Fałszywy kod źródłowy oprogramowania szpiegującego Pegasus zalewa darknet

Oszuści sprzedają losowo wygenerowane kody źródłowe, fałszywie kojarząc je z oprogramowaniem szpiegującym Pegasus i oferując je za ponad milion dolarów.
Źródło: PUGUN SJ

Cyberprzestępcy wykorzystują złą sławę oprogramowania szpiegującego Pegasus firmy NSO Group, aby oszukać ofiary w ciemnej sieci, według firmy CloudSEK zajmującej się cyberbezpieczeństwem. Ta rewelacja pojawiła się zaledwie kilka tygodni po tym, jak Apple ostrzegł użytkowników w 92 krajach przed atakiem "najemnego oprogramowania szpiegującego".

Dochodzenie CloudSEK, oparte na miesiącach badań nad źródłami ciemnej sieci, ujawnia systematyczne wysiłki mające na celu wykorzystanie nazwy Pegasus w celu uzyskania korzyści finansowych. Raport szczegółowo opisuje, w jaki sposób cyberprzestępcy bombardują platformy takie jak Telegram postami, które twierdzą, że sprzedają oryginalny kod źródłowy Pegasusa.

"Przez lata badacze CloudSEK klasyfikowali i badali incydenty występujące w źródłach ciemnej i głębokiej sieci, zapewniając wgląd w globalny krajobraz zagrożeń" – powiedział CloudSEK w oświadczeniu podkreślającym raport. "Często spotykaliśmy się ze wzmiankami o Pegasusie i NSO Group i obserwowaliśmy różne działania wokół nich. Jednak po niedawnym poradniku Apple dotyczącym powiadomień o zagrożeniach, nasi badacze rozpoczęli pracę nad tym artykułem, aby zagłębić się w różne incydenty związane z tymi podmiotami".

Po niedawnym doradztwie Apple, firma zajmująca się cyberbezpieczeństwem "zintensyfikowała swoje wysiłki, aby dogłębnie zagłębić się w różne incydenty związane z tymi podmiotami".

"Niewłaściwe wykorzystanie nazwy, logo i tożsamości Pegasusa przez podziemne źródła doprowadziło do znacznej dezinformacji na temat narzędzia, dezorientując zarówno ekspertów, jak i opinię publiczną co do jego prawdziwych możliwości i pochodzenia" – powiedział główny badacz raportu, Anuj Sharma, który jest badaczem bezpieczeństwa w CloudSEK. "Celowe wprowadzanie w błąd komplikuje przypisanie cyberataków, utrudniając określenie rzeczywistego źródła i charakteru używanego oprogramowania szpiegującego".

Zapytanie skierowane do NSO Group pozostało bez odpowiedzi.

Fałszywy kod, zawyżone ceny

Badacze z CloudSEK przeanalizowali około 25 000 postów na Telegramie, z których wiele twierdziło, że sprzedaje autentyczny kod Pegasusa. Posty te często opierały się na powszechnym szablonie oferującym nielegalne usługi, z częstymi wzmiankami o narzędziach Pegasus i NSO.

Badacze CloudSEK poszli o krok dalej, angażując ponad 150 potencjalnych sprzedawców.

Wchodząc w interakcję z ponad 150 potencjalnymi sprzedawcami, CloudSEK uzyskał wgląd w różne próbki i wskaźniki udostępnione przez te podmioty. "Obejmowało to rzekomy kod źródłowy Pegasusa, demonstracje na żywo, struktury plików i migawki" – czytamy w raporcie CloudSEK.

W raporcie zidentyfikowano również sześć przypadków fałszywych próbek Pegasus HVNC (Hidden Virtual Network Computing) rozpowszechnianych w ciemnej sieci między majem 2022 r. a styczniem 2024 r.

To samo nadużycie zaobserwowano również na platformach wymiany kodu w sieci, gdzie oszuści rozpowszechniali własne, losowo wygenerowane kody źródłowe, fałszywie kojarząc je z oprogramowaniem szpiegującym Pegasus.

"Po przeanalizowaniu 15 próbek i ponad 30 wskaźników pochodzących z ludzkiej inteligencji (HUMINT), źródeł głębokich i ciemnej sieci, CloudSEK odkrył, że prawie wszystkie próbki były fałszywe i nieskuteczne" – napisano w oświadczeniu, przedstawiając wynik dochodzenia. "Cyberprzestępcy stworzyli własne narzędzia i skrypty, rozpowszechniając je pod nazwą Pegasusa, aby wykorzystać jego złą sławę dla korzyści finansowych".

5 kwietnia grupa o nazwie Deanon ClubV7 ogłosiła, że uzyskała legalny dostęp do Pegasusa i oferuje stały dostęp za opłatą w wysokości 1,5 miliona dolarów. Grupa z dumą twierdzi, że jako pierwsza uzyskała dostęp do Pegasusa i udało jej się sprzedać cztery dostępy, przynosząc łącznie 6 000 000 USD, w ciągu zaledwie dwóch dni. Co ciekawe, grupa wewnętrznie podzieliła się i była dumna z tego samego oficjalnego poradnika wydanego przez Apple.

Walka z oszustwem Pegasus

ClloudSEK zwrócił uwagę, że świadomość pracowników będzie kluczem do uniknięcia oszustwa Pegasus.

"Upewnij się, że wszyscy pracownicy są świadomi ryzyka związanego z pobieraniem oprogramowania z ciemnej sieci i platform IRC, zwłaszcza narzędzi fałszywie oznaczonych jako Pegasus" – powiedział Sharma. "Dostarczaj regularne aktualizacje i alerty o najnowszych taktykach i trendach oszustw z udziałem Pegasusa i podobnych znanych nazw".

Monitorowanie sieci powinno zostać wdrożone w celu zidentyfikowania nietypowej aktywności, która może wskazywać na to, że pracownicy uzyskują dostęp do ciemnej sieci lub platform IRC, dodał Sharma. Wdrożenie ścisłej kontroli dostępu, aby ograniczyć i monitorować zdolność pracowników do odwiedzania potencjalnie niebezpiecznych witryn lub pobierania nieautoryzowanego oprogramowania, dodał Sharma.

- źródło

 

 ROZPOZNAWANIE INFORMACYJNE I ŁĄCZNOŚĆ  
 
Ta strona internetowa prezentuje porządek bezpieczeństwa informacji w trakcie jej używania i nie udostępnia żadnych elementów informacyjnych. Na stronie mogą znajdować się Facebook posty, X tweety i wiadoności z serwisu Telegram. System i wszystkie zawartości są aktualizowane. Strona jest napędzana systemem Drupal10.

STOP 🛑 iD2020