iShutdown جاسوسافزار پگاسوس را شناسایی میکند
Kaspersky اخیرا ابزاری به نام iShutdown را راه اندازی کرده است که نه تنها برای شناسایی نرم افزارهای جاسوسی بدنام Pegasus بلکه برای شناسایی سایر تهدیدات بدافزار در دستگاههای iOS طراحی شده است.
به گزارش پایگاه اطلاعسانی پلیس فتا، ابزار iShutdown چند هفته پس از اینکه محققان امنیت سایبری کسپرسکی بینشهای مهمی را در مورد عملیات مثلثسازی فاش کردند، راهاندازی شد. این تحقیق به بررسی این موضوع میپردازد که چگونه تهدیدات جاسوسافزاری آیفونها را به خطر میاندازند.
تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) ابزار جدیدی را معرفی کرده است که به کاربران امکان می دهد Pegasus، یک نرم افزار جاسوسی محبوب iOS را که به دلیل هدف قرار دادن روزنامه نگاران و فعالان شناخته شده است، شناسایی کنند. این روش سبک وزن به نام iShutdown نشانههای جاسوسافزار را در دستگاههای iOS اپل، از جمله سه خانواده معروف جاسوسافزار Pegasus، QuaDream’s Reign و Intellexa’s Predator شناسایی میکند.
ابزار iShutdown اکنون در دسترس عموم است، هفت ماه پس از آن که آزمایشگاه کسپرسکی در ابتدا از هک کردن آیفونهای کارمندان خود خبر داد که به آن Operation Triangulation گفته میشود. در دسامبر 2023، این شرکت بهروزرسانی را منتشر کرد که نشان میداد هکرها احتمالاً از یک ویژگی سختافزاری مبهم در طول حملات جاسوسافزار علیه کاربران آیفون سوء استفاده کردهاند.
این روش روی مجموعهای از آیفونهای در معرض خطر Pegasus آزمایش شد. با این حال، باید توجه داشت که این روش/ابزار متفاوت از برنامه iShutdown iOS است که به دستگاههای مک اجازه میدهد خاموش/خواب/راهاندازی مجدد/خروج شوند.
به گفته این شرکت امنیت سایبری، ردپایی از فرآیندهای مرتبط با Pegasus در یک فایل گزارش سیستم مبتنی بر متن به نام “Shutdown.log” در آیفونهایی که در معرض این نرمافزار جاسوسی قرار دارند، کشف شد.
فایل گزارش در آرشیو sysdiagnose دستگاههای iOS ذخیره میشود. هر رویداد راهاندازی مجدد را با ویژگیهای محیطیاش ثبت میکند و به طور کلی یک مصنوع پزشکی قانونی نادیده گرفته میشود. این میتواند ورودیهایی داشته باشد که قدمت چندین سال قبل دارند و اطلاعات ارزشمندی را ارائه میدهند. هنگامی که کاربر راه اندازی مجدد را آغاز می کند، سیستم عامل فرآیندهای در حال اجرا، شستشوی بافرهای حافظه و انتظار برای راه اندازی مجدد عادی را خاتمه می دهد.
تجزیه و تحلیل آن فرآیندهای “چسبنده” را نشان داد که مانع راه اندازی مجدد می شود. فرآیندهای مربوط به Pegasus در بیش از چهار اطلاعیه تاخیر راه اندازی مجدد یافت شد. این ناهنجاریها در طی مراحل راهاندازی مجدد به ابزار اجازه میدهد تا عفونتهای احتمالی را با دقت بالا علامتگذاری کند. تجزیه و تحلیل بیشتر مسیر سیستم فایل مشابهی را نشان داد که توسط هر سه خانواده نرم افزارهای جاسوسی، “/private/var/db/” برای Pegasus و Reign، و “/private/var/tmp/” برای Predator به عنوان شاخص سازش استفاده می شود.
ماهر یاموت، محقق ارشد امنیتی Kaspersky GreAT، سازگاری لاگ را با سایر عفونتهای Pegasus تأیید کرده است و آن را به یک مصنوع قانونی قابل اعتماد برای تجزیه و تحلیل عفونت تبدیل میکند. این ابزار حفاظت پیشرفتهتری را برای پایگاه کاربر گستردهتری ارائه میدهد. یاموت توضیح داد: «در مقایسه با روشهای زمانبرتر جذب مانند تصویربرداری از دستگاه پزشکی قانونی یا پشتیبانگیری کامل iOS، بازیابی فایل Shutdown.log بسیار ساده است.
Kaspersky یک ابزار Python3 در GitHub برای کاربران macOS، Windows و Linux برای شناسایی نرم افزارهای جاسوسی توسعه داده است. این ابزار مصنوعات Shutdown.log را استخراج، تجزیه و تحلیل و تجزیه می کند. تشخیص را ساده میکند و آگاهی را افزایش میدهد و به کاربران قدرت میدهد تا کنترل امنیت دیجیتال خود را در دست بگیرند. با این حال، کسپرسکی به کاربران پیشنهاد میکند رویکردی جامع را نسبت به امنیت دادهها و دستگاه اتخاذ کنند. این شرکت به کاربران توصیه میکند راهاندازی مجدد روزانه، استفاده از حالت قفل، غیرفعال کردن iMessage و FaceTime، بهروزرسانیهای بهموقع iOS و چکهای پشتیبانگیری منظم را انجام دهند.
این اعلام پس از گزارش SentinelOne منتشر شد که نشان داد دزدان اطلاعاتی که macOS را مورد هدف قرار می دهند مانند KeySteal، Atomic و JaskaGo به سرعت در حال سازگاری برای دور زدن فناوری آنتی ویروس داخلی اپل به نام XProtect هستند.