Πώς τα κακόβουλα λογισμικά μετατρέπουν τα κινητά σε σταθμούς παρακολούθησης
10:19 - 20 Νοεμβρίου 2022
H εποχή των κατασκόπων των μυθιστορημάτων του Τζον λε Καρέ έχει παρέλθει. Το HUMINT (human intelligence, δηλαδή συγκέντρωση πληροφοριών μέσω επαφών με συγκεκριμένους ανθρώπους) παραμένει σημαντικό εργαλείο στον τρόπο με τον οποίο διενεργείται η κατασκοπεία στον 21o αιώνα, αλλά μεγαλύτερη έμφαση δίνεται πλέον στο SIGINT (signals intelligence, δηλαδή πληροφόρηση μέσω υποκλοπής επικοινωνιών).
Αλώστε, η ίδια η εμφάνιση τεχνολογιών επικοινωνίας, ξεκινώντας με τον τηλέγραφο και λίγο μετά το τηλέφωνο, οδήγησε στην ανάπτυξη τεχνολογιών υποκλοπής και έδωσε αντίστοιχα νέα ώθηση στην κρυπτογράφηση (και αποκρυπτογράφηση). Ο συνδυασμός ανάμεσα στην κυριαρχία του Διαδικτύου και την έλευση των smartphones σήμαινε ότι δεν αρκούν οι παραδοσιακοί «κοριοί». Tα πιο χρήσιμα εργαλεία είναι πλέον τα κακόβουλα λογισμικά που μετατρέπουν τα κινητά τηλέφωνα σε σταθμούς παρακολούθησης.
ΔΙΑΒΑΣΤΕ ΕΔΩ: Νέες αποκαλύψεις στην Ελλάδα-Τα άτομα που παρακολουθούνταν από ΕΥΠ και Predator
Το Predator, που εισέβαλε στη ζωή μας τους τελευταίους μήνες - αφού είχε πρώτα εισβάλει στα κινητά τηλέφωνα στόχων όπως ο δημοσιογράφος Θανάσης Κουκάκης -, αποτελεί ένα από τα πιο εξελιγμένα τέτοια λογισμικά. «Υπάρχει μια εσφαλμένη αντίληψη ότι τα λογισμικά παρακολούθησης (spywares) λειτουργούν όπως οι παραδοσιακές τηλεφωνικές παρακολουθήσεις των υπηρεσιών πληροφοριών», τονίζει στα «NEA» ο John Scott-Railton, ανώτερος ερευνητής στο Citizen Lab του Πανεπιστημίου του Τορόντο στον Καναδά, όπου ανιχνεύθηκε το Predator στο κινητό τηλέφωνο του Κουκάκη. «Ο χειριστής του λογισμικού δεν παρακολουθεί κάθε συνομιλία του στόχου, αλλά παίρνει αυτό που θέλει από αυτόν», εξηγεί.
Pegasus και Predator
Το Predator είναι ένα σχετικά καινούργιο λογισμικό, αλλά θεωρείται παρεμφερές του Pegasus της ισραηλινής εταιρείας NSO. Και τα δύο έρχονται από το ίδιο περιβάλλον: τις ισραηλινές τεχνολογικές startups που φτιάχνονται από ανθρώπους που πρώτα έχουν περάσει από τις επίλεκτες μονάδες πληροφοριών των ισραηλινών ενόπλων δυνάμεων και υπηρεσιών (το Predator εμπορεύεται η Intellexa του πρώην στρατιωτικού Ταλ Ντίλιαν και το Pegasus το NSO Group που ένας εκ των ιδρυτών του, ο Niv Carmi, είναι πρώην στέλεχος της Μοσάντ). Ομως, πέρα των ομοιοτήτων, τα δύο συστήματα έχουν και διαφορές.
Η σημαντικότερη, με βάση τα μέχρι τώρα διαθέσιμα στοιχεία, είναι ότι «το Predator απαιτεί το άνοιγμα κάποιου συνδέσμου από τον χρήστη για να εγκατασταθεί στη συσκευή, ενώ για την εγκατάσταση του Pegasus δεν χρειάζεται η αλληλεπίδραση του χρήστη», σημειώνει ο Κώστας Παπαχριστοφής, επικεφαλής ασφάλειας πληροφοριών στον όμιλο Olympia Group. «Η τεχνική κυβερνοεπίθεσης που δεν χρειάζεται την αλληλεπίδραση του χρήστη λέγεται zero-click», λέει, από την πλευρά του, ο Scott-Railton και παραπέμπει σε περιπτώσεις που το Pegasus εγκαταστάθηκε σε συσκευές μέσω μιας αναπάντητης κλήσης στο WhatsApp ή με την παραλαβή και μόνο ενός μηνύματος στην εφαρμογή μηνυμάτων της Apple, iMessage.
Ψηφιακές κερκόπορτες
Τα λογισμικά παρακολούθησης, όπως και άλλα κακόβουλα λογισμικά, καταφέρνουν να εισβάλλουν σε συσκευές εκμεταλλευόμενα τις αδυναμίες (vulnerabilities) που υπάρχουν σε λειτουργικά συστήματα και εφαρμογές. «Κανένα σύστημα δεν είναι 100% ασφαλές, πάντα υπάρχουν αδυναμίες», αναφέρει η Αλεξία Κωνσταντινίδη, σύμβουλος κυβερνοασφάλειας της IBM στο Λονδίνο. «Οι εταιρείες που εμπορεύονται λογισμικά παρακολούθησης έχουν μια μεγάλη βιβλιοθήκη zero-day αδυναμιών, δηλαδή κενών στον κώδικα που δεν έχουν καλυφθεί μέσω ενός "μπαλώματος" (patch) από τους δημιουργούς του εκάστοτε λογισμικού και μέσω αυτών μπαίνουν στη συσκευή», προσθέτει.
Οταν η συσκευή έχει µολυνθεί
Οπως εξηγεί η Αλεξία Κωνσταντινίδη, η εγκατάσταση των λογισμικών γίνεται σε δύο στάδια. Στην περίπτωση του Predator, με το άνοιγμα του συνδέσμου εισβάλλει ένας stager, δηλαδή ένας αυτοματοποιημένος ιός που έχει στόχο την εξερεύνηση της συσκευής και το κατέβασμα του λογισμικού παρακολούθησης που ταιριάζει σε αυτήν, καθώς υπάρχουν διαφορετικές μορφές για κάθε διαφορετικό λειτουργικό σύστημα (Android, iOS κ.λπ.). Μόλις εκτελέσει την αποστολή του, ο ιός «αυτοκτονεί» και διαγράφει τα ίχνη του.
«Οταν η συσκευή έχει μολυνθεί, υπάρχει πρόβλημα για τον χρήστη, καθώς ο χειριστής του λογισμικού παρακολούθησης μπορεί να κάνει όσα μπορεί να κάνει ο ίδιος ο χρήστης της συσκευής και ακόμη περισσότερα», λέει ο John Scott-Railton. Ετσι, ο χειριστής του λογισμικού επιλέγει πότε θα ανοίξει το μικρόφωνο ή την κάμερα του κινητού, ενώ μπορεί να περιηγηθεί ελεύθερα στη συσκευή ανά πάσα στιγμή, ανοίγοντας εφαρμογές μηνυμάτων, αρχεία κ.λπ. «Για παράδειγμα, μπορεί ο χειριστής να καταγράψει τον ήχο κατά τη διάρκεια μιας συνάντησης, μπορεί να ακούσει τι λέει ο στόχος το βράδυ στον/στη σύντροφό του πριν κοιμηθούν ή μπορεί να κάνει και τα δύο», συνεχίζει ο Scott-Railton, αλλά «η εμπειρία δείχνει πως το πιο σύνηθες είναι να επικεντρώνεται στις συνομιλίες μέσω εφαρμογών μηνυμάτων όπως το WhatsApp».
Σημειώνουμε ότι ένας από τους μεγαλύτερους «μπελάδες» όσων κάνουν παρακολουθήσεις είναι ότι πολλοί χρήστες αποφεύγουν τις τηλεφωνικές συνομιλίες ή τα απλά μηνύματα κειμένου, που υποκλέπτονται με διάφορες μορφές «επισύνδεσης», και προτιμούν εφαρμογές επικοινωνίας και μηνυμάτων που έχουν κρυπτογράφηση. Τα κακόβουλα λογισμικά ακριβώς επιτρέπουν πρόσβαση και σε αυτές.
Η παρακολούθηση από κάποιο λογισμικό μπορεί να λήξει με διάφορους τρόπους. Συχνά, τα συστήματα «αυτοκαταστρέφονται» και διαγράφουν τα ίχνη τους, λέει ο Scott-Railton. Αλλωστε, «στις συμφωνίες αγοράς λογισμικών παρακολούθησης συνήθως τίθεται ένα όριο στον αριθμό παρακολουθήσεων που μπορούν να γίνουν», σημειώνει.
Αλλες φορές, μπορεί η ίδια η συσκευή να τα αποβάλει. «Μπορεί το λογισμικό παρακολούθησης να φύγει με μια ανανέωση του λειτουργικού συστήματος», περιγράφει ο ερευνητής του Citizen Lab. Επιπλέον, «ο χειριστής του Pegasus χάνει τον έλεγχο μετά από κάποιες επανεκκινήσεις του κινητού», σημειώνει ο Κώστας Παπαχριστοφής, αλλά επισημαίνει ότι «στο Predator δεν χάνεται η επικοινωνία ακόμα και αν γίνει επανεκκίνηση».
Αυτοί είναι και οι μόνοι πιθανοί τρόποι προστασίας αν μια συσκευή έχει μολυνθεί, χωρίς αυτό να σημαίνει ότι λειτουργούν πάντα. Για να προληφθεί η μόλυνση με κάποιο κακόβουλο λογισμικό, «το καλύτερο είναι να μην ανοίγεται καν ένα περίεργο μήνυμα άγνωστης προέλευσης και να διαγράφεται πάραυτα», συμπληρώνει η Αλεξία Κωνσταντινίδη.
Πηγή: Tanea