รายงานล่าสุดจาก Amnesty International ได้เปิดเผยข้อมูลที่น่ากังวลเกี่ยวกับการใช้สปายแวร์ขั้นสูงโดยเจ้าหน้าที่เซอร์เบียเพื่อติดตามและปราบปรามประชาชน หนึ่งในเครื่องมือที่ถูกกล่าวหาว่าถูกนำมาใช้โดยหน่วยงานความมั่นคงข้อมูลข่าวสารของเซอร์เบีย (BIA) คือสปายแวร์ Android ขั้นสูงที่เรียกว่า NoviSpy โดย NoviSpy ร่วมกับเครื่องมืออื่น ๆ เช่น เทคโนโลยีทางนิติเวชของ Cellebrite ถูกกล่าวหาว่าใช้เพื่อติดตามและสอดแนมกลุ่มนักเคลื่อนไหว นักข่าว และผู้ประท้วง
รายงานอ้างว่าการโจมตีมักเริ่มต้นด้วยการเข้าถึงอุปกรณ์โดยตรง เช่น ระหว่างการหยุดตรวจของตำรวจหรือการสอบสวน ทำให้ผู้โจมตีสามารถจัดการอุปกรณ์อย่างลับ ๆ เพื่อติดตั้งสปายแวร์และเข้าถึงข้อมูลที่ละเอียดอ่อนได้
ภัยคุกคามที่น่าตกใจนี้ตอกย้ำถึงความจำเป็นอย่างยิ่งในการมีโซลูชันความปลอดภัยบนมือถือที่แข็งแกร่งเพื่อตรวจจับและตอบโต้ภัยคุกคามเช่นนี้ แพลตฟอร์ม Mobile Threat Defense (MTD) ของ Zimperium มอบการป้องกันที่สำคัญด้วยการตรวจจับแบบเรียลไทม์ การมองเห็น และการป้องกันจากการถูกโจมตีและการเปลี่ยนแปลงความปลอดภัยโดยไม่ได้รับอนุญาต ลองมาดูกันว่าแพลตฟอร์ม MTD ของ Zimperium สามารถจัดการกับกลยุทธ์ที่ใช้ใน Attack Chain ของ NoviSpy ได้อย่างไร
กระบวนการโจมตีเริ่มต้นด้วยการเข้าถึงอุปกรณ์ของเป้าหมายโดยตรง หากไม่สามารถเข้าถึงรหัส PIN ของอุปกรณ์ได้ ผู้โจมตีอาจใช้เทคโนโลยีทางนิติเวชของ Cellebrite เพื่อข้ามหน้าจอล็อกและดึงข้อมูลจากอุปกรณ์ หรือพวกเขาอาจใช้รหัส PIN ที่ถูกขโมยหรือบังคับให้ได้มาเพื่อปลดล็อกอุปกรณ์ เมื่ออุปกรณ์ถูกปลดล็อก ผู้โจมตีจะดำเนินการตามขั้นตอนต่อไปดังนี้:
- เปิดใช้งานโหมดนักพัฒนา: ผู้โจมตีเปิดใช้งานโหมดนักพัฒนาบนอุปกรณ์ ซึ่งเป็นสิ่งจำเป็นสำหรับการเข้าถึงตัวเลือกการดีบักขั้นสูง
- เปิดใช้งานการดีบัก USB: ฟีเจอร์นี้ทำให้ผู้โจมตีสามารถเชื่อมต่อกับอุปกรณ์ผ่านเครื่องมือเฉพาะและสั่งการได้โดยตรง
- ปิดการป้องกันของ Google Play Protect: โดยการปิดการป้องกันนี้ ผู้โจมตีได้กำจัดแนวป้องกันที่สำคัญต่อการตรวจจับมัลแวร์ออกไป
- ป้องกันการอัปเดตระบบ: การปิดการอัปเดตความปลอดภัยอัตโนมัติทำให้ช่องโหว่ที่ถูกใช้โจมตีในครั้งนี้ยังคงไม่ถูกแก้ไข
- ติดตั้งแอปพลิเคชันที่ไม่ได้รับอนุญาต: มีการติดตั้งแอปที่ไม่ได้รับอนุญาตลงในอุปกรณ์ โดยมักจะถูกปลอมแปลงหรือซ่อนเพื่อหลีกเลี่ยงการตรวจจับของผู้ใช้
- ติดตั้งสปายแวร์: การวิเคราะห์เผยให้เห็นการติดตั้งแอปพลิเคชันสปายแวร์ที่ทำการรุกล้ำอย่างมากชื่อ NoviSpy ซึ่งสามารถเข้าถึงข้อมูลที่ละเอียดอ่อน เปิดใช้งานเซนเซอร์ และติดตามการสื่อสารได้
การใช้ประโยชน์อย่างเป็นขั้นตอนแสดงให้เห็นว่าผู้โจมตีพึ่งพาทั้งความเชี่ยวชาญทางเทคนิคและการเข้าถึงอุปกรณ์โดยตรง ซึ่งย้ำให้เห็นถึงความจำเป็นในการมีมาตรการตอบโต้ที่มีประสิทธิภาพเพื่อตรวจจับและป้องกันภัยคุกคามที่ซับซ้อนเช่นนี้
เพื่อรับมือกับความเสี่ยงที่พัฒนาอย่างต่อเนื่อง Zimperium’s Mobile Threat Defense (MTD) ใช้ Multi-layered strategy ที่ออกแบบมาเพื่อทั้งตรวจจับและป้องกันภัยคุกคามบนมือถือขั้นสูงในปัจจุบัน เช่น NoviSpy ด้วยการใช้เทคนิคที่ทันสมัย เช่น Machine learning บนอุปกรณ์และการวิเคราะห์พฤติกรรมแบบเรียลไทม์ Zimperium’s MTD ช่วยให้องค์กรมีโซลูชันการตรวจจับและบรรเทาภัยคุกคามที่ครอบคลุมและรวดเร็วเพื่อรับมือกับภัยคุกคามที่พัฒนาเหล่านี้ เรามาดูกันว่า Zimperium’s MTD จัดการกับแต่ละขั้นตอนของ Attack Chain จาก NoviSpy อย่างไรบ้าง:
1.การตรวจจับการเปิดใช้งานโหมดนักพัฒนา
Zimperium MTD ตรวจสอบการตั้งค่าระบบเพื่อระบุการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต เช่น การเปิดใช้งานโหมดนักพัฒนา เนื่องจากโหมดนักพัฒนามักเป็นขั้นตอนที่นำไปสู่การโจมตีด้วยการ USB debug และการติดตั้งแอปพลิเคชันที่ไม่ได้รับอนุญาต โดยตรวจจับการเปลี่ยนแปลงนี้ได้ตั้งแต่เนิ่นๆ จะแจ้งเตือนองค์กรถึงความเสี่ยงของการถูกโจมตีหรือการตั้งค่าที่ไม่ถูกต้อง
2. การตรวจสอบสถานะ Google Play Protect
การปิดใช้งาน Google Play Protect จะทำให้การป้องกันมัลแวร์ที่สำคัญหายไป Zimperium MTD สามารถติดตามสถานะของ Play Protect อย่างต่อเนื่อง และจะแจ้งเตือนผู้ดูแลระบบ IT หรือผู้ใช้ทันทีหากมีการปิดใช้งาน ทำให้สามารถดำเนินการแก้ไขได้อย่างรวดเร็ว
3.USB Debugging Detection
Zimperium MTD ตรวจจับเมื่อมีการเปิดใช้งาน USB Debugging ซึ่งเป็นสถานะที่มีความเสี่ยงสูงที่อาจทำให้การเข้าถึงอุปกรณ์และการดึงข้อมูลโดยไม่ได้รับอนุญาตเป็นไปได้ การแจ้งเตือนทันทีช่วยลดความเสี่ยงจากการเข้าถึงอุปกรณ์โดยตรง นอกจากนี้ โซลูชัน Zimperium’s MTD ผ่านการผสานการทำงานกับบันทึกความปลอดภัยของ Google ยังสามารถสแกนและป้องกันเมื่อมีกิจกรรมที่ไม่ได้รับอนุญาตผ่าน ADB (Android Debug Bridge)
4. การวิเคราะห์ช่องโหว่ของระบบปฏิบัติและการ Configuration analysis
ผู้โจมตีมักปิดการอัปเดตระบบเพื่อป้องกันไม่ให้มีการใช้แพตช์ความปลอดภัย Zimperium MTD จะทำการแจ้งเตือนเมื่อมีการเปลี่ยนแปลงการตั้งค่าอัปเดต เพื่อให้มั่นใจในความสมบูรณ์ของระบบปฏิบัติการของอุปกรณ์ นอกจากนี้ยังตรวจจับเวอร์ชันระบบปฏิบัติการที่ล้าสมัยหรือแพตช์ที่ขาดหายไป เพื่อช่วยรักษาความปลอดภัยให้แข็งแกร่ง
5. การระบุแอปพลิเคชันที่ติดตั้งจากภายนอก
แอปพลิเคชันที่ติดตั้งจากภายนอกโดยไม่ได้รับอนุญาตสร้างความเสี่ยงอย่างมาก โดยเฉพาะในสภาพแวดล้อมที่มีนโยบายการติดตั้งแอปที่เข้มงวด Zimperium MTD สามารถระบุแอปพลิเคชันเหล่านี้และให้ข้อมูลเชิงลึกที่สามารถนำไปปฏิบัติได้เพื่อการลบออก ช่วยเสริมความปลอดภัยและการปฏิบัติตามนโยบาย
6. การตรวจจับแอปพลิเคชันที่เป็นอันตราย
แม้จะไม่มีตัวอย่าง NoviSpy สู่สาธารณะ แต่ด้วยอัลกอริธึม Machine learning ของ Zimperium จะวิเคราะห์พฤติกรรมและการทำงานร่วมกับระบบปฏิบัติการของแอปพลิเคชันเพื่อตรวจจับแอปพลิเคชันที่เป็นอันตรายที่ไม่รู้จัก การป้องกันเชิงรุกนี้ช่วยลดภัยคุกคามที่เกิดขึ้นใหม่ รวมถึงแอปที่ติดตั้งแบบออฟไลน์ ก่อนที่มันจะสร้างความเสียหายได้
การป้องกันเชิงรุกต่อภัยคุกคามที่เกิดขึ้นใหม่
รายงานของ Amnesty International เน้นย้ำถึงผลกระทบร้ายแรงของสปายแวร์อย่าง NoviSpy ที่มีต่อสังคม ซึ่งรวมถึงการละเมิดความเป็นส่วนตัว เสรีภาพในการแสดงออก และความปลอดภัยส่วนบุคคล แม้ว่ารายงานนี้จะแสดงภาพที่น่ากังวล แต่โซลูชัน Zimperium MTD มอบการป้องกันเชิงรุกที่มีประสิทธิภาพ
ด้วยการตรวจจับและจัดการการบุกรุกที่กล่าวมาข้างต้น Zimperium ช่วยให้องค์กรและบุคคลสามารถปกป้องอุปกรณ์ของตนจากภัยคุกคามขั้นสูง การป้องกันนี้มีความสำคัญอย่างยิ่งไม่เพียงแต่เพื่อรักษาความเป็นส่วนตัวเท่านั้น แต่ยังเพื่อรักษาเสรีภาพของผู้ที่พึ่งพาเทคโนโลยีมือถืออีกด้วย
ในยุคที่อุปกรณ์มือถือถูกโจมตีมากขึ้นโดยแคมเปญสปายแวร์ที่ซับซ้อน Zimperium MTD ยังคงเป็นแนวป้องกันสำคัญ ไม่ว่าจะเป็นการตรวจจับภัยคุกคามแบบเรียลไทม์หรือการให้ข้อมูลเชิงลึกที่นำไปใช้ได้จริง Zimperium รับรองว่าผู้ใช้สามารถไว้วางใจได้ว่าอุปกรณ์ของตนจะปลอดภัย แม้ในขณะที่ภัยคุกคามอย่าง NoviSpy กำลังพัฒนาอย่างต่อเนื่อง
Source: zimperium.com/blog
