة التشغيل؛ تحول على وضع التأمين على متن الطائرة من Apple; وتعطيل iMessage وFacetime، اللذين يستخدمان بكثافة كوسيلة للاستغلال؛ تصحيح الأجهزة بسرعة عندما تصدر Apple تحديثات أمنية جديدة؛ توخي الحذر بشأن سلوكهم عبر الإنترنت – تجنب النقر على الروابط الواردة في الرسائل، على سبيل المثال؛ والتحقق من النسخ الاحتياطية وsysdiags بانتظام.
تم استهداف Kaspersky نفسه بواسطة برنامج تجسس يعمل بنظام iOS بدون نقرة يطلق عليه اسم Triangulation، والذي تم تسليمه اعتبارًا من عام 2019 فصاعدًا عبر يومين صفر بالسلاسل في نظام التشغيل. تعتبر هذه البرامج الضارة معقدة بشكل خاص، خاصة عندما يتعلق الأمر ببعض المنهجيات التي تنشرها للتعتيم على سلسلة هجومها ووجودها.
أصول التثليث غير معروفة، ولكن نظرًا للتراث الروسي لشركة Kaspersky، فقد تم استخدام ما كشفت عنه لاحقًا من قبل وكالة الأمن الفيدرالية التابعة للكرملين لاتهام شركة Apple بالتواطؤ مع أجهزة المخابرات الأمريكية للتطفل على الشركة السيبرانية. ونفت شركة أبل ذلك بشدة، قائلة إنها لن تعمل أبدًا مع أي حكومة لإدخال باب خلفي في منتجاتها.
