הסוללה שלכם מתרוקנת מהר? אולי יש רוגלה בסמארטפון שלכם

בשנים האחרונות הפכה המילה רוגלה לשגורה כמעט בכל שיחה על אבטחת מידע, אך מאחורי הכותרות מסתתרת מציאות טכנולוגית מורכבת בהרבה. בפודקאסט הסייבר של מעריב הסביר אסף חזן, CTO קספרסקי ישראל, כי הסימנים שרבים מזהים כראיה להדבקה אינם רלוונטיים לרוב הכלים המתוחכמים.

לדבריו, יש להבחין בין כלי בקרה לגיטימיים, כמו מערכות בקרת הורים או ניהול מכשירים בארגונים, לבין רוגלות מדינתיות מתקדמות. תוכנות לגיטימיות עשויות לצרוך משאבים ולרוקן סוללה מהר יותר משום שהן פועלות באופן גלוי. לעומת זאת, רוגלות ברמת APT מתוכננות להישאר בלתי מורגשות, לעיתים אף למחוק את עצמן לאחר פרק זמן אם אינן מקבלות פקודות, במטרה להעלים עקבות.

חזן תיאר למעריב מחקר שביצעה החברה בשנת 2023, שבו זוהתה פעילות רוגלה במכשירי iOS. לדבריו, החוקרים איתרו רכיב חומרה בלוח האם שלא תועד באופן רשמי, אשר נוצל כשטח זיכרון סמוי. הקוד הזדוני כלל כ 11,000 שורות קוד שעברו תהליך ערבול כדי למנוע קריאה ישירה. ההדבקה בוצעה בשיטת Zero Click, באמצעות הודעת iMessage שנקלטה ללא כל פעולה מצד המשתמש.

לדבריו, מדובר בשרשרת של ניצול חולשות, לעיתים Zero Day, שעלותן עשויה להגיע ל 20,000 ועד 200,000 דולר לניצול בודד. מסיבה זו, הכלים הללו אינם מכוונים לאזרחים מן השורה אלא ליעדים בכירים, פוליטיים או ביטחוניים.

עוד הדגיש כי ברוב המקרים רוגלות מתקדמות אינן ניתנות לזיהוי באמצעות תחושות בטן או סימנים חיצוניים. הזיהוי במחקר התאפשר הודות לניטור תעבורת רשת חריגה במכשירים שחוברו לרשת הארגונית.

המסר המרכזי לארגונים, לדבריו, הוא שהטלפון הסלולרי מהווה נקודת קצה לכל דבר ויש לנטר אותו באותה רמת הגנה כמו מחשבים ושרתים. עבור הציבור הרחב, הסבירות להיות יעד לכלי תקיפה יקרי ערך נמוכה, אך בארגונים המחזיקים מידע רגיש, ההתעלמות מהמכשירים הניידים עלולה להפוך אותם לדלת כניסה מרכזית לתוקפים מתוחכמים.