“Kaspersky”nin Qlobal Təhdid Tədqiqatı və Təhlili Mərkəzinin (GReAT) mütəxəssisləri iOS cihazlarının “Pegasus”, “Reign” və “Predator” kimi mürəkkəb casus proqramları ilə yoluxma göstəricilərini aşkar etmək üçün yeni üsul hazırlayıblar. Yeni sadə alət istifadəçilərin öz iPhone cihazlarını müstəqil şəkildə yoxlaya bilmələri üçün “Shutdown.log”da əvvəllər məlum olmayan izləri axtarmağa imkan verir.
“Kaspersky” tədqiqatçıları istənilən iOS mobil cihazının sistem diaqnostikası arxivində saxlanılan “Shutdown.log” sistem jurnalında “Pegasus”a yoluxmanın yeni əlamətlərini aşkar ediblər. Bu arxiv cihazın hər bir yenidən başladılma seansı haqqında məlumatları ehtiva edir. Bu o deməkdir ki, yoluxmuş cihazın sahibi mütəmadi olaraq onu yenidən işə salırsa, jurnalda “Pegasus” zərərli proqramı ilə əlaqəli anomaliyalar meydana çıxır.
Aşkar edilmiş anomaliyalar arasında yenidən başlatmalara mane olan “Pegasus”la bağlı ləngimiş proseslər haqqında qeydlər, həmçinin kibertəhlükəsizlik cəmiyyətində başqaları tərəfindən müəyyən edilmiş digər yoluxma izləri var.
“Təhlil aləti demək olar ki, heç bir resurs tələb etmədən sistem artefaktlarını araşdırmaq və potensial iPhone infeksiyalarını müəyyən etməyə imkan verir. Jurnaldakı göstəricilərin təhlili əsasında metodumuzla aşkar edilən infeksiya ‘Mobile Verification Toolkit (MVT)’dən istifadə edərək digər iOS artefaktlarının emalı ilə təsdiqlənib. Müvafiq olaraq, bizim yanaşmamız iOS yoluxmalarının öyrənilməsinə vahid yanaşmanın bir hissəsinə çevrilir. Üstəlik, təhlil etdiyimiz digər ‘Pegasus’ infeksiyalarında bu davranışın ardıcıllığını təsdiqləmişik və inanırıq ki, bu, yoluxma prosesinin sonrakı tədqiqi üçün etibarlı artefakt rolunu oynayacaq”, – deyə “Kaspersky“nin Qlobal Təhdid Tədqiqatı və Təhlili Mərkəzinin (GReAT) rəhbəri İqor Kuznetsov qeyd edir.
Pegasus insidentlərində “Shutdown.log”u təhlil etdikdən sonra “Kaspersky” mütəxəssisləri “Reign” və “Predator” kimi digər zərərli proqramların iOS yoluxmalarında da müəyyən edilmiş bənzər standart yoluxma yollarını, yəni “/private/var/db/” aşkar ediblər. Şirkət mütəxəssisləri ehtimal edir ki, həmin jurnal faylı bu zərərli proqram ailələri ilə əlaqəli yoluxmaları müəyyən etməyə kömək edəcək.
Cihazlarda casus proqramının tapılmasını asanlaşdırmaq üçün “Kaspersky” mütəxəssisləri “Shutdown.log” artefaktlarını aşkar və təhlil etməyi asanlaşdıran xüsusi alət (utility) hazırlayıblar.
Pegasus kimi iOS casus proqramları öz mürəkkəbliyi ilə seçilir. Cihazları bu cür zərərli proqramlardan qorumaq üçün “Kaspersky” mütəxəssisləri tövsiyə edirlər:
- Cihazınızı hər gün yenidən başladın (restart edin). “Amnesty International” və “Citizen Lab”a görə, “Pegasus” tez-tez sıfır gün zəifliklərindən istifadə edir. Gündəlik yenidən başlatma cihazın yaddaşını təmizləməyə kömək edə bilər ki, nəticədə təcavüzkarlar eyni yoluxdurmanı təkrarən işə salmağa məcbur qalır və zaman keçdikcə onların aşkarlanma şansı artır.
- “Lockdown” rejimini aktivləşdirin. Hədəfli kiberhücumlara qarşı “Apple” şirkəti tərəfindən bu yaxınlarda əlavə edilmiş ekstremal müdafiə rejimindən istifadənin uğuru haqqında artıq ictimai hesabatlar var.
- iMessage və Facetime funksiyalarını söndürün. Təcavüzkarlar defolt olaraq aktivləşdirilən bu funksiyalardan istifadə edə bilərlər. Onları söndürməklə, sıfır klik hücum silsiləsinin qurbanı olmaq riski xeyli azalır.
- Cihazınızı müntəzəm olaraq yeniləyin. iOS yamaqlarını buraxılan kimi quraşdırın, çünki bir çox iOS istismar dəstləri artıq yamaqları mövcud olan zəifliklərdən istifadə edir. Təcavüzkarları qabaqlamaq üçün cihazınızın yenilənməsini təxirə salmamaq vacibdir.
- Müntəzəm olaraq ehtiyat nüsxələrini yoxlayın və sistem diaqnostikasını aparın. MVT dəstindən, həmçinin “Kaspersky” alətlərindən istifadə etməklə şifrələnmiş ehtiyat nüsxələrin və systemin diaqnostik arxivlərinin emalı zərərli proqramın aşkarlanmasına kömək edə bilər.
Mürəkkəb casus proqram ilə iOS cihazlarının yoluxma göstəricilərinin aşkarlanmasının yeni üsulları haqqında daha ətraflı məlumatı buradan əldə edə biləriniz: https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/.