🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
ذكاء البرامج الضارة

كل ما تحتاج لمعرفته حول برنامج التجسس Pegasus

كل ما تحتاج لمعرفته حول برنامج التجسس Pegasus
July 20, 2021
دقيقة
جدول المحتوى
مثال H2
مثال H2

ماذا حدث؟

في 18 يوليو 2021، تم تنسيق مشروع بيغاسوس (تعاون بين صحفيين من 17 مؤسسة إعلامية في 10 دول) قصص ممنوعة، وهي مؤسسة إعلامية غير ربحية مقرها باريس، بدعم فني من منظمة العفو الدولية) أفادت بأنها حصلت على أكثر من 50,000 رقم هاتف لأهداف محتملة لعملاء مجموعة NSO، وهي شركة تكنولوجيا إسرائيلية. وتشمل القائمة الصحفيين والناشطين والأكاديميين والمحامين والسياسيين/المسؤولين الحكوميين ورجال الأعمال والأطباء والمدعين العامين وأصدقاء وأقارب الأشخاص الواضح أنهم موضع اهتمام عملاء NSO.

المصدر- https://twitter.com/amnesty

مجموعة «إن إس أو»

يقع مقر مجموعة NSO في هرتسليا، بالقرب من تل أبيب في إسرائيل، وهي شركة أسلحة إلكترونية إسرائيلية خاصة تأسست في عام 2010 من قبل نيف كرمي وعمري لافي وشاليف هوليو. لقد وظفت ما يقرب من 500 شخص اعتبارًا من عام 2017، وأبلغت عن أرباح قبل الفوائد والضرائب والاستهلاك وإطفاء الدين لعام 2020 بقيمة 99 مليون دولار أمريكي والتي شكلت ما يقرب من 40٪ من إيراداتها.

ما هو بيغاسوس؟

Pegasus هو برنامج تجسس من الدرجة العسكرية طورته مجموعة NSO بهدف مزعوم لمساعدة الدول القومية وإنفاذ القانون لمنع الإرهاب والجريمة والتحقيق فيه والحفاظ على السلامة العامة.

إن سطح هجوم الوصول الأولي المتاح لنشر Pegasus في أي جهاز ضحية واسع مثل التعرض للثغرات الأمنية في الجهاز، بما في ذلك التطبيقات المستخدمة والأذونات الممنوحة والأجهزة. يتمتع مشغلو Pegasus بالقدرة على استهداف مجموعة واسعة من الثغرات الأمنية في الأجهزة والتطبيقات عبر أنظمة تشغيل متعددة (أنظمة التشغيل) لنشرها، بما في ذلك أجهزة Android و iOS. تستلزم الوقاية والتخفيف درجة عالية من النظافة الإلكترونية والوعي والأمن التشغيلي.

وقد أثيرت مزاعم إساءة استخدام بيغاسوس منذ عام 2016، عندما تم استخدام التصيد الاحتيالي كناقل هجوم لنشر بيغاسوس. في عام 2019، رفع فيسبوك دعوى قضائية ضد مجموعة NSO زاعمًا أنه تم استخدام خوادم Whatsapp لنشر Pegasus على 1400 هاتف محمول في محاولة لاستهداف الصحفيين والدبلوماسيين ونشطاء حقوق الإنسان وكبار المسؤولين الحكوميين والأطراف الأخرى من خلال استغلال يوم الصفر. ادعت الدعوى القضائية أن البرامج الضارة لم تكن قادرة على كسر التشفير المملوك لفيسبوك، وبدلاً من ذلك أصابت هواتف العملاء، مما أتاح لـ NSO الوصول إلى الرسائل بعد فك تشفيرها على جهاز الاستقبال.

العملاء المعروفون لـ NSO الذين يستخدمون Pegasus
  • أذربيجان
  • البحرين
  • هنغاريا
  • الهند
  • كازاخستان
  • المكسيك
  • المغرب
  • رواندا
  • المملكة العربية السعودية
  • توغو
  • الإمارات العربية المتحدة (UAE)
الأحداث السابقة المنسوبة إلى مجموعة NSO

تاريخيًا، تم ربط برنامج Pegasus الضار بالأحداث التالية:

هل برنامج Pegasus هو برنامج التجسس الوحيد الموجود؟

تعريف الكتاب المدرسي لبرامج التجسس هو «البرنامج الذي يمكّن المستخدم من الحصول على معلومات سرية حول أنشطة كمبيوتر شخص آخر عن طريق نقل البيانات سراً من محرك الأقراص الثابتة الخاص به».

بصرف النظر عن Pegasus، تم اكتشاف برامج تجسس أخرى على مدى السنوات القليلة الماضية. على سبيل المثال، في عام 2019، تم الإبلاغ عن نائب أن شركة تطوير مقرها إيطاليا تعمل تحت عنوان eSurv قد نظمت برنامجًا ضارًا يعمل بنظام Android يسمى «Exodus». تم اكتشاف Exodus من قبل الباحثين في securitywithoutborders.org، عندما وجدوا أنه يتجسس نيابة عن الحكومة الإيطالية. تم تحميل برنامج التجسس Exodus كتطبيق شرعي على Google Playstore وتم إتاحته للمستخدمين لتنزيله. بعد التحليل، لوحظ أن البرامج الضارة تعمل على مراحل متعددة وتم تنفيذها بنجاح على أجهزة الضحايا.

تدعي مجموعة NSO التدقيق في عملائها لضمان سجلات جيدة في مجال حقوق الإنسان قبل انضمامهم، مما يشير إلى ما يشبه التنظيم في النشر وتحديد الأهداف.

التأثير

  • لديه القدرة على استهداف كل من أجهزة Android و iOS
  • برنامج التجسس Pegasus قادر على
    • قراءة الرسائل النصية
    • مكالمات التتبع
    • جمع كلمات المرور
    • موقع التتبع
    • الوصول إلى ميكروفون وكاميرا الجهاز المستهدف
    • جمع المعلومات من التطبيقات
  • كشف المعلومات الحساسة للمستخدم

التخفيف

  • قم بتثبيت تحديثات النظام والتطبيق، وتحديدًا تحديثات المتصفح.
  • لا تنقر على الروابط المشبوهة في الرسائل القصيرة/رسائل البريد الإلكتروني.
  • يجب أن يكون الملاذ الأخير هو إعادة شحن الجهاز المحمول.

ملاحظة: برنامج Pegasus ليس برنامجًا ضارًا عامًا يستهدف أعدادًا كبيرة من السكان.

التحليل الفني لبيغاسوس

يوفر حل مراقبة Pegasus ميزات متقدمة لجمع المعلومات الاستخبارية المتطورة من نقاط النهاية والأجهزة المستهدفة التالية:

  • أندرويد
  • iOS
  • بلاك بيري
  • الأجهزة القائمة على سيمبيان
الإمكانيات

يحتوي Pegasus على الميزات التالية:

  • استخراج جهات الاتصال ورسائل البريد الإلكتروني والصور والملفات والمواقع وكلمات المرور والعمليات واعتراض المكالمات والرسائل.
  • آلية التدمير الذاتي لتحييد التطبيق الذي يعمل على الأجهزة المستهدفة لضمان عدم وجود دليل.
ناقل العدوى

تم تنفيذ معظم التنازلات البارزة عن طريق إرسال رابط ضار إلى الضحية المستهدفة. وعندما يفتح الهدف الرابط، يتم تنزيل حمولة برنامج Pegasus الضار وتثبيتها على نقطة النهاية.

وكيل

الوكيل هو مكون برمجي (برنامج ضار) يتم نشره من خلال وسائل سرية على الجهاز المستهدف لبدء المراقبة وجمع البيانات. تتم كتابة كود الوكيل بناءً على تفاصيل بنية نقطة النهاية المستهدفة.

تثبيت الوكيل

لا تتطلب ناقلات التثبيت المدعومة سوى رقم الهاتف/البريد الإلكتروني المستخدم من قبل الهدف لتثبيت الوكيل بنجاح. تتضمن متجهات التثبيت المدعومة الموثقة ما يلي:

  • عبر الأثير (OTA): في طريقة التثبيت هذه، يتم إرسال رسالة/إشعار إلى الجهاز المحمول المستهدف. تقوم الرسالة بتشغيل الجهاز لتنزيل الوكيل وتثبيته على الجهاز بشكل سري. تفاعل المستخدم، مثل النقر على رابط أو فتح رسالة، غير مطلوب في هذه العملية.
  • رسالة الهندسة الاجتماعية المحسنة (ESEM): في طريقة التثبيت هذه، يرسل مشغل Pegasus بريدًا ضارًا أو رسالة نصية قصيرة إلى الضحية المستهدفة. وعندما يتم فتح الرابط، يتم تنزيل الوكيل وتثبيته على نقطة النهاية المستهدفة.

تتضمن متجهات التثبيت المستخدمة لتثبيت الوكيل عندما لا يكون رقم الهاتف/البريد الإلكتروني متاحًا ولكن الهدف قريبًا، ما يلي:

  • تثبيت عنصر الشبكة التكتيكية: في طريقة التثبيت التكتيكي، يتم الحصول على رقم هاتف الهدف باستخدام محطة الإرسال والاستقبال الأساسية (BTS). وباستخدام رقم الهاتف، يتم تثبيت الوكيل على الجهاز المستهدف. يعد تحديد الموقع بالقرب من الهدف، في معظم الحالات، كافيًا لإنجاز عملية الحصول على رقم الهاتف، ويتم التثبيت عن بُعد.
  • التثبيت المادي: في طريقة التثبيت هذه، يقوم المشغل الذي لديه وصول فعلي إلى الجهاز بإسقاط العامل على الجهاز المستهدف.
جمع البيانات

بعد تثبيت الوكيل بنجاح على الجهاز المستهدف، يتم جمع البيانات من مصادر متعددة. تشمل أنواع البيانات التي تم جمعها:

  • البيانات النصية مثل الرسائل القصيرة والبريد الإلكتروني وسجل المكالمات وما إلى ذلك.
  • البيانات المرئية بما في ذلك الصور ولقطات الشاشة
  • بيانات الصوت مثل التسجيلات الصوتية
  • الملفات بما في ذلك المستندات وما شابه ذلك
  • مراقبة موقع الجهاز في الوقت الحقيقي
استخراج البيانات الأولية

يتم جمع البيانات التالية من الجهاز وإرسالها مرة أخرى إلى خادم الأوامر والتحكم:

  • سجلات الرسائل القصيرة
  • تفاصيل جهات الاتصال
  • سجل المكالمات
  • سجلات التقويم
  • رسائل البريد الإلكتروني
  • المراسلة الفورية
  • سجل التصفح
المراقبة السلبية

بعد التقاط البيانات الأولية، يستمر الوكيل في مراقبة سجلات البيانات الجديدة مثل:

  • سجلات الرسائل القصيرة
  • تفاصيل جهات الاتصال
  • سجل المكالمات (سجل المكالمات)
  • سجلات التقويم
  • رسائل البريد الإلكتروني
  • المراسلة الفورية
  • سجل التصفح
  • تتبع الموقع (على أساس معرف الخلية)
مجموعة نشطة

في أي وقت، يمكن لمشغل البرامج الضارة إرسال طلب إلى الجهاز المصاب للحصول على البيانات المجمعة وتنفيذ إجراءات في الوقت الفعلي على الجهاز المستهدف. تتضمن هذه البيانات:

  • تتبع الموقع (على أساس GPS)
  • اعتراض المكالمات الصوتية
  • استرجاع الملفات
  • تسجيل الصوت البيئي (تسجيل الميكروفون)
  • التقاط الصور
  • التقاط الشاشة

تكتيكات وتقنيات وإجراءات بيغاسوس

استنادًا إلى الحملات السابقة، من المعروف أن Pegasus تستخدم سلاسل الاستغلال لنشر عامل المراقبة على الجهاز المحمول.

  • المرحلة 0x1 (الارتباط الضار والاستغلال الأولي): تؤدي طريقة نشر ESEM إلى ارتباط ضار يمكن للمشغل إرساله إلى الضحية. وعندما يتم فتح الرابط، فإنه يستغل ثغرة أمنية في المتصفح للوصول إلى النظام.
  • المرحلة 0x2 (كسر الحماية ونشر الوكيل): بعد الوصول إلى النظام، تُستخدم عمليات الاستغلال على مستوى kernel للحصول على تحكم كامل في الجهاز (jailbreaking). بمجرد الحصول على الوصول إلى مستوى kernel، يتم نشر الحمولة النهائية التي تحتوي على وحدات المراقبة عبر الثبات على مستوى kernel. يقوم الوكيل بعد ذلك بتثبيت «خطافات التطبيقات» على الأجهزة التي تم كسر حمايتها. تمكن هذه الخطافات الوكيل من التجسس على العديد من التطبيقات المثبتة على الجهاز.
  • المرحلة 0x3: في هذه المرحلة، يقوم الوكيل بتنزيل المكتبات المستخدمة للقيام بأنشطة ضارة على النظام، وتقوم هذه المكتبات بتنفيذ عمليات استنشاق ومراقبة التطبيقات المختلفة مثل WhatsApp و Viber وما إلى ذلك، كما تدعم هذه الوحدات أيضًا تسجيل المكالمات والكاميرا
المراقبة عبر الاعتراض

بمجرد تثبيت الوكيل بنجاح على النظام، فإنه يعمل بشكل وثيق مع النواة للتجسس على التطبيقات المختلفة المثبتة على الجهاز. يتم تنفيذ ذلك عبر الخطافات، حيث أن الخطافات عبارة عن مكونات برمجية لاعتراض استدعاءات النظام المختلفة إلى النواة وبالتالي المساس ببيانات التطبيق المرسلة إلى kernel للمعالجة.

آلية التدمير الذاتي

تمتلك Pegasus آلية التدمير الذاتي لمحو الأدلة من النظام المخترق. يتضمن ذلك عمليات القتل المتعلقة بالوكيل الذي يقوم بتشغيل النظام ومسح الوحدات أو المكتبات المستخدمة لتنفيذ أنشطة المراقبة على الجهاز المحمول.

نصائح مترو AT&CK

الوصول الأولي

  • T1475: قم بتسليم التطبيقات الضارة عبر متجر التطبيقات المعتمد

التنفيذ

  • T1402: أجهزة استقبال البث

إصرار

  • T1402: أجهزة استقبال البث
  • T1400: تعديل قسم النظام

تصعيد الامتيازات

  • T1404: استغلال ثغرة نظام التشغيل

التهرب الدفاعي

  • T1418: اكتشاف التطبيقات
  • T1400: تعديل قسم النظام

الوصول إلى بيانات الاعتماد

  • T1409: الوصول إلى بيانات التطبيق المخزنة

اكتشاف

  • T1418: اكتشاف التطبيقات
  • T1422: اكتشاف تكوين شبكة النظام

مجموعة

  • T1435: الوصول إلى إدخالات التقويم
  • T1433: الوصول إلى سجل المكالمات
  • T1432: الوصول إلى قائمة جهات الاتصال
  • T1409: الوصول إلى بيانات التطبيق المخزنة
  • T1429: التقاط الصوت
  • T1512: كاميرا الالتقاط

القيادة والتحكم

  • T1438: وسائط الشبكة البديلة

استخراج

  • T1438: وسائط الشبكة البديلة

التأثير

  • T1400: تعديل قسم النظام
مؤشرات التسوية

تم تحديد المجالات التالية على أنها ضارة وتشكل جزءًا من مجموعة فرعية صغيرة من حملة NSO Pegasus

مونجو 77 usr.urlredirect.netstr1089. تطبيق البريد الإلكتروني zone.comapi web248. التطبيق أناليتيكتش. كومdist564.htmlstats.netcss235gr.apigraphs.netnodesj44s.nighbor.com غير عاديjsonapi 2. روابط new.infoimg9fo658tlsuh.securisurf.compc25f01dw.loading-url.netdbm4kl5d3faqlk6.healthyguess.comimg359axw1z.reload-url.netcss2307.cssgraphics.netمعلومات 2638dg43.newip-info.comimg87xp8m.catbrushcable.comimg108jkn42.av-scanner.comمونغوم5sxk8fr6. extractsight.comimg776 cg3. ويب بروتكتور.cotv54d2ml1. لحظر الإعلاناتdrp2j4sdi.safecrusade.comapi1r3f4. إعادة توجيه weburl.comجهاز كمبيوتر 41g20bm.إعادة توجيه الاتصال .netjsj8sd9nf.randomlane.netphp78 mp9 ضد الترتيب المعارض .net
المراجع
  • https://www.ft.com/content/4da1117e-756c-11e9-be7d-6d846537acab
  • https://research.checkpoint.com/2019/the-nso-whatsapp-vulnerability-this-is-how-it-happened/
  • https://www.nytimes.com/2018/12/02/world/middleeast/saudi-khashoggi-spyware-israel.html
  • https://www.nytimes.com/2017/06/19/world/americas/mexico-spyware-anticrime.html
  • https://www.theguardian.com/world/2020/dec/07/mexico-cartels-drugs-spying-corruption
  • https://otx.alienvault.com/pulse/60f68942fafbc9a0287b9978
لم يتم العثور على أية عناصر.

مدونات ذات صلة

هذا نص داخل كتلة div.
ذكاء البرامج الضارة
September 19, 2024
5
دقيقة
كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة
اقرأ المزيد
هذا نص داخل كتلة div.
ذكاء البرامج الضارة
September 16, 2022
دقيقة
تحطيم الأرقام القياسية: عودة الراكون
اقرأ المزيد
هذا نص داخل كتلة div.
ذكاء البرامج الضارة
January 7, 2022
دقيقة
التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء الأول)
اقرأ المزيد