Jamf geeft commentaar over mogelijk gebruik Pegasus-spyware door Rusland
Apple heeft een Russische journalist in Letland gewaarschuwd over een mogelijke cyberaanval met Pegasus-spyware door een ‘state actor’. Hoewel het niet zeker is, zou Rusland hierachter kunnen zitten. Dit is opvallend want het zou suggereren dat Rusland beschikt over de Pegasus spyware van het Israëlische bedrijf NSO Group. Rusland zou de spyware ook kunnen gebruiken andere doelwitten. Michael Covington, VP Portfolio Strategy bij Jamf deelt zijn inzichten over deze ontwikkelingen in onderstaande blog.
Covington: “De discussie rond het beweerde gebruik van Pegasus-spionagesoftware (‘spyware’) door Rusland is vooral een politieke kwestie. Regeringen en organisaties met veel geld willen graag gebruikmaken van de technologie van NSO Group – de ontwikkelaar van Pegasus – zodat ze op afstand en ongemerkt de mobiele devices van hun doelwitten kunnen compromitteren. De kwetsbaarheden die worden misbruikt, moeten echter spaarzaam gebruikt worden. Alleen op die manier kan er een aanval worden uitgevoerd voordat de getroffen vendor een patch kan uitbrengen of de gebruiker de spyware kan detecteren. De organisaties die hun tegenstanders zo bespioneren willen zeker niet dat dezelfde technologie tegen hen wordt gebruikt.
Wat ontbreekt in de huidige discussie is een update over hoe Pegasus zich heeft ontwikkeld sinds het voor het eerst werd genoemd, in 2016. Het is software die voortdurend is bijgewerkt om nieuwe exploits en aanvalsvectoren te misbruiken. Gezien de snelheid waarmee Apple en Google zowel hun hardware als software vernieuwen en de typische upgradecycli van consumenten en bedrijven voor hun mobiele technologieën, heeft een gebruiker van de Pegasus-spyware maar weinig tijd om er maximaal gebruik van te maken. Hoe langer er wordt gewacht met het uitvoeren van een aanval, hoe kleiner de kans van slagen. Daarnaast moet deze software spaarzaam worden gebruikt, om te voorkomen dat OS-ontwikkelaars en de security community ontdekken waar de nieuwste exploit zit.
Vanuit technologisch oogpunt maakt het niet uit of NSO Group hun software aan Rusland heeft verkocht of niet. Waar het om gaat is dat er software bestaat waarmee een modern mobiel device kan worden gecompromitteerd, terwijl de overgrote meerderheid van de organisaties en gebruikers geen securitysoftware gebruiken om relevante signalen te detecteren die aangeven erop duiden dat er iets mis is (‘indicators or compromise’; IoC’s). Daarnaast hebben heel weinig organisaties binnen hun Security Operations Center expertise ontwikkeld over mobiele devices.”
Michael Covington, VP Portfolio Strategy bij Jamf