В последние годы атаки с нулевым щелчком периодически оказываются в центре внимания. Как следует из названия, атаки с нулевым щелчком не требуют никаких действий со стороны пользователей, а значит жертвами серьезных кибер-взломов и шпионских программ могут стать даже опытные пользователи.
Атаки с нулевым щелчком – это, как правило, целевые атаки с применением изощренных тактик. Они могут стать причиной крайне негативных последствий, притом, что пользователь даже не заметит, что что-то не так. Термины «атака с нулевым щелчком» и «эксплойт с нулевым щелчком» часто используются как синонимы. Атаки с нулевым щелчком иногда также называют атаками без взаимодействия или полностью удаленными атаками.
Что такое вредоносные программы с нулевым щелчком?
Шпионские программы обычно устанавливаются на устройство (телефон, планшет или компьютер), когда пользователь переходит по взломанной ссылке или открывает файл. Однако при атаке с нулевым щелчком вредоносные программы могут установиться на устройство пользователя без перехода по ссылке. В результате вредоносные программы с нулевым щелчком (или вредоносные программы без щелчка) намного опаснее.
Уменьшение взаимодействия с пользователями при атаках с нулевым щелчком ведет к снижению следов злонамеренной активности. А тот факт, что уязвимости, подходящие для атак с нулевым щелчком, довольно редки, повышает их ценность для злоумышленников.
Даже базовые атаки с нулевым щелчком оставляют мало следов, а значит, их очень сложно обнаружить. Кроме того, функции, увеличивающие степень надежности программ, часто могут затруднить обнаружение атак с нулевым щелчком. Атаки с нулевым щелчком существуют уже много лет, но проблема получила более широкое распространение с ростом использования смартфонов, хранящих большой объем личных данных. С ростом использования мобильных устройств частными лицами и организациями, значительно возрастает потребность в информировании об атаках с нулевым щелчком.
Как осуществляются атаки с нулевым щелчком?
Обычно для удаленного заражения мобильного устройства используется определенная форма социальной инженерии, когда пользователь переходит по вредоносной ссылке или устанавливает вредоносное приложение, предоставляя злоумышленнику точку входа. Это не относится к атакам с нулевым щелчком, которые полностью исключают необходимость применения социальной инженерии.
Атаки с нулевым щелчком используют уязвимости устройства для проникновения, например, обход системы проверки данных. В большинстве программ процессы проверки данных используются для предотвращения нарушения безопасности. Однако существуют неисправленные уязвимости нулевого дня, являющиеся потенциально интересными целями для киберпреступников. Изощренные хакеры могут использовать эти уязвимости нулевого дня для осуществления кибератак, которые могут быть реализованы без каких-либо действий со стороны пользователя.
Часто атаки с нулевым щелчком нацелены на приложения для обмена сообщениями или голосовыми вызовами, поскольку они используются для получения и интерпретации данных из ненадежных источников. Злоумышленники обычно используют специально сформированные данные, такие как скрытое текстовое сообщение или файл изображения, для внедрения кода, осуществляющего взлом устройства.
Гипотетически атака с нулевым щелчком может осуществляться следующим образом:
- Злоумышленники выявляют уязвимость в почтовом приложении или приложении для обмена сообщениями.
- Затем это уязвимость используется при отправке пользователю тщательно составленного сообщения.
- Уязвимость позволяет злоумышленникам удаленно заразить устройство через сообщение, занимающее много памяти.
- Письмо, сообщение или звонок от злоумышленников не обязательно остается на устройстве.
- В результате атаки злоумышленники могут читать, редактировать, копировать или удалять сообщения.
Взлом может представлять собой серию сетевых пакетов, запросов аутентификации, текстовых сообщений, MMS, сообщений голосовой почты, сеансов видеосвязи, телефонных звонков или сообщений, отправленных через Skype, Telegram, WhatsApp и другие сервисы. Все они могут использовать уязвимость в коде приложения, обрабатывающего данные.
Приложения для обмена сообщениями позволяют идентифицировать пользователей по номерам телефонов, которые легко найти. Следовательно, их пользователи могут стать легкой целью как для политических организаций, так и для коммерческих атак злоумышленников.
Специфика конкретной атаки с нулевым щелчком зависит от используемой уязвимости. Ключевой особенностью атак с нулевым щелчком является способность не оставлять следов, что значительно затрудняет их обнаружение: непросто определить, кто и с какой целью их использует. Однако сообщается, что спецслужбы по всему миру используют их для перехвата сообщений от подозреваемых преступников и террористов и для отслеживания их местонахождения.
Примеры вредоносных программ с нулевым щелчком
Уязвимости для атак с нулевым щелчком могут обнаружиться на различных устройствах, как Apple, так и Android. Ниже приведены основные примеры атак с нулевым щелчком.
Атака с нулевым щелчком на Apple, ForcedEntry, 2021 год
В 2021 году был взломан iPhone бахрейнского правозащитника. Для этого использовалась мощная шпионская программа, приобретенная государственными органами. Взлом, обнаруженный исследователями Citizen Lab, вызвал нарушение мер безопасности, применяемых Apple для защиты от скрытых угроз.
Citizen Lab – это орган по контролю интернета, базирующийся в Университете Торонто. Проанализировав iPhone 12 Pro, принадлежащий правозащитнику, специалисты Citizen Lab обнаружили, что он был взломан с помощью атаки с нулевым щелчком. В атаке с нулевым щелчком использовалась ранее неизвестная уязвимость в системе безопасности приложения iMessage от Apple для загрузки на телефон жертвы шпионской программы Pegasus, разработанной израильской фирмой NSO Group.
Этот взлом привлек большое внимание новостных агентств, главным образом, поскольку в нем использовалось новейшее на тот момент программное обеспечение iPhone: iOS 14.4 и более поздняя версия – iOS 14.6, выпущенная Apple в мае 2021 года. Посредством взлома удалось обойти функцию безопасности BlastDoor, встроенную во все версии iOS 14 и предназначенную для предотвращения такого рода взлома устройств путем фильтрации вредоносных данных, отправляемых через iMessage. Из-за способности обходить функцию BlastDoor, этот эксплойт получил название ForcedEntry. Со своей стороны, в Apple обновили функции защиты до iOS 15.
Взлом WhatsApp, 2019 год
Причиной этого печально известного взлома является пропущенный вызов, при котором используется ошибка в структуре исходного кода WhatsApp. Эксплойт нулевого дня (ранее неизвестная и не исправленная кибер-уязвимость) позволяет злоумышленникам загрузить шпионскую программу в данные, которыми обмениваются два устройства в ходе пропущенного вызова. После загрузки шпионская программа включается в фоновом режиме глубоко в программной платформе устройства.
Джефф Безос, 2018 год
В 2018 году наследный принц Саудовской Аравии Мухаммед бен Салман якобы отправил генеральному директору Amazon Джеффу Безосу сообщение в WhatsApp с видео, рекламирующим телекоммуникационный рынок Саудовской Аравии. Сообщалось, что видеофайл содержал фрагмент кода, позволяющий отправителю в течение нескольких месяцев получать информацию с iPhone Безоса. Это привело к перехвату текстовых и мгновенных сообщений, а также электронных писем и, возможно, даже к прослушиванию записей, сделанных с помощью микрофонов телефона.
Проект Raven, 2016 год
Проект Raven приписывается подразделению наступательных киберопераций ОАЭ, в состав которого входят сотрудники службы безопасности ОАЭ и бывшие аналитики АНБ США, работающие по контракту. Сообщалось, что с помощью инструмента Karma они использовали уязвимости iMessage. Для взлома iPhone активистов, дипломатов и лидеров соперничающих государств в Karma использовались специальные текстовые сообщения, позволяющие получить фотографии, электронные письма, текстовые сообщения и информацию о местоположении.
Как защититься от атак с нулевым щелчком
Атаки с нулевым щелчком не предполагают взаимодействия со стороны пользователя, и мало что можно предпринять для защиты от них. Эта идея обескураживает, однако важно помнить, что в целом такие атаки, как правило, нацелены на конкретных лиц в целях шпионажа или, возможно, для получения денежной выгоды.
Тем не менее, соблюдение элементарных правил кибергигиены поможет максимально повысить безопасность в интернете. Рекомендуется предпринять следующие разумные меры предосторожности:
- Регулярно обновляйте операционную систему, прошивку и приложения на всех устройствах.
- Загружайте приложения только из официальных магазинов.
- Удалите все приложения, которыми вы больше не пользуетесь.
- Избегайте взлома и получения root-прав на телефоне, поскольку это снимает защиту, обеспечиваемую Apple и Google.
- Используйте защиту паролем для вашего устройства.
- Используйте надежную систему аутентификации для доступа к учетным записям, особенно в критически важных сетях.
- Используйте надежные пароли – длинные и уникальные.
- Регулярно выполняйте резервное копирование систем. Системы можно восстановить в случае атак программ-вымогателей, а наличие актуальной резервной копии всех данных ускоряет процесс восстановления.
- Включите блокировку или запретите отображение всплывающих окон, изменив настройки браузера. Злоумышленники обычно используют всплывающие окна для распространения вредоносных программ.
Использование комплексного антивирусного решения также поможет обеспечить безопасность при работе в интернете. Kaspersky Premium обеспечивает постоянную надежную защиту от злоумышленников, вирусов и вредоносных программ, а также предоставляет инструменты для защиты онлайн-платежей и личных данных, которые оградят ваши устройства от любых угроз цифрового мира. Kaspersky Internet Security для Android также позволит защитить ваше Android-устройство.
Статьи по теме: