การปกป้องสมาร์ทโฟนจากสปายแวร์ Pegasus

Pegasus เป็นซอฟต์แวร์สอดส่องแบบถูกกฎหมายที่พัฒนาโดยบริษัท NSO ของอิสราเอล และขายให้รัฐบาลของประเทศต่างๆ ในราคาค่อนข้างสูง การปรับใช้อย่างครอบคลุมอาจมีค่าใช้จ่ายหลายล้านดอลลาร์ มัลแวร์ถูกนำไปใช้อย่างกว้างขวางผ่านช่องโหว่ต่างๆ รวมถึง zero-click zero-days ของ iOS หลายรายการ โดยหลังจากสแกนอุปกรณ์เป้าหมายแล้ว จะติดตั้งโมดูลที่จำเป็นเพื่ออ่านข้อความและอีเมลของผู้ใช้ ฟังการโทร จับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ กรองประวัติการใช้เบราว์เซอร์ รายชื่อติดต่อ และอื่นๆ โดยพื้นฐานแล้ว Pegasus สามารถสอดแนมทุกแง่มุมของเป้าหมายได้

 

ทำอย่างไรหากอุปกรณ์ติด Pegasus

  • เปลี่ยนอุปกรณ์ หากใช้ iOS ให้ลองเปลี่ยนไปใช้ Android ซักพัก หากใช้ Android ให้ย้ายไปที่ iOS วิธีการนี้อาจทำให้ผู้โจมตีสับสนในบางครั้ง เนื่องจากเป็นที่ทราบกันดีว่าผู้ก่อภัยคุกคามบางรายจะสามารถซื้อมัลแวร์ที่ใช้งานได้กับโทรศัพท์บางยี่ห้อและระบบปฏิบัติการบางระบบเท่านั้น
     
  • หาอุปกรณ์สำรอง แนะนำระบบปฏิบัติการ GrapheneOS เพื่อการสื่อสารที่ปลอดภัย ใช้บัตรเติมเงินหรือเชื่อมต่อด้วย Wi-Fi และ TOR เท่านั้นในขณะที่อยู่ในโหมดเครื่องบิน
     
  • หลีกเลี่ยงแอปส่งข้อความที่ต้องให้หมายเลขโทรศัพท์ของคุณแก่ผู้ติดต่อ เพราะหากผู้โจมตีมีหมายเลขโทรศัพท์ของคุณแล้ว ก็จะสามารถกำหนดเป้าหมายผ่านแอปส่งข้อความอื่นๆ ได้อย่างง่ายดาย โดย iMessage, WhatsApp, Signal, Telegram เป็นแอปที่เชื่อมโยงกับหมายเลขโทรศัพท์ของคุณ
     
  • พยายามติดต่อนักวิจัยด้านความปลอดภัยและหารือแนวทางปฏิบัติที่ดีที่สุดอย่างสม่ำเสมอ บอกเล่าสิ่งที่พบ ข้อความหรือบันทึกที่น่าสงสัยเมื่อใดก็ตามที่คุณคิดว่ามีบางอย่างผิดปกติ

 

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “แม้ว่าการรักษาความปลอดภัยจะไม่ใช่หนทางแก้ไขเดียวที่พิสูจน์ได้อย่าง 100% แต่ให้ลองคิดว่า การรักษาความปลอดภัยก็เหมือนกระแสน้ำไหลที่คุณต้องปรับการแล่นเรือตามความเร็ว กระแสน้ำ และอุปสรรคต่างๆ การป้องกันนั้นย่อมดีกว่าการรักษาแก้ไข อีกทั้งยังสามารถทำได้ในเชิงรุกมากขึ้นในระดับบุคคล”

ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอแนะนำดังต่อไปนี้เพื่อป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์ iOS

  • รีบูตอุปกรณ์ทุกวัน ห่วงโซ่การแพร่ระบาดของ Pegasus มักอาศัยการคลิก zero-click 0-days ดังนั้นการรีบูตเป็นประจำจะช่วยเคลียร์อุปกรณ์ให้สะอาด หากอุปกรณ์ถูกรีบูตทุกวัน ผู้โจมตีจะต้องแพร่มัลแวร์ซ้ำแล้วซ้ำอีก ซึ่งจะเพิ่มโอกาสในการถูกตรวจจับได้ ความผิดพลาดอาจเกิดขึ้นหรืออาจมีการบันทึกที่ทำให้ลักษณะการซ่อนตัวของมัลแวร์หายไป
     
  • ปิดการใช้งาน iMessage iMessage อยู่ใน iOS และเปิดใช้งานโดยใช้ค่าเริ่มต้น ทำให้เป็นเวกเตอร์การแสวงหาผลประโยชน์ที่น่าดึงดูดใจสำหรับผู้ก่อภัยคุกคาม การเปิดใช้งานโดยใช้ค่าเริ่มต้นนี้จึงเป็นกลไกอันดับต้นๆ สำหรับ zero-click chains และช่องโหว่ของ iMessage นั้นเป็นที่ต้องการสูงมานานหลายปี โดยเฉพาะบริษัทนายหน้าหาช่องโหว่ที่มียอดซื้อสูงสุด
     
  • ปิดการใช้งาน Facetime คำแนะนำเดียวกับ iMessage
     
  • อัปเดตอุปกรณ์โมบายอยู่เสมอ ติดตั้งแพตช์ iOS ล่าสุดทันทีที่แพตช์ออก ผู้ก่อภัยคุกคามไม่สามารถซื้อ zero-click 0-day ได้ทุกคน อันที่จริงแล้ว iOS exploit kits จำนวนมากที่เราเห็นนั้นกำลังตั้งเป้าไปที่ช่องโหว่ที่แพตช์แล้ว อย่างไรก็ตาม ยังมีผู้ใช้หลายคนที่ใช้โทรศัพท์รุ่นเก่าและเลื่อนการอัปเดตออกไปด้วยเหตุผลต่างๆ
     
  • อย่าคลิกลิงก์ที่ได้รับในข้อความ เป็นคำแนะนำง่ายๆ แต่ได้ผลดีเสมอ ไม่ใช่ว่าลูกค้า Pegasus ทุกคนจะสามารถซื้อ zero-click 0-day ได้ในราคาหลายล้าน ดังนั้นจึงจะต้องอาศัยหาประโยชน์จากการคลิกครั้งเดียว ซึ่งจะมาในรูปแบบข้อความ บางครั้งทาง SMS แอปส่งข้อความ หรืออีเมล หากคุณได้รับข้อความที่น่าสนใจพร้อมลิงก์ แนะนำให้เปิดบนคอมพิวเตอร์เดสก์ท็อปแทนอุปกรณ์โมบาย ควรใช้เบราว์เซอร์ TOR หรือจะดีกว่านั้นหากใช้ OS อื่นที่ปลอดภัย เช่น Tails
     
  • ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์อื่น เช่น Firefox Focus แทนการใช้ Safari หรือ Chrome แม้ว่าที่จริงแล้วเบราว์เซอร์ทั้งหมดบน iOS จะใช้เอ็นจิ้นเดียวกัน แต่ Webkit การหาช่องโหว่บางอย่างก็ทำงานได้ไม่ดีในเบราว์เซอร์สำรองบางตัว
     
  • ใช้ VPN ปิดบังการรับส่งข้อมูลเสมอ ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูเว็บไซต์ HTTP หรือโดยการจี้ DNS การใช้ VPN เพื่อปิดบังการรับส่งข้อมูลทำให้ผู้ให้บริการ GSM กำหนดเป้าหมายคุณโดยตรงทางอินเทอร์เน็ตได้ยาก นอกจากนี้ยังทำให้กระบวนการกำหนดเป้าหมายซับซ้อนขึ้นหากผู้โจมตีสามารถควบคุมสตรีมข้อมูลของคุณได้ เช่น ขณะโรมมิ่ง ทั้งนี้ VPN บางตัวไม่เหมือนกันและไม่ใช่ VPN ทุกตัวที่ใช้งานได้ดี
     
  • ติดตั้งแอปพลิเคชันความปลอดภัยที่ตรวจสอบและเตือนว่าอุปกรณ์ถูกเจลเบรคแล้วหรือไม่ ผู้โจมตีจะปรับใช้งานกลไกและเจลเบรกอุปกรณ์ของคุณ หลังจากที่ถูกเคลียร์ออกจากระบบซ้ำแล้วซ้ำเล่า
     
  • ทำการสำรองข้อมูล iTunes หนึ่งครั้งต่อเดือน ซึ่งช่วยให้สามารถวินิจฉัยและค้นหาการติดมัลแวร์ได้ในภายหลัง
     
  • กด sysdiags บ่อยๆ และบันทึกลงในการสำรองข้อมูลภายนอก สิ่งที่ค้นพบทางนิติเวชสามารถช่วยระบุได้ในภายหลังว่าคุณตกเป็นเป้าหมายหรือไม่ การทริกเกอร์ sysdiag นั้นขึ้นอยู่กับรุ่นของโทรศัพท์ ตัวอย่างเช่น ใน iPhone บางรุ่น ทำได้โดยการกด Volume Up + Volume Down + Power พร้อมกัน คุณอาจต้องทำสองสามครั้งจนกว่าโทรศัพท์จะดัง เมื่อสร้าง sysdiag แล้ว จะปรากฏในการวินิจฉัยดังนี้:

 

วิธีป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์ Android

การป้องกันบนอุปกรณ์ Android นั้นมีวิธีการที่คล้ายกัน โดยสามารถอ่านรายละเอียดและคำอธิบายได้จากรายการสำหรับ iOS ด้านบน

  • รีบูตทุกวัน ความทนทานของมัลแวร์บนอุปกรณ์ Android เวอร์ชันล่าสุดนั้นเป็นเรื่องยากสำหรับ APT จำนวนมาก
  • อัปเดตโทรศัพท์อยู่เสมอ ติดตั้งแพตช์ล่าสุด
  • อย่าคลิกลิงก์ที่ได้รับในข้อความ
  • ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์สำรอง เช่น Firefox Focus แทน Chrome เริ่มต้น
  • ใช้ VPN เพื่อปิดบังการรับส่งข้อมูลของคุณเสมอ ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูไซต์ HTTP หรือโดยการจี้ DNS
  • ติดตั้งโซลูชันความปลอดภัยที่สแกนหามัลแวร์ และตรวจสอบและเตือนว่าอุปกรณ์ถูกรูทหรือไม่

การป้องกันในระดับที่ซับซ้อนยิ่งขึ้นทั้งสำหรับอุปกรณ์ iOS และ Android คือแนะนำให้ตรวจสอบทราฟฟิกเครือข่ายเสมอโดยใช้ live IoC การตั้งค่าที่ดีอาจรวมถึง Wireguard VPN แบบเปิดตลอดเวลา ไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของคุณ โดยใช้ pihole เพื่อกรองสิ่งไม่ดีและบันทึกการรับส่งข้อมูลทั้งหมดสำหรับการตรวจสอบเพิ่มเติม
 

ภัยคุกคาม Pegasus และการตอบสนองป้องกันของแคสเปอร์สกี้

Kaspersky Security Cloud สำหรับอุปกรร์ iOS สามารถบล็อก Pegasus ที่ซับซ้อนำด้ โซลูชันนี้มาพร้อมกับการป้องกันฟิชชิ่งเพื่อป้องกันทราฟฟิกเครือข่าย ซึ่งหมายความว่าคำขอ DNS จะถูกจัดหมวดหมู่ และหากคำขอเหล่านั้นเชื่อมโยงกับโดเมนฟิชชิ่งหรือมัลแวร์ และโดเมนเหล่านี้เชื่อมโยงกับ Pegasus เทคโนโลยีของเราจะทำการบล็อกทันที

นอกจากนี้ เรายังสามารถบล็อก Pegasus บนอุปกรณ์ Android ได้อีกด้วย Kaspersky Internet Security for Android สามารถตรวจจับเวอร์ชันเก่าของตระกูล Pegasus เช่น Trojan-Spy.AndroidOS.Pegasus.a

Kaspersky Internet Security ได้รับรางวัล AV-TEST สองรางวัลสำหรับประสิทธิภาพและการป้องกันที่ดีที่สุดสำหรับผลิตภัณฑ์ความปลอดภัยทางอินเทอร์เน็ตในปี 2021 ในการทดสอบทั้งหมด Kaspersky Internet Security แสดงให้เห็นถึงประสิทธิภาพที่โดดเด่นและการป้องกันภัยคุกคามทางไซเบอร์