제로클릭(Zero Click Attack)

1. 개요

: 공격 대상자의 개입없이 링크를 누르거나 첨부 파일을 열지 않았음에도 불구하고 시스템 침투하여 사용자 스마트폰을 좀비폰으로 만든다

(1) NSO 그룹의 페가수스(Pegasus): 😈Spyware

• 이스라엘 보안업체 NSO 그룹이 개발한 제로클릭 해킹 도구

	⤷ *스파이웨어(Spyware) 
	    : 사용자 동의 없이 시스템에 설치되어 사용자 활동 몰래 추적하거나 
          정보 수집하는 악성 소프트웨어

• 제로클릭 해킹 기술의 구매자는 각국 정부 기관들로 NSO그룹은 이를 정부에 판매
• 감시대상: 정부기관 관계자, 정치인, 활동가 등 고위급 인사/언론인

	*감시대상 list.
	   - 프랑스 마크롱 대통령
       - 해당 정부에 비판적인 공무원이나 사업가, 인권운동가, ... 
       - 미국 국무부 직원

• 구글 프로젝트 제로(Project Zero) 팀은 지금까지 확인한 사이버 공격 가운데 가장 정교한 기술임을 발표
• NSO그룹 외 최소 4개 이상 이스라엘 업체들이 제로클릭 해킹 기술 확보 및 개발했다 알려짐

  💬 [NSO 그룹]

  • 2010년: 설립
  • 2011년: Pegasus 스파이웨어의 첫 번째 버전 개발

  • 본사는 이스라엘 헤르츨리야에 두고 있으나 미국 투자 회사인 Francisco Partners 소유

2. 구동 원리

(1) 메시징 시스템의 취약점: 구글 메시지

• 구글 메시지가 RCS 기능 활성화한 경우 작동

   ⤷ *RCS(Rich Communication Services.리치 커뮤니케이션 서비스)
  		: 텍스트, 이미지, 동영상만 제공하던 SMS, MMS 단순 문자 서비스에서 
        그룹채팅, 콘텐츠 공유, 브랜드 생성 등 풍부한 서비스 제공을 위해 
        구글에서 개발한 메시징 시스템

• < Why >
  : TO. 메시지 전사 기능 ➜ 사용자 확인 하기도 전에, 수신된 오디오를 로컬에서 디코딩
  ( ⁂ 취약점 조건 충족 )

     ⤷ *전사 기능
        : 음성 인식 기술을 활용한 "음성 메시지 ➜ 텍스트" 변환 기능

▶ 시나리오

<공격자> 구글 메시지로 조작된 악성 오디오 메시지 전송 ➜ <수신자 기기> ⛔사용자가 해당 메시지 개입 전 시스템 상 메시지 자동으로 처리 ➜ 수신된 악성 오디오 메시지는 삼성 미디어 서비스 소프트웨어와 충돌 ➜ 원격 코드 실행 가능 ➜ 사용자 시스템 침투 및 데이터 탈취

(2) 메시징 시스템의 취약점: 제로데이

• 📝 제로데이 취약점
  : 보안 패치 제공 전까지 알려지지 않은 취약점

▶ 시나리오

<공격자> 메시징 시스템에서 제로데이 취약점 발견 ➜ 악성 메시지 전송 ➜ <수신자 기기> ⛔악성 메시지 수신 및 자동 처리 ➜ 원격 코드 실행 및 시스템 침투 ➜ 데이터 탈취 및 감시

   Why.
   : 해당 악성 메시지는 일반적으로 악성 페이로드 포함되어 
     사용자가 직접 열거나 클릭하지 않아도 악성 코드 자동 실행

(3) 취약한 시스템 구성 요소

▶ 시나리오

애플 iOS / 구글 Android 운영체제 취약점 악용 ➜ 기기에 페가수스 원격 설치 ➜ 악성 코드 실행 및 시스템 침투 ➜ 모바일 장치의 모든 데이터 실시간 추출

  주요 작업Ex.
   - 데이터 추출: 연락처, 통화 기록, 메시지, 사진, 웹 검색 기록, 파일, ..
   - 전화 통화 도청, 위치 추적, 마이크와 카메라 제어

3. 사례

[1]출처 2016년 8월: Pegasus의 iOS 악용 사례 확인됨.에미레이트 인권 옹호자인 Ahmed Mansoor는 링크를 따라 아랍에미리트 교도소에서 일어나는 고문에 대한 "비밀"을 약속하는 문자 메시지를 받았으나 Mansoor는 링크를 토론토 대학교의 Citizen Lab에 보냈고, 해당 연구소는 Lookout과 협력하여 조사를 실시한 결과, Mansoor가 링크를 따라갔다면 스파이웨어를 이식하고 엄청난 양의 개인 데이터(Ex. 문자 메시지, 사진, 이메일, 위치 데이터, 심지어 장치의 마이크와 카메라에 수집되는 것까지) 약탈당했을 거라 밝혀짐

[2]출처 <프랑스24> 방송을 통해 이스라엘 해킹 도구 ‘페가수스’를 이용한 감시 대상 중 에마뉘엘 마크롱 프랑스 대통령이 포함 추정으로 전화기와 전화번호를 바꿨음을 보도됨마크롱 대통령은 이날 긴급 국가안보 회의를 소집해 장 카스텍스 총리 등과 함께 대응책을 논의했다. 이날 회의에서 민감한 통신 수단과 관련된 보안 규정을 강화할 것으로 요구했음을 대통령실이 밝혔다.
가브리엘 아탈 정부 대변인은 <프랑스 앵테르> 라디오에 출연해 “마크롱 대통령이 이번 사안을 매우 심각하게 받아들이고 있으며 면밀히 주시하고 있다” 말했다. 덧붙여 대통령은 전화기를 주기적으로 바꾼다 전했다.

4. 대응방안

• 삼성에서 최신 보안 업데이트(24년 12월) 설치

   (설정 ➜ 보안 업데이트 ➜ 최신 버전으로 업데이트하기)

• RCS 기능 비활성화 권고

   (문자 ➜ 설정 ➜ 채팅+설정 클릭 ➜ 채팅+관리 ➜ 채팅 + 끄기 클릭)