Kaspersky اخیرا ابزاری به نام iShutdown را راه اندازی کرده است که نه تنها برای شناسایی نرم افزارهای جاسوسی بدنام Pegasus بلکه برای شناسایی سایر تهدیدات بدافزار در دستگاه‌های iOS طراحی شده است.

به گزارش پایگاه اطلاع‌سانی پلیس فتا، ابزار iShutdown چند هفته پس از اینکه محققان امنیت سایبری کسپرسکی بینش‌های مهمی را در مورد عملیات مثلث‌سازی فاش کردند، راه‌اندازی شد. این تحقیق به بررسی این موضوع می‌پردازد که چگونه تهدیدات جاسوس‌افزاری آیفون‌ها را به خطر می‌اندازند.

تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) ابزار جدیدی را معرفی کرده است که به کاربران امکان می دهد Pegasus، یک نرم افزار جاسوسی محبوب iOS را که به دلیل هدف قرار دادن روزنامه نگاران و فعالان شناخته شده است، شناسایی کنند. این روش سبک وزن به نام iShutdown نشانه‌های جاسوس‌افزار را در دستگاه‌های iOS اپل، از جمله سه خانواده معروف جاسوس‌افزار Pegasus، QuaDream’s Reign و Intellexa’s Predator شناسایی می‌کند.

ابزار iShutdown اکنون در دسترس عموم است، هفت ماه پس از آن که آزمایشگاه کسپرسکی در ابتدا از هک کردن آیفون‌های کارمندان خود خبر داد که به آن Operation Triangulation گفته می‌شود. در دسامبر 2023، این شرکت به‌روزرسانی‌ را منتشر کرد که نشان می‌داد هکرها احتمالاً از یک ویژگی سخت‌افزاری مبهم در طول حملات جاسوس‌افزار علیه کاربران آیفون سوء استفاده کرده‌اند.

این روش روی مجموعه‌ای از آیفون‌های در معرض خطر Pegasus آزمایش شد. با این حال، باید توجه داشت که این روش/ابزار متفاوت از برنامه iShutdown iOS است که به دستگاه‌های مک اجازه می‌دهد خاموش/خواب/راه‌اندازی مجدد/خروج شوند.

به گفته این شرکت امنیت سایبری، ردپایی از فرآیندهای مرتبط با Pegasus در یک فایل گزارش سیستم مبتنی بر متن به نام “Shutdown.log” در آیفون‌هایی که در معرض این نرم‌افزار جاسوسی قرار دارند، کشف شد.

فایل گزارش در آرشیو sysdiagnose دستگاه‌های iOS ذخیره می‌شود. هر رویداد راه‌اندازی مجدد را با ویژگی‌های محیطی‌اش ثبت می‌کند و به طور کلی یک مصنوع پزشکی قانونی نادیده گرفته می‌شود. این می‌تواند ورودی‌هایی داشته باشد که قدمت چندین سال قبل دارند و اطلاعات ارزشمندی را ارائه می‌دهند. هنگامی که کاربر راه اندازی مجدد را آغاز می کند، سیستم عامل فرآیندهای در حال اجرا، شستشوی بافرهای حافظه و انتظار برای راه اندازی مجدد عادی را خاتمه می دهد.

تجزیه و تحلیل آن فرآیندهای “چسبنده” را نشان داد که مانع راه اندازی مجدد می شود. فرآیندهای مربوط به Pegasus در بیش از چهار اطلاعیه تاخیر راه اندازی مجدد یافت شد. این ناهنجاری‌ها در طی مراحل راه‌اندازی مجدد به ابزار اجازه می‌دهد تا عفونت‌های احتمالی را با دقت بالا علامت‌گذاری کند. تجزیه و تحلیل بیشتر مسیر سیستم فایل مشابهی را نشان داد که توسط هر سه خانواده نرم افزارهای جاسوسی، “/private/var/db/” برای Pegasus و Reign، و “/private/var/tmp/” برای Predator به عنوان شاخص سازش استفاده می شود.

ماهر یاموت، محقق ارشد امنیتی Kaspersky GreAT، سازگاری لاگ را با سایر عفونت‌های Pegasus تأیید کرده است و آن را به یک مصنوع قانونی قابل اعتماد برای تجزیه و تحلیل عفونت تبدیل می‌کند. این ابزار حفاظت پیشرفته‌تری را برای پایگاه کاربر گسترده‌تری ارائه می‌دهد. یاموت توضیح داد: «در مقایسه با روش‌های زمان‌برتر جذب مانند تصویربرداری از دستگاه پزشکی قانونی یا پشتیبان‌گیری کامل iOS، بازیابی فایل Shutdown.log بسیار ساده است.

Kaspersky یک ابزار Python3 در GitHub برای کاربران macOS، Windows و Linux برای شناسایی نرم افزارهای جاسوسی توسعه داده است. این ابزار مصنوعات Shutdown.log را استخراج، تجزیه و تحلیل و تجزیه می کند. تشخیص را ساده می‌کند و آگاهی را افزایش می‌دهد و به کاربران قدرت می‌دهد تا کنترل امنیت دیجیتال خود را در دست بگیرند. با این حال، کسپرسکی به کاربران پیشنهاد می‌کند رویکردی جامع را نسبت به امنیت داده‌ها و دستگاه اتخاذ کنند. این شرکت به کاربران توصیه می‌کند راه‌اندازی مجدد روزانه، استفاده از حالت قفل، غیرفعال کردن iMessage و FaceTime، به‌روزرسانی‌های به‌موقع iOS و چک‌های پشتیبان‌گیری منظم را انجام دهند.

این اعلام پس از گزارش SentinelOne منتشر شد که نشان داد دزدان اطلاعاتی که macOS را مورد هدف قرار می دهند مانند KeySteal، Atomic و JaskaGo به سرعت در حال سازگاری برای دور زدن فناوری آنتی ویروس داخلی اپل به نام XProtect هستند.