Mobile NotPetya
A Recorded Future Insikt Group új kutatása a mobil NotPetya növekvő fenyegetésére összpontosít. Egy valószínűleg nulla kattintásos exploitok révén egy önterjesztő mobil kártevő tömegesen beszivároghat az okostelefonokba. A fenyegetés az elmúlt néhány évben meredeken nőtt, mivel a kémprogramgyártó cégek folyamatosan finomítják a zero-klikkes exploitokat. Ezt a tényt jól mutatja, hogy 2023-ban riasztóan megnőtt a zero-click sebezhetőségek nyilvánosságra hozatalának száma, amely meghaladta az előző négy év összesített adatait.
Mivel a mobileszközök létfontosságú eszközökké válnak a vállalati biztonság és működés szempontjából, az önterjesztő mobil rosszindulatú szoftverek potenciális hatásai egyre súlyosabbak. A globális geopolitikai légkör és a kiberbűnözők egyre kifinomultabbá válása tovább növeli egy mobil NotPetya esemény szándékos vagy véletlen végrehajtásának lehetőségét.
A dokumentum a mobil kártevők történelmi példáit tárgyalva utal a Cabir és a Commwarrior esetekre. A mobilplatformok folyamatainak és protokolljainak jelenlegi összetettsége azonban nagyobb kihívást jelent a zéró kattintásos exploitok elleni védelemben. Az olyan kémprogramgyártó cégek, mint az NSO Group, folyamatosan fejlesztik ezeket az exploitokat, ami növeli a kockázati tényezőt.
A mobil NotPetya összetevői adottak, így a nulladik kattintásos exploitok folyamatos fejlesztése, a mobil kártevők azon képessége, hogy a további terjedés érdekében visszaéljenek a kontaktlistákkal, a két elsődleges mobileszköz-operációs rendszerből álló “monokultúra”, a távközlési és mobileszköz-gyártó vállalatok egyértelmű enyhítő intézkedések hiánya, valamint a geopolitikai konfliktusok miatt a nemzetállami szereplők nulladik kattintásos exploitok célpontok ellen történő bevetésének fokozott kockázata.
A két legjelentősebb múltbéli féregszerű mobil kártevő a Commwarrior és a Cabir, amelyek mindkettő Nokia telefonokra támaszkodott a terjedéshez. Az első nagyon szűk célcsoportot célzott meg, a második pedig az e-mail átjáró szintjén blokkolható volt, így egyik sem érte el azt a terjedést, amely a teljes, több százmilliós felhasználói populációt érinthette volna.
2023-ban két negyedév alatt három különálló, nulladik napi sebezhetőség kihasználásával járó kiberfenyegetési kampányt (például Operation Triangulation) hoztak nyilvánosságra, ami ugrásszerű növekedést jelent az előző négy év nulladik napi sebezhetőség kihasználásáról szóló korábbi hírekhez képest. Aggodalommal tölt el bennünket ez a trendvonal, mert minél több ilyen sebezhetőség áll a támadók rendelkezésére, annál nagyobb a valószínűsége annak, hogy szándékosan vagy nem szándékosan visszaélnek velük az áldozatok tömeges megfertőzésére.
Több mobilkészülék-gyártó adott ki gyakorlatilag “biztonságos üzemmódokat” a szöveges üzenetekhez, hogy meghiúsítsák a zéró kattintásos kihasználásokat (az egyik példa erre az Apple Lockdown Mode). Ezek a biztonságos üzemmódok nagyrészt az üzenetek multimédiás funkcióinak csökkentésével működnek, ami a korábbi exploitok központi eleme volt. Ezek a lépések azonban valószínűleg nem lesznek túl hatékonyak, mivel vagy nem valószínű, hogy a mobilfelhasználók nagy csoportját (különösen a fiatalabb vagy technikailag nem jártas felhasználókat) vonzzák, vagy korlátozottan tudják megakadályozni.
A rosszindulatú szoftverek terjedésének a betegségek terjedéséhez való hasonlóságát vizsgáló kutatások több olyan matematikai modellt eredményeztek, amelyek segítenek megjósolni egy mobil NotPetya esemény hatásait. Az egyik igen releváns modell például több százezer mobileszköz-fertőzést jósol egy olyan kampány első néhány napján belül, amely a nulla kattintásos exploitokra és a kontaktlistával való visszaélésre támaszkodik a terjedés során.
Legalább két helyen van lehetőség arra, hogy egy távközlési szolgáltató vagy mobileszköz-gyártó megállítsa a féregjáratú mobil kártevőket: az üzeneteknek a rosszindulatú üzenetekben konzisztens fejlécadatokon alapuló szűrésével vagy az áldozati eszközök klasztereinek földrajzi elhelyezkedése alapján történő szűrésével. Ezek közül az intézkedések közül azonban egyiket sem vizsgálták meg széles körben, és gyaníthatóan csak akkor kerülne sor a bevezetésükre, amikor a fertőzési arány már meghaladta a könnyű megfékezéshez szükséges mértéket, így kevésbé hatékony enyhítő intézkedések lennének.