Wat is zero-click-malware en hoe werken zero-click-aanvallen?
De afgelopen jaren zijn enkele zero-click-aanvallen in de publiciteit gekomen. Zoals uit de naam blijkt, hebben zero-click-aanvallen geen actie van het slachtoffer nodig. Dat betekent dat ook de meest deskundige gebruikers ten prooi kunnen vallen aan ernstige cyberhacks en spywaretools.
Zero-click-aanvallen zijn doorgaans doelgericht en maken gebruik van geavanceerde tactieken. Ze kunnen verregaande gevolgen hebben zonder dat het slachtoffer zelfs maar in de gaten heeft dat er iets misgaat op de achtergrond. De termen 'zero-click-aanvallen' en 'zero-click-exploits' worden vaak door elkaar gebruikt. Soms worden ze ook wel interactieloze of volledig op afstand uitgevoerde aanvallen genoemd.
Wat is zero-click-malware?
Traditioneel gezien moet spionagesoftware het doelwit ervan overtuigen op een kwaadaardige link of een corrupt bestand te klikken waarna dat op hun telefoon, tablet of computer wordt geïnstalleerd. Met zero-click-aanvallen wordt de software echter op een apparaat geïnstalleerd zonder dat het slachtoffer op een link klikt. Daarom is zero-click- of no-click-malware veel gevaarlijker.
Wegens het gebrek aan interactie bij zero-click-aanvallen laat de schadelijke activiteit minder sporen achter. Om die reden en omdat de kwetsbaarheden waar cybercriminals gebruik van maken voor zero-click-aanvallen nogal zeldzaam zijn, is dit type aanval geliefd bij hackers.
Zelfs standaard zero-click-aanvallen laten nauwelijks sporen achter, zodat het erg lastig is om ze te detecteren. Bovendien zorgen de functies die software veiliger maken er vaak ook voor dat zero-click-aanvallen moeilijker te detecteren zijn. Zero-click-hacks doen al jaren de ronde en het probleem is groter geworden vanwege het sterk toegenomen gebruik van smartphones met een schat aan persoonlijke gegevens. Aangezien personen en organisaties steeds afhankelijker worden van hun mobiele apparatuur, is het belangrijker dan ooit om op de hoogte te zijn van zero-click-kwetsbaarheden.
Hoe werkt een zero-click-aanval?
Meestal komt bij infectie op afstand van het mobiele apparaat van een doelwit enige vorm van social engineering kijken, waarbij de gebruiker op een schadelijke link klikt of een kwaadaardige app installeert en de aanvaller zo een toegangspunt verschaft. Dit is echter niet het geval met zero-click-aanvallen, deze worden zonder enige vorm van social engineering uitgevoerd.
Een zero-click-hack benut zwakke punten in je apparaat en benut een tekortkoming op het gebied van gegevensverifictie om je systeem binnen te dringen. De meeste software beschikt over processen voor gegevensverificatie om cyberschending tegen te gaan. Voor enkele hardnekkige zero-day-kwetsbaarheden is echter nog geen patch beschikbaar en dit zijn potentieel lucratieve doelwitten voor cybercriminelen. Geavanceerde hackers misbruiken deze zero-day-kwetsbaarheden voor het uitvoeren van cyberaanvallen waarbij jij nergens op hoeft te klikken.
Zero-click-aanvallen richten zich vaak op apps die berichten- of telefoonservices leveren, omdat deze apps ontworpen zijn om gegevens van niet vertrouwde bronnen te ontvangen en te interpreteren. Aanvallers gebruiken doorgaans gegevens in een speciale vorm, zoals een verborgen sms'je of afbeeldingsbestand, om schadelijke code over te brengen naar het apparaat.
Een hypothetische zero-click-aanval werkt bijvoorbeeld als volgt:
- Cybercriminelen detecteren een zwakke plek in een mail- of berichtenapp.
- Ze benutten dit zwakke punt door een zorgvuldig opgesteld bericht naar het doelwit te sturen.
- De kwetsbaarheid stelt hackers in staat het apparaat op afstand te infecteren via e-mails die uitzonderlijk veel geheugen in beslag nemen.
- De e-mail, het bericht of de oproep van de hacker hoeft niet op het apparaat te blijven staan.
- Als gevolg van de aanval kunnen cybercriminelen de berichten lezen, bewerken, lekken of verwijderen.
De hack kan bestaan uit een serie netwerkpakketten, verificatieverzoeken, sms- of mms-berichten, voicemails, videovergaderingen, telefoontjes of berichten die worden verzonden via Skype, Telegram, WhatsApp, etc. Deze kunnen stuk voor stuk een zwakke plek benutten in de code van de toepassing die de gegevens moet verwerken.
Het feit dat berichtenapps het mogelijk maken om personen te identificeren aan de hand van hun telefoonnummers, die gemakkelijk te vinden zijn, betekent dat deze apps een voor de hand liggend doelwit zijn voor zowel politieke organisaties als commerciële hackers.
De details van zero-click-aanvallen variëren, afhankelijk van de kwetsbaarheid die wordt benut. Een van de karakteristieken van zero-click-aanvallen is het feit dat ze geen sporen achterlaten, zodat ze bijzonder moeilijk te detecteren zijn. Dit betekent dat het lastig is om vast te stellen wie dit soort aanvallen uitvoert en waarom. Naar verluidt worden deze echter uitgevoerd door inlichtingendiensten van over de hele wereld om berichten van vermoedelijke criminelen en terroristen te onderscheppen en in de gaten te houden waar deze zich bevinden.
Voorbeelden van zero-click-malware
Een zero-click-kwetsbaarheid kan verschillende apparaten betreffen, van Apple tot Android. Enkele bekende voorbeelden van zero-click-exploits:
Apple zero-click, ongewenste toegang, 2021:
In 2021 werd de iPhone van een mensenrechtenactivist uit Bahrein gehackt door krachtige spyware die wordt verkocht aan overheden. De hack werd ontdekt door onderzoekers van Citizen Lab, en had de beveiligingsmaatregelen van Apple om heimelijke aanvallen te weerstaan weten te omzeilen.
Citizen Lab is een online waakhond, gevestigd aan de universiteit van Toronto. Medewerkers hebben de iPhone 12 Pro van de activist geanalyseerd en ontdekten dat deze was gehackt door middel van een zero-click-aanval. De zero-click-aanval wist via een tot dan nog onbekende kwetsbaarheid in de beveiliging van Apple’s iMessage de Pegasus-spyware, ontwikkeld door de Israelische firma NGO Group, op de telefoon van de activist te installeren.
Deze hack deed veel stof opwaaien, vooral omdat deze de op dat moment meest recente iPhone-software had weten uit te buiten, zowel iOS 14.4 als later iOS 14.6, door Apple in mei 2021 uitgegeven. De hack omzeilde een functie voor softwarebeveiliging die deel uitmaakt van alle versies van iOS 14, BlastDoor genaamd. Deze was juist bedoeld om dit soort apparaathacks te voorkomen door schadelijke gegevens die via iMessage worden verzonden te filteren. Omdat de exploit in staat was gebleken om BlastDoor te omzeilen, kreeg deze de bijnaam ForcedEntry. Als reactie hierop heeft Apple de beveiliging verbeterd in iOS 15.
WhatsApp-inbreuk, 2019:
Deze beruchte inbreuk werd geactiveerd door een gemiste oproep die een zwak punt in het broncode-framework van WhatsApp misbruikte. Een zero-day-exploit, dat wil zeggen een tot dan onbekend cyberrisico waarvoor nog geen patch bestond, stelde de aanvaller in staat spyware te laden in de gegevens die twee apparaten uitwisselden als gevolg van de gemiste oproep. Vervolgens schakelde de spyware zichzelf in als een resource op de achtergrond, diep verscholen in de softwarestructuur van het apparaat.
Jeff Bezos, 2018:
In 2018 stuurde kroonprins Mohammed bin Salman van Saoedi-Arabië ogenschijnlijk een Whatsapp-bericht naar Jeff Bezos, de CEO van Amazon, met daarin een video waarin de telecommarkt van Saoedi-Arabië werd gepromoot. Volgens rapporten bevatte het videobestand een stukje code dat de afzender in staat stelde maandenlang informatie te extraheren van de iPhone van Bezos. Zo werden sms-berichten, chatberichten en e-mails vastgelegd en werden mogelijk zelfs met de microfoon van de telefoon opgenomen opnames afgeluisterd.
Project Raven, 2016:
Project Raven verwijst naar de aanvallend ingestelde unit voor cyberoperaties van de VAE, bestaande uit inlichtingenofficieren van de Emiraten en voormalige Amerikaanse geheim agenten die zijn ingehuurd als contractanten. Naar verluidt gebruikten zij de tool Karma om misbruik te maken van een zwak punt in iMessage. Karma wist door middel van speciaal opgestelde sms'jes de iPhones van activisten, diplomaten en rivaliserende buitenlandse leiders te hacken en kreeg zo foto's, e-mails, sms'jes en locatiegegevens in handen.
Hoe kun je jezelf beschermen tegen zero-click-exploits?
Aangezien zero-click-aanvallen plaatsvinden zonder interactie van het slachtoffer, kun je eigenlijk weinig doen om jezelf te beschermen. Dat is natuurlijk een angstaanjagende gedachte, maar het is belangrijk te onthouden dat deze aanvallen doorgaans vooral gericht zijn op specifieke slachtoffers voor spionagedoeleinden of financieel gewin.
Niettemin kun je je online veiligheid optimaliseren door je aan de standaardregels voor cyberhygiëne te houden. Je kunt onder meer de volgende verstandige voorzorgsmaatregelen nemen:
- Houd je besturingssysteem, firmware en apps op al je apparaten up-to-date, volg de aanwijzingen op dat gebied.
- Download alleen apps van officiële stores.
- Verwijder alle apps die je niet meer gebruikt.
- 'Jailbreak' of 'root' je telefoon niet, want dan wis je de bescherming die Apple en Google bieden.
- Beveilig je apparaat met een wachtwoord.
- Stel sterke verificatie in voor toegang tot accounts, vooral tot belangrijke netwerken.
- Gebruik sterke wachtwoorden, dat wil zeggen lange en unieke wachtwoorden.
- Maak regelmatig back-ups van je systemen. In geval van ransomware kunnen systemen dan worden hersteld en een recente back-up van alle gegevens versnelt het herstelproces.
- Schakel pop-upblokkering in of voorkom dat pop-ups worden weergegeven door je browserinstellingen aan te passen. Scammers gebruiken vaak pop-ups voor de verspreiding van malware.
Ook het gebruik van uitgebreide antivirussoftware bevordert je online veiligheid. Kaspersky Total Security biedt 24/7 bescherming tegen hackers, virussen en malware, maakt veilige betalingen mogelijk en biedt privacytools, zodat je van alle kanten beschermd bent. Kaspersky Internet Security for Android beveiligt ook je Android-apparaat.
Gerelateerde artikelen:
Wat is zero-click-malware en hoe werken zero-click-aanvallen?
Kaspersky
