Hva er nullklikks skadelig programvare og hvordan fungerer nullklikksangrep?

De siste årene har nullklikksangrep tidvis havnet i søkelyset. Som navnet antyder, krever nullklikksangrep ingen handling fra offeret – noe som betyr at selv de mest avanserte brukerne kan bli offer for alvorlige cyberangrep og spionprogrammer.

Nullklikksangrep er vanligvis svært målrettede og bruker sofistikerte taktikker. De kan få ødeleggende konsekvenser uten at offeret selv vet at noe er galt i bakgrunnen. Det brukes også andre begreper som inneholder «nullklikk». De kan også henvise til at angrepet er fullstendig fjernstyrt og ikke krever handling av brukeren.

Hva er skadeprogrammer med null klikk?

Vanligvis har spionprogrammer vært avhengige av at offeret klikker på en kobling eller fil, slik at programmet blir installert på telefonen, nettbrettet eller datamaskinen. Med et nullklikksangrep kan programvaren imidlertid installeres på en enhet uten at offeret klikker på koblinger. Derfor er disse nullklikksangrepene mye farligere.

Siden offeret ikke handler, etterlater nullklikksangrep færre spor etter den skadelige aktiviteten. Det er relativt få sårbarheter nettkriminelle kan utnytte for nullklikksangrep.

Selv ganske enkle nullklikksangrep etterlater seg få spor, så det er veldig vanskelig å oppdage dem. Dessuten kan funksjoner som skal gjøre programvare sikrere, ofte gjøre nullklikksangrep vanskeligere å oppdage.  Nullklikksangrep har eksistert i årevis, og problemet har blitt mer utbredt med den økende bruken av smarttelefoner som lagrer et vell av personlige data. Ettersom enkeltpersoner og organisasjoner blir stadig mer avhengige av mobilenheter, har behovet for å holde seg informert om nullklikkssårbarheter aldri vært større.

Hvordan fungerer et nullklikksangrep?

Vanligvis krever ekstern infeksjon av en mobilenhet en eller annen form for sosial manipulering, der brukeren klikker på en skadelig kobling eller installerer en skadelig app som gir angriperen et inngangspunkt. Dette er ikke tilfelle med nullklikksangrep, som omgår behovet for sosial manipulering helt.

Et nullklikksangrep utnytter feil i enheten din og bruker et smutthull innen dataverifisering for å trenge seg inn i systemet ditt. De fleste programmer bruker dataverifiseringsprosesser for å holde cyberbrudd i sjakk. Imidlertid finnes det vedvarende nulldagssårbarheter som ennå ikke er rettet og som utgjør potensielt lukrative mål for nettkriminelle. Sofistikerte datasnoker kan utnytte disse nulldagssårbarhetene til å utføre cyberangrep, som kan implementeres uten handling fra din side.

Ofte er nullklikksangrep rettet mot apper for meldinger eller taleanrop siden disse tjenestene er beregnet på å motta og tolke data fra upålitelige kilder. Angripere bruker vanligvis spesielt utformede data, for eksempel en skjult tekstmelding eller bildefil, for å plante kode på enheten.

Et hypotetisk nullklikksangrep kan fungere slik:

• Nettkriminelle identifiserer en sårbarhet i en e-post- eller meldingsapp.
• De utnytter sårbarheten ved å sende en nøye utformet melding til målet.
• Sårbarheten lar svindlere infisere enheten eksternt via e-poster som bruker mye minne.
• Svindlerens e-post, melding eller samtale forblir ikke nødvendigvis på enheten.
• Som et resultat av angrepet kan nettkriminelle lese, redigere, lekke eller slette meldinger.

Angrepet kan være en rekke nettverkspakker, autentiseringsforespørsler, tekstmeldinger, MMS, talepost, videokonferanseøkter, telefonsamtaler eller meldinger sendt over Skype, Telegram, WhatsApp osv. Alle disse kan utnytte en sårbarhet i koden til en applikasjon som har som oppgave å behandle dataene.

Det faktum at meldingsapper gjør at folk kan identifiseres med telefonnumrene deres, som er lett å finne, betyr at de kan være et åpenbart mål for både politiske enheter og kommersielle datainnbruddsoperasjoner.

Detaljene for hvert nullklikksangrep vil variere avhengig av hvilken sårbarhet som blir utnyttet. Et sentralt trekk ved nullklikksangrep er at de ikke etterlater seg spor, noe som gjør dem svært vanskelige å oppdage. Dette betyr at det ikke er lett å identifisere hvem som bruker dem og til hvilket formål. Det er imidlertid rapportert at etterretningsbyråer over hele verden bruker dem til å fange opp meldinger fra og overvåke hvor mistenkte kriminelle og terrorister oppholder seg.

Eksempler på nullklikks skadelig programvare

En nullklikkssårbarhet kan påvirke ulike enheter, fra Apple til Android. Høyprofilerte eksempler på nullklikksutnyttelser:

Apple-nullklikk, datainnbrudd, 2021:

I 2021 fikk en menneskerettighetsaktivist fra Bahrain datainnbrudd på sin iPhone av kraftig spionprogramvare solgt til nasjonalstater. Angrepet, avdekket av forskere ved Citizen Lab, hadde overvunnet sikkerhetsbeskyttelsen lagt inn av Apple for å motstå skjulte angrep.

Citizen Lab er en Internett-vakthund basert ved University of Toronto. De analyserte aktivistens iPhone 12 Pro og fant ut at innbruddet hadde skjedd via et nullklikksangrep. Nullklikksangrepet utnyttet en tidligere ukjent sikkerhetssårbarhet i Apples iMessage, som ble utnyttet til å installere spionprogrammet Pegasus, utviklet av det israelske firmaet NGO Group, på aktivistens telefon.

Angrepet tiltrakk seg betydelig nyhetsdekning, i hovedsak siden det utnyttet den nyeste iPhone-programvaren på den tiden, både iOS 14.4 og senere iOS 14.6, som Apple utgav i mai i 2021. Angrepet overvant en sikkerhetsprogramvarefunksjon innebygd i alle versjoner av iOS 14, kalt BlastDoor, som var ment å forhindre denne typen enhetsangrep ved å filtrere skadelig data sendt over iMessage. På grunn av sin evne til å overvinne BlastDoor ble denne utnyttelsen kalt ForcedEntry. Som svar oppgraderte Apple sikkerhetsforsvaret med iOS 15.

WhatsApp-brudd, 2019:

Dette beryktede bruddet ble utløst av et tapt anrop, som utnyttet en feil i kildekoderammeverket til WhatsApp. En nulldagssårbarhet, det vil si en hittil ukjent cybersårbarhet som ikke var rettet, tillot angriperen å laste inn et spionprogram i dataene som ble utvekslet mellom to enheter på grunn av det tapte anropet. Etter at spionprogrammet ble lastet inn, aktiverte det seg selv som en bakgrunnsressurs, dypt innenfor enhetens programvarerammeverk.

Jeff Bezos, 2018:

I 2018 sendte kronprins Mohammed bin Salman av Saudi-Arabia angivelig Amazon-sjef Jeff Bezos en WhatsApp-melding med en video som promoterte Saudi-Arabias telekommarked. Det ble rapportert at det var et stykke kode i videofilen som gjorde det mulig for avsenderen å trekke ut informasjon fra Bezos sin iPhone over flere måneder. Dette resulterte i at tekstmeldinger, direktemeldinger og e-post ble fanget opp, og muligens til og med at lydopptak ble gjort med telefonens mikrofoner.

Project Raven, 2016:

Project Raven refererer til De forente arabiske emiraters offensive cyberoperasjonsenhet, som består av emiratiske sikkerhetstjenestemenn og tidligere amerikanske etterretningsoperatører som jobber som kontraktører. Det ble rapportert av de brukte et verktøy kalt Karma for å dra nytte av en feil i iMessage. Karma brukte spesiallagde tekstmeldinger for å bryte seg inn på iPhone-enhetene til aktivister, diplomater og rivaliserende utenlandske ledere for å få bilder, e-post, tekstmeldinger og stedsinformasjon.

Slik beskytter du deg mot nullklikksutnyttelser

Siden nullklikksangrep er basert på ingen interaksjon fra offeret, betyr det at det ikke er mye du kan gjøre for å beskytte deg selv. Selv om det er en skremmende tanke, er det viktig å huske at disse angrepene generelt sett har en tendens til å være rettet mot spesifikke ofre for spionasjeformål eller kanskje økonomisk vinning.

Når det er sagt, vil det å praktisere grunnleggende cyberhygiene bidra til å maksimere nettsikkerheten din. Fornuftige forholdsregler du kan ta:

• Hold operativsystemet, fastvaren og appene på alle enhetene dine oppdatert når du blir bedt om det.
• Bare last ned apper fra offisielle butikker.
• Slett alle apper du ikke lenger bruker.
• Unngå å bruke metoder som jailbreaking eller «rooting» av telefonen din, siden dette fjerner beskyttelse fra Apple og Google.
• Bruk enhetens passordbeskyttelse.
• Bruk sterk autentisering for å få tilgang til kontoer, spesielt kritiske nettverk.
• Bruk sterke passord – det vil si lange og unike passord.
• Ta sikkerhetskopi av systemene regelmessig. Systemer kan gjenopprettes i tilfelle løsepengevirus, og det å ha en oppdatert sikkerhetskopi av alle data fremskynder gjenopprettingsprosessen.
• Aktiver blokkering av forgrunnsvinduer ved å justere nettleserinnstillingene. Svindlere bruker regelmessig forgrunnsvinduer til å spre skadelig programvare.

Å bruke et omfattende antivirusprogram vil også bidra til å holde deg trygg på nettet. Kaspersky Total Security gir kontinuerlig beskyttelse mot datasnoker, virus og skadelig programvare, og har betalingsbeskyttelse og personvernverktøy som beskytter deg fra alle vinkler. Kaspersky Internet Security for Android vil også beskytte Android-enheten din.

Relaterte artikler:

• Hva er et nulldagsangrep? Definisjon og forklaring
• Typer trusler fra skadelig programvare
• Løsepengevirus og typer
• Slik fjerner du et virus fra en iPhone