Kaspersky je predstavio iShutdown, koji omogućava korisnicima iPhone telefona da otkriju Pegaz, popularni špijunski softver poznat po tome što se uglavnom koristi za špijuniranje novinara i aktivista.

 

Kaspersky tvrdi da će iShutdown identifikovati znake špijunskog softvera na iOS uređajima, kao što su špijunski softver Pegaz, Reign i Predator.

Ova metoda (alat) je objavljena nekoliko sedmica nakon što su istraživači sajber bezbjednosti kompanije Kaspersky otkrili nove detalje o operaciji Triangulacija.

Cilj njihove istrage je bio da se utvrdi kako špijunski softver kompromituje iPhone.

iShutdown je sada dostupan javnosti, sedam mjeseci nakon što je Kaspersky Labs prijavio hakovanje iPhone-a svojih zaposlenih, što je bio deo operacije koja je nazvana Triangulacija.

U decembru 2023. godine, kompanija je objavila da su vjerovatno hakeri iskoristili ranije nepoznatu hardversku funkciju tokom napada Pegazom na korisnike iPhone-a.

Metoda kompanije Kaspersky je testirana na iPhone uređajima kompromitovanim Pegazom, ističu na The Hacker News.

Kaspersky, koji je analizirao skup iPhone-a koji su bili kompromitovani sa Pegazom, rekao je da su infekcije ostavile tragove u datoteci pod nazivom „Shutdown.log“ , tekstualni sistemski log fajl dostupan na svim iOS uređajima i koji bilježi svaki događaj ponovnog pokretanja zajedno sa karakteristikama okruženja.

Taj fajl se čuva u sysdiagnose arhivi iOS uređaja. On bilježi svako ponovno pokretanje uređaja ali je generalno zanemaren forenzički artefakt. Može imati unose koji datiraju nekoliko godina unazad, pružajući dragocjene informacije.

 

Ljepljivi procesi ometaju ponovno pokretanje

 

Analiza Shutdown.log fajla je otkrila „ljepljive“ procese koji ometaju ponovno pokretanje. Procesi povezani sa Pegazom pronađeni su u više od četiri obavještenja o odlaganju ponovnog pokretanja. Ove anomalije tokom procedura ponovnog pokretanja omogućile su alatu da označi potencijalne infekcije sa velikom preciznošću.

Štaviše, istraga je otkrila prisustvo slične putanje fajl sistema koji koriste sve tri porodice špijunskog softvera – „/private/var/db/“ za Pegaz i Reign, i „/private/var/tmp/“ za Predator – na taj način djeluje kao pokazatelj kompromisa.

Kaspersky je takođe objavio kolekciju Python skripti za izdvajanje, analizu i raščlanjivanje Shutdown.log kako bi izvukao statistiku ponovnog pokretanja.

Istraživač kompanije Kaspersky Maher Jamut kaže da njihov alat nudi poboljšanu zaštitu široj bazi korisnika i da je, u poređenju sa drugim metodama koje oduzimaju više vremena, ovaj metod prilično jednostavan.

Kaspersky preporuka korisnicima:

  • obavljajte svakodnevna restartovanja uređaja
  • koristite režim zaključavanja
  • onemogućite iMessage i FaceTime
  • redovno ažurirajte iOS
  • provjeravajte rezervne kopije

I pored svega, istraživač bezbjednosti Fil Stoks rekao je: „Oslanjanje samo na otkrivanje zasnovano na potpisima nije dovoljno jer akteri prijetnje imaju sredstva i motiv da se brzo prilagode.“

(IT mixer)