امنیت

فناوری اطلاعات

January 29, 2024
10:01 دوشنبه، 9ام بهمنماه 1402
کد خبر: 159421

iShutdown جاسوس‌افزار پگاسوس را شناسایی می‌کند

Kaspersky اخیرا ابزاری به نام iShutdown را راه اندازی کرده است که نه تنها برای شناسایی نرم افزارهای جاسوسی بدنام Pegasus بلکه برای شناسایی سایر تهدیدات بدافزار در دستگاه‌های iOS طراحی شده است.

به گزارش پایگاه اطلاع‌سانی پلیس فتا، ابزار iShutdown چند هفته پس از اینکه محققان امنیت سایبری کسپرسکی بینش‌های مهمی را در مورد عملیات مثلث‌سازی فاش کردند، راه‌اندازی شد. این تحقیق به بررسی این موضوع می‌پردازد که چگونه تهدیدات جاسوس‌افزاری آیفون‌ها را به خطر می‌اندازند.

تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) ابزار جدیدی را معرفی کرده است که به کاربران امکان می دهد Pegasus، یک نرم افزار جاسوسی محبوب iOS را که به دلیل هدف قرار دادن روزنامه نگاران و فعالان شناخته شده است، شناسایی کنند. این روش سبک وزن به نام iShutdown نشانه‌های جاسوس‌افزار را در دستگاه‌های iOS اپل، از جمله سه خانواده معروف جاسوس‌افزار Pegasus، QuaDream’s Reign و Intellexa’s Predator شناسایی می‌کند.

ابزار iShutdown اکنون در دسترس عموم است، هفت ماه پس از آن که آزمایشگاه کسپرسکی در ابتدا از هک کردن آیفون‌های کارمندان خود خبر داد که به آن Operation Triangulation گفته می‌شود. در دسامبر 2023، این شرکت به‌روزرسانی‌ را منتشر کرد که نشان می‌داد هکرها احتمالاً از یک ویژگی سخت‌افزاری مبهم در طول حملات جاسوس‌افزار علیه کاربران آیفون سوء استفاده کرده‌اند.

این روش روی مجموعه‌ای از آیفون‌های در معرض خطر Pegasus آزمایش شد. با این حال، باید توجه داشت که این روش/ابزار متفاوت از برنامه iShutdown iOS است که به دستگاه‌های مک اجازه می‌دهد خاموش/خواب/راه‌اندازی مجدد/خروج شوند.

به گفته این شرکت امنیت سایبری، ردپایی از فرآیندهای مرتبط با Pegasus در یک فایل گزارش سیستم مبتنی بر متن به نام “Shutdown.log” در آیفون‌هایی که در معرض این نرم‌افزار جاسوسی قرار دارند، کشف شد.

فایل گزارش در آرشیو sysdiagnose دستگاه‌های iOS ذخیره می‌شود. هر رویداد راه‌اندازی مجدد را با ویژگی‌های محیطی‌اش ثبت می‌کند و به طور کلی یک مصنوع پزشکی قانونی نادیده گرفته می‌شود. این می‌تواند ورودی‌هایی داشته باشد که قدمت چندین سال قبل دارند و اطلاعات ارزشمندی را ارائه می‌دهند. هنگامی که کاربر راه اندازی مجدد را آغاز می کند، سیستم عامل فرآیندهای در حال اجرا، شستشوی بافرهای حافظه و انتظار برای راه اندازی مجدد عادی را خاتمه می دهد.

تجزیه و تحلیل آن فرآیندهای “چسبنده” را نشان داد که مانع راه اندازی مجدد می شود. فرآیندهای مربوط به Pegasus در بیش از چهار اطلاعیه تاخیر راه اندازی مجدد یافت شد. این ناهنجاری‌ها در طی مراحل راه‌اندازی مجدد به ابزار اجازه می‌دهد تا عفونت‌های احتمالی را با دقت بالا علامت‌گذاری کند. تجزیه و تحلیل بیشتر مسیر سیستم فایل مشابهی را نشان داد که توسط هر سه خانواده نرم افزارهای جاسوسی، “/private/var/db/” برای Pegasus و Reign، و “/private/var/tmp/” برای Predator به عنوان شاخص سازش استفاده می شود.

ماهر یاموت، محقق ارشد امنیتی Kaspersky GreAT، سازگاری لاگ را با سایر عفونت‌های Pegasus تأیید کرده است و آن را به یک مصنوع قانونی قابل اعتماد برای تجزیه و تحلیل عفونت تبدیل می‌کند. این ابزار حفاظت پیشرفته‌تری را برای پایگاه کاربر گسترده‌تری ارائه می‌دهد. یاموت توضیح داد: «در مقایسه با روش‌های زمان‌برتر جذب مانند تصویربرداری از دستگاه پزشکی قانونی یا پشتیبان‌گیری کامل iOS، بازیابی فایل Shutdown.log بسیار ساده است.

Kaspersky یک ابزار Python3 در GitHub برای کاربران macOS، Windows و Linux برای شناسایی نرم افزارهای جاسوسی توسعه داده است. این ابزار مصنوعات Shutdown.log را استخراج، تجزیه و تحلیل و تجزیه می کند. تشخیص را ساده می‌کند و آگاهی را افزایش می‌دهد و به کاربران قدرت می‌دهد تا کنترل امنیت دیجیتال خود را در دست بگیرند. با این حال، کسپرسکی به کاربران پیشنهاد می‌کند رویکردی جامع را نسبت به امنیت داده‌ها و دستگاه اتخاذ کنند. این شرکت به کاربران توصیه می‌کند راه‌اندازی مجدد روزانه، استفاده از حالت قفل، غیرفعال کردن iMessage و FaceTime، به‌روزرسانی‌های به‌موقع iOS و چک‌های پشتیبان‌گیری منظم را انجام دهند.

این اعلام پس از گزارش SentinelOne منتشر شد که نشان داد دزدان اطلاعاتی که macOS را مورد هدف قرار می دهند مانند KeySteal، Atomic و JaskaGo به سرعت در حال سازگاری برای دور زدن فناوری آنتی ویروس داخلی اپل به نام XProtect هستند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.