Settimana scorsa Apple ha rilasciato le patch per bloccare Pegasus, uno spyware unico nel suo genere che porta nuovamente l’attenzione su come lo scenario delle minacce informatiche cambi rapidamente, rendendo più complessa la protezione, e su quale possa essere una strategia efficace per garantire la sicurezza di tutti i dispositivi. Toby Lewis, Global Head of Threat Analysis di Darktrace analizza le caratteristiche di Pegasus e spiega perché in futuro dovremo prestare sempre più attenzione alla protezione dei nostri device.
Cosa sappiamo del software Pegasus e di come questo spyware sia riuscito ad hackerare i dispositivi Apple? Perché quanto è successo segna un cambiamento importante nelle strategie degli hacker e richiederà una maggiore attenzione nella protezione dei nostri device?
Facciamo un passo indietro per capire come funziona Pegasus e come sarà possibile correre ai ripari.
Alcuni giorni fa Apple ha rilasciato le patch per bloccare lo spyware Pegasus, il controverso software della società israeliana NSO che aveva hackerato con successo i suoi dispositivi.
La novità principale di Pegasus è che questo spyware è in grado di attivare la fotocamera e il microfono dello smartphone di un utente in modo da registrare messaggi, testi, e-mail e chiamate, il tutto senza ricorrere a collegamenti o pulsanti ingannevoli. Pegasus riesce a fare tutto questo sfruttando una serie di exploit per ottenere l’accesso a un dispositivo e può essere in qualche modo adattato al bersaglio o alla campagna di attacco.
Fondamentalmente, ha accesso a una serie di vulnerabilità iOS (Apple) e Android che consentirebbero loro di sfruttare una serie di applicazioni native (cioè applicazioni preinstallate sui dispositivi), spesso semplicemente provando ad aprire un file inviato in una e-mail o tramite SMS; o facendo clic su un collegamento che si apre in Safari.
Gli exploit consentono agli hacker di eseguire il jailbreak del dispositivo, attribuirsi privilegi elevati per installare applicazioni aggiuntive o configurare il dispositivo come desiderano, inclusa l’installazione del componente spyware di Pegasus. A sua volta, lo spyware Pegasus può registrare testi, e-mail e telefonate e condividerli con i clienti del gruppo NSO. Può anche accendere le fotocamere e i microfoni dei dispositivi, il tutto senza avere più bisogno della collaborazione involontaria dell’utente per compromettere il suo dispositivo tramite phishing o altre attività perché la catena di exploit sfruttata da Pegasus si attiva, senza richiedere alcuna interazione da parte della vittima designata.
Exploit come questi sono, infatti, altamente sofisticati e spesso prendono di mira individui specifici come agenti dell’intelligence, giornalisti, politici ed altro, che possiedono informazioni altamente classificate o riservate. Si tratta di obiettivi ad alta priorità per gli hacker, che troveranno sempre un modo di colpire.
In particolare, l’exploit della vulnerabilità ForcedEntry sfruttato da Pegasus e conosciuto anche con il nome di Megalodon, è stato armato dalla NSO e dato in uso al governo del Bahrain che lo avrebbe sfruttato lo scorso mese di febbraio per spiare i telefonini di nove attivisti politici.
Sebbene questi attacchi non rappresentino di per sé una minaccia per la maggior parte degli utenti Apple, l’aumento della loro adozione da parte dei criminali informatici potrebbe rivelarsi presto un problema grave. i cybercriminali, ad esempio, potrebbero utilizzare l’accesso ottenuto per rubare dati personali e avviare campagne più grandi, frodi, furti e potenzialmente anche un blocco degli utenti in massa per richiedere il pagamento.
Una volta creati, inoltre, gli spyware, possono essere venduti e proliferare rapidamente sul mercato dark a livello globale e quando finiranno nelle mani sbagliate saranno sicuramente utilizzati per ulteriori azioni illecite e potenzialmente adattati per un gruppo più ampio di obiettivi.
Dal punto di vista dell’architettura di sicurezza, Apple gestisce da tempo un cosiddetto “Walled Garden” in cui il sistema operativo sottostante sul telefono è completamente inaccessibile a qualsiasi applicazione di terze parti, che può essere installata solo tramite l’App Store ufficiale dove è installata, a sua volta, girando in un’area compartimentata di stoccaggio e lavorazione. Con l’alto grado di controllo delle applicazioni nell’App Store, l’unico vero modo per installare un malware su un dispositivo Apple è proprio sfruttare il sistema operativo sottostante, il processo noto come jailbreak utilizzato nel caso Pegasus.
Apple ha sicuramente un’architettura più chiusa rispetto ad Android, che lascia gli utenti maggiormente liberi nell’installare qualunque applicazione con controlli più limitati anche tramite l’App Store ufficiale (Google Play), aumentando così il rischio di installazione di malware senza la necessità di un exploit intelligente, ma che comunque non ha impedito agli hacker di trovare nuove vie per violarla.
Nel complesso, inoltre, Apple ha un’ottima esperienza nel lavorare con i ricercatori per identificare gli exploit in modo che possano essere corretti rapidamente, ma questo non significa che lo zero-day non fosse già stato sfruttato prima di essere identificato e che le tempistiche in ambito security a volte non siano ancora troppo lunghe: il gruppo di ricerca ha scoperto l’exploit nel mese di marzo mentre esaminava il telefono di un attivista saudita e secondo un’organizzazione di sicurezza informatica dell’Università di Toronto, Pegasus utilizzava questa vulnerabilità “almeno da febbraio 2021. Apple ha rilasciato una patch a metà settembre.
I cyber-attaccanti prenderanno sempre di mira aziende come Apple, data la proliferazione della loro tecnologia e quanto sia diventata fondamentale per tutto ciò che facciamo: dalla navigazione con le mappe, agli accessi fino ai nostri conti bancari, le nostre vite dipendono sempre più da questi dispositivi.
Il mio consiglio di fronte a tutta questa vicenda è di aggiornare immediatamente i propri dispositivi Apple e di continuare a farlo con regolarità, soprattutto se si accede a informazioni riservate- Anche se è improbabile che la maggior parte di noi venga presa di mira, è meglio prevenire che curare.
Dobbiamo prestare maggiore attenzione e accettare che tutta la tecnologia introduce rischi per la sicurezza, per questo i settori maggiormente a rischio dovrebbero prendere ulteriori precauzioni per proteggere le proprie comunicazioni adottando ulteriori livelli di difesa. In questo contesto, l’IA ad autoapprendimento ha fatto passi da gigante e permette oggi alle organizzazioni di rilevare malware e spyware sui dispositivi dei dipendenti prima ancora che le informazioni sensibili fuoriescano dall’organizzazione.