Как работают «зиро-клики» и что можно сделать для защиты

Некоторые думают, что если не кликать по опасным ссылкам, не открывать подозрительные файлы и не устанавливать программы, полученные из не очень-то доверенных источников, то заражения вредоносным ПО можно не опасаться. К сожалению, это не совсем так — существуют так называемые zero-click эксплойты, работающие без активного участия пользователя. Иногда термин zero-click некорректно переводят как «нулевой щелчок» или «нулевой клик», но такая формулировка только сбивает c толку, потому что в действительности для атаки никаких кликов и щелчков как раз не требуется.

Поиск уязвимостей, на базе которых создают zero-click эксплойты — процесс, требующий высокой квалификации и серьезных объемов ресурсов. Уязвимости, необходимые для успешной работы «зиро кликов», мягко говоря, не валяются под ногами — на черном рынке информация о подобных дырах может стоить сотни тысяч, а то и миллионы долларов. Поэтому зловреды, использующие Zero-Click эксплойты, также получаются совсем не дешевыми.

Однако, это вовсе не означает, что атаки с применением zero-click эксплойтов редки. Во-первых, информация об уязвимостях (в том числе и подходящих для создания zero-click эксплойтов) часто публикуется различными исследователями в Интернете, порой вместе с proof-of-concept кодом. То есть через какое-то время любой киберпреступник, следящий за новостями в сфере информационной безопасности, сможет использовать эту уязвимость в своих зловредах. Да, разработчики ПО стараются оперативно закрывать такие дыры, но как мы знаем, далеко не все оперативно устанавливают обновления.

Во-вторых, не стоит забывать и об уязвимостях в IoT-устройствах, серверах, разнообразных сетевых хранилищах (NAS). Все это оборудование работает без постоянного контроля человека, а следовательно, для атак на них априори используются эксплойты, не требующие участия пользователя. Так что о Zero-Click атаках стоит хотя бы знать — а еще лучше принимать некоторые меры для защиты от них.

Примеры Zero-Click атак

На нескольких примерах Zero-Click атак из реальной жизни покажем, как они работают на практике и какие методы используют создатели эксплойтов нулевого клика, чтобы достичь своих целей.

Шпионская кампания Operation Triangulation

Не так давно сотрудники нашей компании были атакованы неизвестной группой, использовавшей, в том числе и Zero-Click-эксплойт. Эта шпионская кампания получила название «Операция Триангуляция» (Operation Triangulation). С помощью сервиса iMessage на айфон жертвы злоумышленники отправляли сообщение, со специальным вложением, в котором содержался эксплойт. Благодаря ранее неизвестной уязвимости в iOS, этот эксплойт без какого либо взаимодействия со стороны пользователя вызывал выполнение вредоносного кода, который связывался с командным сервером и поэтапно загружал дополнительную вредоносную нагрузку. Она сначала повышала привилегии при помощи дополнительных эксплойтов, а затем запускала полноценную APT-платформу.

Для обхода внутренних защитных механизмов iPhone платформа работала исключительно в оперативной памяти устройства. Она позволяла злоумышленникам собирать информацию о владельце и запускать дополнительные плагины, подгружаемые с серверов управления. Обнаружить факт заражения удалось только благодаря системе мониторинга и анализа сетевых событий KUMA.

Конечно Apple оперативно закрыла данную уязвимость, однако это не первая эксплуатация ошибки в iMessage, позволяющая заражать iPhone невидимым зловредом. Раз злоумышленники активно исследуют этот сервис, нет гарантий, что они не найдут альтернативных способов и не применят их, в том числе и для массовых атак.

Шпионское ПО Intellexa Predator и Zero-Click уязвимость в Safari

Еще один достаточно свежий пример — недавно Apple выпустила важное обновление для iOS, macOS и ряда других программных продуктов, закрывшее несколько серьезных дырок. Уязвимость в браузере Apple Safari использовалась Zero-Click эксплойтом, входящим в состав шпионского ПО Predator от компании Intellexa.

Сперва атакующие ждали момента, когда жертва обращалась к любому сайту, соединение с которым не использовало шифрование (то есть HTTP, а не HTTPS). После этого они проводили атаку типа Man-in-the Middle (MITM), перенаправляя жертву на зараженный сайт. Далее использовалась описанная выше уязвимость в браузере Safari. С ее помощью без каких-либо действий со стороны жертвы, атакующие получали возможность исполнять произвольный код на айфоне. Затем, используя дополнительные уязвимости, преступники устанавливали на зараженный айфон шпионское ПО.

Также исследователями была обнаружена аналогичная цепочка эксплойтов, которую создатели Predator использовали для заражения Android-смартфонов — атака нулевого клика в этом случае проводилась на браузер Chrome.

Ранее в этом году мы уже писали о других дырах такого рода в Apple Safari и Google Chrome. Все они позволяют создавать вредоносные веб-страницы, которые в свою очередь заражают смартфоны или компьютеры посетивших их пользователей вредоносным ПО — без каких-либо дополнительных действий со стороны жертв.

Как защищаться от атак с нулевым кликом

Поскольку основная опасность «зиро кликов» заключается в том, что их создатели не нуждаются в активных действиях со стороны жертвы, обычные принципы онлайн-гигиены тут не сильно помогают. Тем не менее, кое-что для защиты все же можно сделать:

• Вовремя обновляйте программное обеспечение. В первую очередь — операционную систему и все установленные в ней браузеры.
• Если вы имеете основания опасаться атак с использованием коммерческого шпионского ПО серьезного уровня (NSO Pegasus и подобных ему) — у нас есть отдельный пост с рекомендациями, как от них можно защищаться.
• В случае iPhone полезно использовать Lockdown Mode. Этот режим помогает частично защититься от серьезных атак, но его ни в коем случае не стоит считать панацеей.
• Установите на все корпоративные устройства надежное защитное решение, которое позаботится о безопасности в те периоды времени, когда свежие уязвимости уже начали эксплуатировать, а соответствующие заплатки еще не вышли.
• Это относится в том числе и к iOS. Да, в силу политики Apple для этой операционной системы не существуют полноценных антивирусов. Однако в состав Kaspersky Endpoint Security для бизнеса входит приложение, которое как минимум может блокировать опасные веб-страницы, тем самым уменьшая вероятность эксплуатации уязвимостей в браузере.