รู้จัก สปายแวร์ 'เพกาซัส' !!! ทำอย่างไร ไม่ให้ตกเป็นเหยื่อ!!!
เพกาซัส (Pegasus) ซอฟต์แวร์สอดส่องแบบถูกกฎหมายที่พัฒนา โดยบริษัทเอ็นเอสโอของอิสราเอล และขายให้รัฐบาลของประเทศต่างๆ ในราคาค่อนข้างสูง การปรับใช้อย่างครอบคลุมอาจมีค่าใช้จ่ายหลายล้านดอลลาร์ แคสเปอร์สกี้ ออกคำแนะนำป้องกัน!!
เพกาซัส (Pegasus) เป็นซอฟต์แวร์สอดส่องแบบถูกกฎหมายที่พัฒนาโดยบริษัท NSO ของอิสราเอล และขายให้รัฐบาลของประเทศต่างๆ ในราคาค่อนข้างสูง การปรับใช้อย่างครอบคลุมอาจมีค่าใช้จ่ายหลายล้านดอลลาร์ มัลแวร์ถูกนำไปใช้อย่างกว้างขวางผ่านช่องโหว่ต่างๆ รวมถึง zero-click zero-days ของ iOS หลายรายการ โดยหลังจากสแกนอุปกรณ์เป้าหมายแล้ว จะติดตั้งโมดูลที่จำเป็นเพื่ออ่านข้อความและอีเมลของผู้ใช้ ฟังการโทร จับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ กรองประวัติการใช้เบราว์เซอร์ รายชื่อติดต่อ และอื่นๆ โดยพื้นฐานแล้ว Pegasus สามารถสอดแนมทุกแง่มุมของเป้าหมายได้
จะทำอย่างไรหากอุปกรณ์ติด Pegasus
• เปลี่ยนอุปกรณ์ หากใช้ iOS ให้ลองเปลี่ยนไปใช้ Android ซักพัก หากใช้ Android ให้ย้ายไปที่ iOS วิธีการนี้อาจทำให้ผู้โจมตีสับสนในบางครั้ง เนื่องจากเป็นที่ทราบกันดีว่าผู้ก่อภัยคุกคามบางรายจะสามารถซื้อมัลแวร์ที่ใช้งานได้กับโทรศัพท์บางยี่ห้อและระบบปฏิบัติการบางระบบเท่านั้น
• หาอุปกรณ์สำรอง แนะนำระบบปฏิบัติการ GrapheneOS เพื่อการสื่อสารที่ปลอดภัย ใช้บัตรเติมเงินหรือเชื่อมต่อด้วย Wi-Fi และ TOR เท่านั้นในขณะที่อยู่ในโหมดเครื่องบิน
• หลีกเลี่ยงแอปส่งข้อความที่ต้องให้หมายเลขโทรศัพท์ของคุณแก่ผู้ติดต่อ เพราะหากผู้โจมตีมีหมายเลขโทรศัพท์ของคุณแล้ว ก็จะสามารถกำหนดเป้าหมายผ่านแอปส่งข้อความอื่นๆ ได้อย่างง่ายดาย โดย iMessage, WhatsApp, Signal, Telegram เป็นแอปที่เชื่อมโยงกับหมายเลขโทรศัพท์ของคุณ
• พยายามติดต่อนักวิจัยด้านความปลอดภัยและหารือแนวทางปฏิบัติที่ดีที่สุดอย่างสม่ำเสมอ บอกเล่าสิ่งที่พบ ข้อความหรือบันทึกที่น่าสงสัยเมื่อใดก็ตามที่คุณคิดว่ามีบางอย่างผิดปกติ
เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “แม้ว่าการรักษาความปลอดภัยจะไม่ใช่หนทางแก้ไขเดียวที่พิสูจน์ได้อย่าง 100% แต่ให้ลองคิดว่า การรักษาความปลอดภัยก็เหมือนกระแสน้ำไหลที่คุณต้องปรับการแล่นเรือตามความเร็ว กระแสน้ำ และอุปสรรคต่างๆ การป้องกันนั้นย่อมดีกว่าการรักษาแก้ไข อีกทั้งยังสามารถทำได้ในเชิงรุกมากขึ้นในระดับบุคคล”
ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอแนะนำดังต่อไปนี้เพื่อป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์ iOS
• รีบูตอุปกรณ์ทุกวัน ห่วงโซ่การแพร่ระบาดของ Pegasus มักอาศัยการคลิก zero-click 0-days ดังนั้นการรีบูตเป็นประจำจะช่วยเคลียร์อุปกรณ์ให้สะอาด หากอุปกรณ์ถูกรีบูตทุกวัน ผู้โจมตีจะต้องแพร่มัลแวร์ซ้ำแล้วซ้ำอีก ซึ่งจะเพิ่มโอกาสในการถูกตรวจจับได้ ความผิดพลาดอาจเกิดขึ้นหรืออาจมีการบันทึกที่ทำให้ลักษณะการซ่อนตัวของมัลแวร์หายไป
• ปิดการใช้งาน iMessage iMessage อยู่ใน iOS และเปิดใช้งานโดยใช้ค่าเริ่มต้น ทำให้เป็นเวกเตอร์การแสวงหาผลประโยชน์ที่น่าดึงดูดใจสำหรับผู้ก่อภัยคุกคาม การเปิดใช้งานโดยใช้ค่าเริ่มต้นนี้จึงเป็นกลไกอันดับต้นๆ สำหรับ zero-click chains และช่องโหว่ของ iMessage นั้นเป็นที่ต้องการสูงมานานหลายปี โดยเฉพาะบริษัทนายหน้าหาช่องโหว่ที่มียอดซื้อสูงสุด
• ปิดการใช้งาน Facetime คำแนะนำเดียวกับ iMessage
• อัปเดตอุปกรณ์โมบายอยู่เสมอ ติดตั้งแพตช์ iOS ล่าสุดทันทีที่แพตช์ออก ผู้ก่อภัยคุกคามไม่สามารถซื้อ zero-click 0-day ได้ทุกคน อันที่จริงแล้ว iOS exploit kits จำนวนมากที่เราเห็นนั้นกำลังตั้งเป้าไปที่ช่องโหว่ที่แพตช์แล้ว อย่างไรก็ตาม ยังมีผู้ใช้หลายคนที่ใช้โทรศัพท์รุ่นเก่าและเลื่อนการอัปเดตออกไปด้วยเหตุผลต่างๆ
• อย่าคลิกลิงก์ที่ได้รับในข้อความ เป็นคำแนะนำง่ายๆ แต่ได้ผลดีเสมอ ไม่ใช่ว่าลูกค้า Pegasus ทุกคนจะสามารถซื้อ zero-click 0-day ได้ในราคาหลายล้าน ดังนั้นจึงจะต้องอาศัยหาประโยชน์จากการคลิกครั้งเดียว ซึ่งจะมาในรูปแบบข้อความ บางครั้งทาง SMS แอปส่งข้อความ หรืออีเมล หากคุณได้รับข้อความที่น่าสนใจพร้อมลิงก์ แนะนำให้เปิดบนคอมพิวเตอร์เดสก์ท็อปแทนอุปกรณ์โมบาย ควรใช้เบราว์เซอร์ TOR หรือจะดีกว่านั้นหากใช้ OS อื่นที่ปลอดภัย เช่น Tails
• ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์อื่น เช่น Firefox Focus แทนการใช้ Safari หรือ Chrome แม้ว่าที่จริงแล้วเบราว์เซอร์ทั้งหมดบน iOS จะใช้เอ็นจิ้นเดียวกัน แต่ Webkit การหาช่องโหว่บางอย่างก็ทำงานได้ไม่ดีในเบราว์เซอร์สำรองบางตัว
• ใช้ VPN ปิดบังการรับส่งข้อมูลเสมอ ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูเว็บไซต์ HTTP หรือโดยการจี้ DNS การใช้ VPN เพื่อปิดบังการรับส่งข้อมูลทำให้ผู้ให้บริการ GSM กำหนดเป้าหมายคุณโดยตรงทางอินเทอร์เน็ตได้ยาก นอกจากนี้ยังทำให้กระบวนการกำหนดเป้าหมายซับซ้อนขึ้นหากผู้โจมตีสามารถควบคุมสตรีมข้อมูลของคุณได้ เช่น ขณะโรมมิ่ง ทั้งนี้ VPN บางตัวไม่เหมือนกันและไม่ใช่ VPN ทุกตัวที่ใช้งานได้ดี
• ติดตั้งแอปพลิเคชันความปลอดภัยที่ตรวจสอบและเตือนว่าอุปกรณ์ถูกเจลเบรคแล้วหรือไม่ ผู้โจมตีจะปรับใช้งานกลไกและเจลเบรกอุปกรณ์ของคุณ หลังจากที่ถูกเคลียร์ออกจากระบบซ้ำแล้วซ้ำเล่า
• ทำการสำรองข้อมูล iTunes หนึ่งครั้งต่อเดือน ซึ่งช่วยให้สามารถวินิจฉัยและค้นหาการติดมัลแวร์ได้ในภายหลัง
• กด sysdiags บ่อยๆ และบันทึกลงในการสำรองข้อมูลภายนอก สิ่งที่ค้นพบทางนิติเวชสามารถช่วยระบุได้ในภายหลังว่าคุณตกเป็นเป้าหมายหรือไม่ การทริกเกอร์ sysdiag นั้นขึ้นอยู่กับรุ่นของโทรศัพท์ ตัวอย่างเช่น ใน iPhone บางรุ่น ทำได้โดยการกด Volume Up + Volume Down + Power พร้อมกัน คุณอาจต้องทำสองสามครั้งจนกว่าโทรศัพท์จะดัง เมื่อสร้าง sysdiag แล้ว จะปรากฏในการวินิจฉัยดังนี้:
วิธีป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์ Android
การป้องกันบนอุปกรณ์ Android นั้นมีวิธีการที่คล้ายกัน โดยสามารถอ่านรายละเอียดและคำอธิบายได้จากรายการสำหรับ iOS ด้านบน
• รีบูตทุกวัน ความทนทานของมัลแวร์บนอุปกรณ์ Android เวอร์ชันล่าสุดนั้นเป็นเรื่องยากสำหรับ APT จำนวนมาก
• อัปเดตโทรศัพท์อยู่เสมอ ติดตั้งแพตช์ล่าสุด
• อย่าคลิกลิงก์ที่ได้รับในข้อความ
• ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์สำรอง เช่น Firefox Focus แทน Chrome เริ่มต้น
• ใช้ VPN เพื่อปิดบังการรับส่งข้อมูลของคุณเสมอ ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูไซต์ HTTP หรือโดยการจี้ DNS
• ติดตั้งโซลูชันความปลอดภัยที่สแกนหามัลแวร์ และตรวจสอบและเตือนว่าอุปกรณ์ถูกรูทหรือไม่
การป้องกันในระดับที่ซับซ้อนยิ่งขึ้นทั้งสำหรับอุปกรณ์ iOS และ Android คือแนะนำให้ตรวจสอบทราฟฟิกเครือข่ายเสมอโดยใช้ live IoC การตั้งค่าที่ดีอาจรวมถึง Wireguard VPN แบบเปิดตลอดเวลา ไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของคุณ โดยใช้ pihole เพื่อกรองสิ่งไม่ดีและบันทึกการรับส่งข้อมูลทั้งหมดสำหรับการตรวจสอบเพิ่มเติม