2021年7月,一次由全球17家媒体联合展开的调查震惊了世界:以色列NSO集团开发的Pegasus商业间谍软件已被至少45个国家的政府机构用于监控超过5万个电话号码,被监控对象包括国家元首、王室成员、政府部长、外交官、记者、人权活动人士和跨国公司高管。调查发现,Pegasus软件利用iOS和Android系统的零日漏洞,通过WhatsApp的一条未接来电、iMessage的一条信息或一个网页链接即可完成植入,一旦植入成功,攻击者即可远程开启被控设备的麦克风和摄像头、提取加密聊天记录、读取邮件短信、追踪GPS位置,而设备所有者对此毫不知情。多位欧洲国家领导人的手机被确认遭到入侵,包括法国总统马克龙、巴基斯坦总理伊姆兰汗和多位沙特王室成员。
什么是Pegasus间谍软件?Pegasus是一款由以色列NSO集团开发的商业间谍软件,属于国际上最具代表性的手机远程监控工具。该软件通过零点击或一键点击的植入方式,无需受害者任何交互即可或仅需一次点击即可完成安装,随后与远程控制服务器建立隐蔽通信通道。被控设备上的一切数据均对攻击者透明,且软件具备自毁功能,在检测到安全扫描时主动隐藏自身。
手机间谍软件的攻击链路大体可分为四个阶段。首要阶段是目标选定与情报搜集阶段,攻击者通过情报手段获取目标的手机号码、常用应用和通信习惯,选择最容易触发植入的渠道。第二阶段是武器化植入阶段,利用已知或新发现的零日漏洞构造攻击载荷,通过短信、即时通讯消息或恶意链接将载荷发送给目标。第三阶段是权限提升与持久化阶段,利用操作系统漏洞获取最高权限,并建立自动重启后仍能存活的持久化机制。第四阶段是远程指挥与控制阶段,攻击者持续从云端服务器下达指令,提取目标设备的麦克风录音、摄像头照片、定位数据、通讯录和各类App中的加密聊天内容。
Pegasus事件给企业信息安全工作者敲响了沉重的警钟。长期以来,许多企业高管认为自己的手机安全主要取决于是否点击了不明链接或安装了未知应用,但Pegasus的技术路线证明,零日攻击链可以在用户完全不操作的情况下完成植入。这意味着即使是最谨慎的高管,其手机也可能在无感知状态下被完全控制。更重要的是,这类商业间谍软件已经不再是国家层面情报机构的专属武器,大量政府机构和企业均可通过合法或灰色渠道获得,商业窃密的风险随之急剧上升。
为防御类似Pegasus的间谍软件攻击,企业应从以下方面加强防护。首要,对高管和核心岗位人员配备专用的安全手机,该系统经过安全加固,停用了不必要的系统服务和应用商店,大幅降低攻击面。第二,部署企业级移动设备管理平台,对所有接入企业系统的移动设备实施安全策略统一下发、越狱检测、应用白名单和远程擦除能力。第三,定期对高管设备进行专业级恶意软件扫描,使用商业手机取证工具检查是否存在异常进程、隐蔽通信和可疑系统文件。第四,建立手机安全事件应急响应流程,一旦发现异常发热、电量快速消耗、数据流量异常等手机被控征兆,立即启动应急流程进行取证和处置。第五,对高管和核心员工进行针对性的网络安全意识培训,使其了解手机间谍软件的攻击手法和防护要点。
常见问题解答:Pegasus能否被主流手机杀毒软件检测?非常困难,Pegasus攻击链利用了系统底层漏洞,植入后在操作系统层面深度隐藏,常规杀毒软件难以发现。iOS系统是否比Android更安全?从历史数据看,iOS和Android均曾出现被Pegasus利用的零日漏洞,两者都有被攻破的案例,不能简单下结论。如何判断手机是否被安装间谍软件?电池快速耗尽、不明原因发热、数据流量异常增加、通话中出现奇怪噪音均是可疑信号。
北京企密安信息安全技术有限公司为企业和机构提供移动端安全防护整体方案,包括高管手机安全体检、移动设备管理平台部署、间谍软件检测取证和安全事件应急响应。如需了解更多防护方案,请访问baomiwang.com或拨打010-63711822,由专业安全团队为您提供服务。
