Většina lidí je dnes neoddělitelně spojena se svými notebooky a chytrými telefony. S touto důvěrnou blízkostí však přišla i obezřetnost vůči nevyžádaným e-mailům, SMS nebo zprávám na WhatsAppu. Nyní roste další nová hrozba nazývaná zero-click útoky, které byly dříve zaměřeny hlavně na známé osobnosti či velmi bohaté jedince kvůli své nákladnosti a složitosti.
Zero-click útok je kybernetický útok, který pronikne do zařízení bez toho, aniž by uživatel na cokoli kliknul. K útoku může dojít pouhým přijetím zprávy, hovoru nebo souboru. Útočník využívá skryté chyby v aplikacích nebo systémech, aby převzal kontrolu nad zařízením bez jakéhokoli zásahu uživatele, který o útoku zůstává neinformovaný.
„Ačkoliv si veřejnost v poslední době více uvědomuje tyto útoky, vyvíjejí se již mnoho let a stávají se častějšími s rozšiřováním chytrých telefonů a připojených zařízení,“ řekl Epoch Times Nathan House, generální ředitel StationX, britské platformy pro školení v kybernetické bezpečnosti. „Hlavní slabina je v softwaru, nikoli v typu zařízení, což znamená, že jakékoliv připojené zařízení se zranitelnostmi může být potenciálně napadeno,“ dodal.
Aras Nazarovas, výzkumník informační bezpečnosti ze Cybernews, vysvětlil Epoch Times, proč zero-click útoky obvykle míří na VIP osoby, a ne na běžné uživatele. „Protože nalezení takových zero-click zranitelností je složité a drahé, většinou se používají k získání přístupu k informacím od klíčových postav, jako jsou politici nebo novináři v autoritářských režimech,“ uvedl a doplnil: „Tyto bezpečnostní díry se často používají v cílených kampaních. Krádež peněz pomocí nich je vzácná.“
Britský zpravodajský server BBC v červnu 2024 informoval, že sociální síť TikTok přiznala, že byla kompromitována „velmi omezená“ skupina účtů, včetně účtů mediální stanice CNN. Ačkoliv ByteDance, vlastník TikToku, nepotvrdil povahu útoku, kyberbezpečnostní firmy jako Kaspersky a Assured Intelligence naznačily, že šlo o zero-click zranitelnosti.
„Nejtěžší částí je nalezení chyb, které tyto útoky umožňují, a napsání exploitů pro tyto chyby,“ vysvětlil Nazarovas. „Tento trh s zero-click exploity a jejich řetězci (exploit chains) má už roky hodnotu v řádu miliard dolarů. Někteří zprostředkovatelé na šedém nebo černém trhu často nabízejí 500 tisíc až 1 milion dolarů za tyto exploit chainy u populárních zařízení a aplikací,“ poznamenal.
House uvedl, že zero-click exploity často hledají zranitelnosti v softwaru a aplikacích, přičemž jejich nalezení je nákladné, což znamená, že pachatelé jsou obvykle „státní aktéři nebo dobře financované skupiny“.
Rozšířující se trhy se spywarem
Ačkoli v poslední době došlo k inovacím v oblasti umělé inteligence (AI), které zvýšily četnost kybernetických zločinů, jako je klonování hlasu nebo vishing (podvodné získávání citlivých údajů přes telefon), Nazarovas uvedl, že dosud neexistuje důkaz, že by AI přímo zvýšila riziko zero-click útoků.
House uvedl, že lidé by mohli využít AI k „napsání zero-click exploit chainů pro ty, kteří by jinak neměli čas, zkušenosti ani znalosti k jejich objevení a napsání“. Nárůst zero-click útoků v posledních letech „plyne hlavně z rozšířených trhů se spywarem a větší dostupnosti sofistikovaných exploitů, nikoli přímo z technik řízených AI“, dodal.
House také poznamenal, že zero-click útoky existují už více než deset let, přičemž nejznámějším případem byla aféra spywaru v Pegasusu. V červenci 2021 publikoval britský list The Guardian spolu s dalšími 16 médii sérii článků, které obviňovaly zahraniční vlády z využívání izraelské společnosti NSO Group a jejího softwaru Pegasus ke špehování nejméně 180 novinářů a řady dalších cílů po celém světě.
Mezi údajnými cíli špionážní kampaně měli být francouzský prezident Emmanuel Macron, indický opoziční vůdce Rahúl Gandhí a novinář Washington Postu Jamal Khashoggi, který byl zavražděn v Istanbulu 2. října 2018.
V tehdejším prohlášení NSO Group napsala: „Jak již NSO dříve uvedla, naše technologie nebyla nijak spojena s ohavnou vraždou Jamala Khashoggiho.“ Kalifornský soud 6. května přiznal mateřské společnosti WhatsAppu, Meta, náhradu škody ve výši 444 719 dolarů a trestní odškodnění 167,3 milionu dolarů v případu týkajícím se NSO Group.
Žaloba WhatsAppu tvrdila, že spyware od Pegasusu byl vyvinut „tak, aby mohl být vzdáleně nainstalován a umožnil vzdálený přístup a kontrolu nad informacemi, včetně hovorů, zpráv a polohy, na mobilních zařízeních s operačními systémy Android, iOS a BlackBerry.“
Jak se bránit
„I když běžní uživatelé se mohou občas stát náhodnými cíli, útočníci si tyto nákladné exploity obvykle rezervují pro osoby, jejichž informace jsou obzvlášť cenné nebo citlivé,“ řekl Nazarovas. Podle něj společnosti nabízejí hackerům odměny za nalezení chyb („bug bounty“), aby je motivovaly tyto zranitelnosti hlásit přímo firmě, místo aby je prodávali zprostředkovateli, který je pak prodá nelegálním uživatelům.
House uvedl, že obrana proti zero-click útokům je „náročná“, ale některá jednoduchá bezpečnostní opatření mohou riziko snížit. „Uživatelé by měli vždy udržovat software a operační systémy aktuální, pravidelně restartovat svá zařízení a používat zesílené bezpečnostní režimy, jako je například režim lockdown od Applu, zejména pokud se považují za vysoce rizikové cíle,“ uvedl.
Dodal, že bez ohledu na přijatá opatření je důležité si uvědomit, že „výjimečně sofistikované útoky, jako jsou ty od pokročilých státních aktérů, mohou obejít i ty nejsilnější obrany“.
Nazarovas zmínil, že mnoho velkých technologických společností, jako jsou Apple, Google a Microsoft, shromažďuje rozsáhlá telemetrická data z miliard zařízení a tato data využívá k detekci zero-click exploitů a dalších sofistikovaných útoků. Telemetrická data jsou informace sbírané na dálku ze zařízení, jako jsou telefony a počítače. Tato data, zejména o používání aplikací a chování uživatelů, jsou odesílána zpět do centrálního systému, aby pomohla zlepšit výkon, opravit problémy nebo sledovat aktivitu.
„Když jsou odhaleny zranitelnosti umožňující takové útoky, mohou být rychle opraveny a nasazeny téměř okamžitě miliardám lidí díky automatickým aktualizacím,“ objasnil Nazarovas.
– ete –
