Шпионское ПО Pegasus, как это работает

Обновлено: 03.07.2024

Сенсационные разоблачения Эдварда Сноудена о массовой слежке со стороны правительства США вызвали тревогу по поводу цифровой безопасности во всем мире.

Когда-то сквозное шифрование представляло интерес в основном для шпионов и специалистов по информационной безопасности, но теперь оно стало обычным явлением, поскольку обмен сообщениями переместился на зашифрованную электронную почту и такие приложения, как WhatsApp и Signal.

Эта тенденция привела к тому, что правительства не могли слушать и отчаянно нуждались в решении.

Чтобы удовлетворить эту потребность, был создан Pegasus.

Pegasus — флагманский продукт израильской компании NSO Group, занимающейся кибернаблюдением, возможно, самой известной из новых компаний-шпионов. Технология NSO Group позволяет ее клиентам, которыми, по словам компании, всегда являются правительства, а не частные лица или компании, нацеливаться на определенные телефонные номера и заражать связанные устройства кодом Pegasus.

Но вместо того, чтобы пытаться прослушивать данные, передаваемые между двумя устройствами (которые, вероятно, будут зашифрованы), Pegasus позволяет своим пользователям реквизировать само устройство, получая доступ ко всему, что на нем находится.

Pegasus также отслеживает нажатия клавиш на зараженном устройстве — все письменные сообщения и поисковые запросы в Интернете, даже пароли — и возвращает их клиенту, а также предоставляет доступ к микрофону и камере телефона, превращая его в мобильное шпионское устройство, которое невольно уносит с собой.

«Взлом телефона происходит таким образом, что злоумышленники могут получить административные привилегии на устройстве. Это позволяет делать на телефоне практически все, что угодно», — сказал Клаудио Гуарньери из Лаборатории безопасности Amnesty International, которая разработала методологию анализа зараженных устройств.

Правительства во всем мире отчаянно нуждаются в том, что может дать им Pegasus, якобы для предоставления им беспрепятственного доступа к коммуникациям и передвижениям террористов и преступников. Тем не менее, проект «Пегас» также показывает, как NSO Group почти наверняка продавала свои технологии правительствам с сомнительной репутацией в области прав человека — и как они использовались для нападения на журналистов и правозащитников. Доказательства, собранные проектом Pegasus, показывают, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионское ПО NSO.

Чтобы сохранить прибыльный доступ, команда NSO Group должна постоянно обновлять свои технологии, чтобы опережать такие компании, как Apple и Google, поскольку они устанавливают исправления для устранения уязвимостей. За последние полвека Pegasus превратился из относительно грубой системы, основанной на социальной инженерии, в программу, которая может взломать телефон без необходимости нажатия пользователем одной ссылки.

Нулевой клик

Хакерские атаки Pegasus когда-то требовали активного участия цели. Операторы Pegasus отправляли текстовые сообщения, содержащие вредоносную ссылку, на телефон своей цели. Если цель нажимала, в их веб-браузере открывалась вредоносная страница для загрузки и запуска вредоносного ПО, заражающего устройство.

Различные тактики помогли клиентам NSO Group увеличить шансы на клик.

«[Клиенты] рассылали спам-сообщения только для того, чтобы расстроить цель, а затем отправляли еще одно сообщение, в котором им предлагалось нажать на ссылку, чтобы прекратить получать спам», — сказал Гварньери.

Методы социальной инженерии помогли манипулировать целевыми объектами, чтобы они нажимали, встраивая ссылку в сообщения, предназначенные для обращения к их страхам или интересам.

"Сообщения могут включать в себя новости, представляющие интерес для [цели], или рекламные акции того, что, как они знают, вы хотите, например, абонемент в спортзал или онлайн-продажи", – говорит Гварньери.

В конце концов общественность стала больше осведомлена об этих тактиках и стала лучше распознавать вредоносный спам. Требовалось что-то более тонкое.

Решением проблемы стало использование так называемых эксплойтов с нулевым кликом. Эти уязвимости не предполагают, что цель вообще что-либо сделает, чтобы Pegasus взломал их устройство. По словам Гварньери, это был предпочтительный метод атаки правительств, использующих Pegasus в последние несколько лет.

Эффекты Zero-Click основаны на ошибках в популярных приложениях, таких как iMessage, WhatsApp и FaceTime, которые получают и сортируют данные, иногда из неизвестных источников.

После обнаружения уязвимости Pegasus может проникнуть на устройство, используя протокол приложения. Пользователю не нужно переходить по ссылке, читать сообщение или отвечать на звонок — он может даже не увидеть пропущенный вызов или сообщение.

"Эти эксплойты с нулевым кликом составляют большинство случаев, которые мы наблюдали с 2019 года", – сказал Гварньери, чья команда опубликовала технический отчет о методологии проекта Pegasus.

"Это отвратительное программное обеспечение — красноречиво отвратительное", — сказал журналистам Тимоти Саммерс, бывший кибер-инженер разведывательного управления США. «Он подключается к большинству систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, встроенные приложения Apple для обмена сообщениями и электронной почты и другие. С таким составом можно было шпионить почти за всем населением мира.Очевидно, что NSO предлагает разведывательное агентство как услугу».

Сопротивление

Несмотря на солидную репутацию, iMessage от Apple, по мнению экспертов, уязвим для атак. Мэтт Грин, криптограф и эксперт по безопасности из Университета Джона Хопкинса, сообщил журналистам, что iMessage становится все более уязвимым, поскольку Apple усложняет свое программное обеспечение. Это непреднамеренно ввело больше способов найти ошибки кодирования, которые можно использовать. Apple регулярно выпускает обновления, предназначенные для исправления таких уязвимостей, но индустрия шпионского ПО всегда кажется как минимум на шаг впереди.

«Нет никаких сомнений в том, что [Pegasus] способен заражать самые последние версии iOS», — сказал Гварньери. «В обнаружение этих ошибок вложено гораздо больше времени и денег, чем, вероятно, вложено, прежде всего, в предотвращение их создания и искоренения. Это игра в кошки-мышки, и кошка всегда впереди, потому что есть экономический стимул».

Представитель Apple, беседовавший с журналистами Washington Post, отрицал, что компании-шпионы опережают их.

«Атаки на iPhone, подобные той, которую строит NSO Group, являются целенаправленными, их разработка стоит миллионы и часто имеют ограниченный срок действия, поскольку мы обнаруживаем их и устраняем проблему. Поэтому мы сделали масштабные атаки на пользователей iPhone экономически недопустимыми», — сказал Иван Крстич, руководитель отдела разработки и архитектуры безопасности Apple.

Бизнес явно прибыльный. В 2016 году New York Times сообщила, что инструмент NSO для слежки за 10 пользователями iPhone будет стоить 650 000 долларов и 500 000 долларов за установку — вероятно, для гораздо менее передовых технологий, чем те, которые доступны сегодня. Доход компании в 2020 году составил 243 млн долларов США.

Технологические компании, которые отстают в вопросах цифровой безопасности, пытаются дать отпор в судах. В 2019 году WhatsApp подал в суд на NSO Group в США, утверждая, что израильская фирма использовала уязвимость для заражения более 1400 устройств. WhatsApp утверждает, что среди жертв были журналисты, юристы, религиозные лидеры и политические диссиденты. Несколько других известных компаний, в том числе Microsoft и Google, представили доводы в поддержку текущего дела.

Этот иск последовал за другими, поданными Amnesty International (против министерства обороны Израиля, которое должно одобрить все продажи NSO Group иностранным правительствам) или активистами и журналистами, предположительно ставшими жертвами технологий NSO Group.

«Сетевая инъекция»

Помимо эксплойтов с нулевым щелчком, клиенты NSO Group также могут использовать так называемые «сетевые инъекции» для незаметного доступа к устройству цели. Просмотр веб-страниц цели может сделать ее открытой для атаки без необходимости нажимать на специально созданную вредоносную ссылку. Этот подход предполагает ожидание, пока цель посетит веб-сайт, который не полностью защищен во время их обычной онлайн-активности. Как только они нажимают на ссылку на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и вызвать заражение.

"Вы ничего не можете с этим поделать", – сказал Гварньери. «Задержка [между доступом к незащищенному веб-сайту и заражением Pegasus] может составлять миллисекунды».

Однако эту технику сложнее выполнить, чем атаковать телефон с помощью вредоносного URL-адреса или эксплойта с нулевым кликом, поскольку использование мобильного телефона жертвой должно контролироваться до момента, когда его интернет-трафик не станет незащищенным. Обычно это делается через оператора мобильной связи целевого объекта, к которому некоторые правительства могут получить доступ или контролировать его.

Однако такая зависимость затрудняет или делает невозможным для правительств преследование людей за пределами их юрисдикции. Эксплойты с нулевым кликом не имеют таких ограничений, что лежит в основе их популярности.

Из «Нулевого пациента», след улик

Технический отдел Amnesty International проанализировал данные с десятков мобильных телефонов, которые, как подозревают, использовались клиентами NSO Group. Чтобы обнаружить Pegasus на устройстве, команда сначала ищет самый очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут на один из доменов, используемых NSO Group для загрузки шпионского ПО на телефон, что называется инфраструктурой компании.

«Национальная статистическая служба допустила оперативные ошибки при настройке инфраструктуры, которую они используют для проведения атак», — сказал Гварньери. В первом зарегистрированном случае — так называемом «нулевом пациенте» — эта сетевая инфраструктура «связана с корпоративной инфраструктурой [NSO]».

Похоже, что NSO Group изначально использовала серию поддельных учетных записей электронной почты для настройки большей части своей инфраструктуры. Обнаружение одной из этих учетных записей, связанных с доменом, является дополнительным доказательством того, что она принадлежит NSO Group.

"Нулевым пациентом" был правозащитник из Объединенных Арабских Эмиратов по имени Ахмед Мансур.В 2016 году Citizen Lab обнаружила, что телефон Мансура был взломан с помощью вредоносных ссылок, предлагающих «новые секреты» о пытках, проводимых властями ОАЭ. Citizen Lab удалось показать, что сообщения исходили от Pegasus.

"Всегда найдется след улик, который приведет нас к самому первому нулевому пациенту", – сказал Гварньери.

Команда Amnesty обнаружила не только ссылки на сетевую инфраструктуру NSO, но и сходство вредоносных процессов, выполняемых зараженным устройством. Их всего несколько десятков, и один, называемый Bridgehead, или BH, неоднократно появляется во всей вредоносной программе, вплоть до телефона Мансура.

Гуарньери говорит, что загрузил все версии iOS, выпущенные с 2016 года, чтобы проверить, являются ли процессы, которые он обнаружил на зараженных устройствах, законными. Ни один из процессов, обнаруженных его командой, на самом деле не был выпущен Apple.

"Мы знаем, что эти процессы незаконны — они вредоносны. Мы знаем, что это процессы Pegasus, потому что они подключаются к сетевой инфраструктуре, которую мы видели», — сказал Гварньери. На зараженных устройствах команда Amnesty наблюдала четкую последовательность: «посещение веб-сайта, сбой приложения, изменение некоторых файлов, и все эти процессы выполняются за считанные секунды или даже миллисекунды. Существует преемственность уникальности процессов, которую мы наблюдаем во всех этих проанализированных нами случаях. Я не сомневаюсь, что перед нами Пегас».

Авторы не работают, не консультируют, не владеют акциями и не получают финансирования от какой-либо компании или организации, которые могли бы извлечь выгоду из этой статьи, и не раскрывают никаких соответствующих связей, помимо своей академической должности.

Партнеры

Университет Эдит Коуэн предоставляет финансирование в качестве члена The Conversation AU.

Языки

В ходе крупного журналистского расследования были обнаружены доказательства использования вредоносных программ правительствами по всему миру, в том числе обвинения в слежке за известными людьми.

Из списка из более чем 50 000 телефонных номеров журналисты определили более 1000 человек в 50 странах, которые, как сообщается, находятся под наблюдением с помощью шпионского ПО Pegasus. Программное обеспечение было разработано израильской компанией NSO Group и продано государственным клиентам.

Среди заявленных целей шпионского ПО есть журналисты, политики, правительственные чиновники, руководители компаний и правозащитники.

Вид с воздуха на отдел новостей Al Jazeera Australia.

По сообщениям, журналисты, работающие на Al Jazeera, были среди тех, кого преследуют правительственные клиенты NSO. Аль-Джазира

Сообщения до сих пор ссылаются на попытки наблюдения, напоминающие кошмар Оруэлла, в котором шпионское ПО может перехватывать нажатия клавиш, перехватывать сообщения, отслеживать устройство и использовать камеру и микрофон, чтобы шпионить за пользователем.

Как они это сделали?

Шпионское ПО Pegasus может заражать телефоны жертв с помощью различных механизмов. Некоторые подходы могут включать SMS или iMessage со ссылкой на веб-сайт. Если щелкнуть эту ссылку, будет доставлено вредоносное программное обеспечение, которое подвергает риску устройство.

Другие используют более серьезную атаку «без щелчка», когда уязвимости в службе iMessage на iPhone позволяют заразиться, просто получив сообщение, и никакого вмешательства пользователя не требуется.

Цель состоит в том, чтобы получить полный контроль над операционной системой мобильного устройства путем рутирования (на устройствах Android) или джейлбрейка (на устройствах Apple iOS).

Обычно рутирование на устройстве Android выполняется пользователем для установки приложений и игр из неподдерживаемых магазинов приложений или повторного включения функций, отключенных производителем.

Аналогичным образом на устройствах Apple можно развернуть джейлбрейк, чтобы разрешить установку приложений, недоступных в Apple App Store, или разблокировать телефон для использования в альтернативных сотовых сетях. Многие подходы к джейлбрейку требуют, чтобы телефон подключался к компьютеру при каждом включении (так называемый «привязанный джейлбрейк»).

И рутирование, и джейлбрейк удаляют элементы управления безопасностью, встроенные в операционные системы Android или iOS. Обычно они представляют собой комбинацию изменений конфигурации и «взлома» основных элементов операционной системы для запуска измененного кода.

В случае шпионского ПО после разблокировки устройства злоумышленник может установить дополнительное программное обеспечение для обеспечения удаленного доступа к данным и функциям устройства. Этот пользователь, скорее всего, останется в полном неведении.

Большинство сообщений СМИ о Pegasus связаны с компрометацией устройств Apple. Шпионское ПО также заражает устройства Android, но не так эффективно, поскольку использует метод рутирования, который не на 100% надежен.Когда первоначальная попытка заражения не удалась, шпионское ПО предположительно предлагает пользователю предоставить соответствующие разрешения, чтобы его можно было эффективно развернуть.

Но разве устройства Apple не более безопасны?

Устройства Apple обычно считаются более безопасными, чем их аналоги Android, но ни один из типов устройств не является на 100 % безопасным.

Apple применяет высокий уровень контроля к коду своей операционной системы, а также к приложениям, предлагаемым в магазине приложений. Это создает закрытую систему, которую часто называют «безопасностью за счет неизвестности». Apple также полностью контролирует время выпуска обновлений, которые затем быстро внедряются пользователями.

Устройства Apple часто обновляются до последней версии iOS с помощью автоматической установки исправлений. Это помогает повысить безопасность, а также повышает ценность поиска работающего компромисса с последней версией iOS, поскольку новая версия будет использоваться на большей части устройств по всему миру.

С другой стороны, устройства Android основаны на концепциях с открытым исходным кодом, поэтому производители оборудования могут адаптировать операционную систему для добавления дополнительных функций или оптимизации производительности. Обычно мы видим большое количество устройств Android с различными версиями, что неизбежно приводит к тому, что некоторые устройства не исправлены и небезопасны (что выгодно киберпреступникам).

В конечном итоге обе платформы уязвимы для компрометации. Ключевыми факторами являются удобство и мотивация. Хотя разработка вредоносного инструмента для iOS требует больших затрат времени, усилий и денег, наличие множества устройств с одинаковой средой означает больше шансов на успех в значительном масштабе.

Хотя многие устройства Android, вероятно, будут уязвимы для взлома, разнообразие аппаратного и программного обеспечения затрудняет развертывание одного вредоносного инструмента для широкой пользовательской базы.

Как узнать, что за мной наблюдают?

Хотя утечка более 50 000 предположительно отслеживаемых телефонных номеров кажется большой, маловероятно, что шпионское ПО Pegasus использовалось для слежки за кем-либо, кто не является публично известным или политически активным.

Сама природа шпионского ПО заключается в том, чтобы оставаться скрытым и незамеченным на устройстве. Тем не менее, существуют механизмы, позволяющие определить, было ли взломано ваше устройство.

(Относительно) простой способ определить это — воспользоваться набором инструментов мобильной проверки Amnesty International (MVT). Этот инструмент может работать как в Linux, так и в MacOS, и может проверять файлы и конфигурацию вашего мобильного устройства, анализируя резервную копию, сделанную с телефона.

Хотя анализ не подтвердит или не опровергнет факт взлома устройства, он выявляет «индикаторы взлома», которые могут свидетельствовать о заражении.

В частности, этот инструмент может обнаруживать наличие определенного программного обеспечения (процессов), запущенного на устройстве, а также ряд доменов, используемых как часть глобальной инфраструктуры, поддерживающей шпионскую сеть.

Что я могу сделать, чтобы лучше защитить себя?

К сожалению, в настоящее время нет решения для атаки с нулевым щелчком мыши. Однако есть простые шаги, которые вы можете предпринять, чтобы свести к минимуму свою потенциальную уязвимость — не только для Pegasus, но и для других вредоносных атак.

1) При использовании устройства открывайте ссылки только из известных и надежных контактов и источников. Pegasus развертывается на устройствах Apple через ссылку iMessage. И это тот же метод, который используется многими киберпреступниками как для распространения вредоносных программ, так и для менее технических мошенничеств. Тот же совет относится и к ссылкам, отправляемым по электронной почте или другим приложениям для обмена сообщениями.

2) Убедитесь, что на вашем устройстве установлены все соответствующие исправления и обновления. Хотя наличие стандартизированной версии операционной системы создает стабильную базу для атакующих, она по-прежнему является вашей лучшей защитой.

Если вы используете Android, не полагайтесь на уведомления о новых версиях операционной системы. Проверьте наличие последней версии самостоятельно, так как производитель вашего устройства может не предоставлять обновления.

3) Хотя это может показаться очевидным, вы должны ограничить физический доступ к своему телефону. Сделайте это, включив блокировку булавкой, пальцем или лицом на устройстве. На веб-сайте уполномоченного по электронной безопасности есть несколько видеороликов, объясняющих, как безопасно настроить ваше устройство.

4) Избегайте общедоступных и бесплатных служб Wi-Fi (включая отели), особенно при доступе к конфиденциальной информации. Использование VPN — хорошее решение, когда вам нужно использовать такие сети.

5) Зашифруйте данные своего устройства и включите функции удаленной очистки, если они доступны. Если ваше устройство потеряно или украдено, вы можете быть уверены, что ваши данные останутся в безопасности.

Исправление: в эту статью были внесены изменения, чтобы отразить отчеты о том, что пользователи iPhone, ставшие жертвами шпионского ПО Pegasus, по всей видимости, подверглись атакам с нулевым кликом.

Pegasus может заразить телефон с помощью атаки с нулевым кликом, для успеха которой не требуется никакого вмешательства со стороны владельца телефона.

Так называется, пожалуй, самая мощная программа-шпион, когда-либо разработанная частной компанией. Как только он проникнет на ваш телефон, незаметно для вас, он может превратить его в устройство круглосуточного наблюдения. Он может копировать сообщения, которые вы отправляете или получаете, собирать ваши фотографии и записывать ваши звонки. Он может тайно снимать вас через камеру вашего телефона или активировать микрофон для записи ваших разговоров. Он потенциально может точно определить, где вы находитесь, где вы были и с кем встречались.

Pegasus – это хакерское или шпионское ПО, которое разрабатывается, продается и лицензируется правительствами по всему миру израильской компанией NSO Group. Он может заразить миллиарды телефонов под управлением операционных систем iOS или Android.

Самая ранняя обнаруженная версия Pegasus, которая была обнаружена исследователями в 2016 году, заражала телефоны с помощью так называемого целевого фишинга – текстовых сообщений или электронных писем, которые обманным путем заставляли цель перейти по вредоносной ссылке.

Что содержится в данных проекта Pegasus?

Что скрывается за утечкой данных?

Утечка данных представляет собой список из более чем 50 000 телефонных номеров, которые, как считается, с 2016 года были выбраны в качестве номеров лиц, представляющих интерес, государственными клиентами NSO Group, которая продает программное обеспечение для наблюдения. Данные также содержат время и дату, когда числа были выбраны или введены в систему. Запретные истории, некоммерческая журналистская организация из Парижа, и Amnesty International изначально имели доступ к списку и делились доступом с 16 медиа-организациями, включая Guardian. Более 80 журналистов работали вместе в течение нескольких месяцев в рамках проекта Pegasus. Лаборатория безопасности Amnesty, технический партнер проекта, провела судебную экспертизу.

О чем свидетельствует утечка?

Консорциум считает, что данные указывают на потенциальные цели, которые государственные клиенты НСО определили до возможного наблюдения. Хотя данные указывают на намерение, наличие числа в данных не показывает, была ли попытка заразить телефон шпионским ПО, таким как Pegasus, сигнатурный инструмент компании для наблюдения, или была ли какая-либо попытка успешной. Наличие в данных очень небольшого количества стационарных телефонов и номеров в США, доступ к которым с помощью ее инструментов, по словам NSO, «технически невозможен», показывает, что некоторые цели были выбраны клиентами NSO, хотя они не могли быть заражены Pegasus. Однако судебная экспертиза небольшой выборки мобильных телефонов с номерами в списке выявила тесную корреляцию между временем и датой номера в данных и началом активности Pegasus — в некоторых случаях всего несколько секунд.

Что показала криминалистическая экспертиза?

Amnesty International проверила 67 смартфонов, в отношении которых подозревались атаки. Из них 23 были успешно заражены, а 14 имели признаки попытки проникновения. Для остальных 30 тесты оказались безрезультатными, в некоторых случаях из-за того, что телефоны были заменены. Пятнадцать телефонов были Android-устройствами, ни на одном из которых не было обнаружено признаков успешного заражения. Однако, в отличие от iPhone, телефоны на Android не регистрируют информацию, необходимую для детективной работы Amnesty. На трех телефонах Android были обнаружены признаки таргетинга, например SMS-сообщения, связанные с Pegasus.

Amnesty International поделилась «резервными копиями» четырех iPhone с Citizen Lab, исследовательской группой Университета Торонто, специализирующейся на изучении Pegasus, которая подтвердила наличие у них признаков заражения Pegasus. Citizen Lab также провела экспертную оценку методов судебной экспертизы Amnesty и признала их надежными.

Клиенты каких NSO выбирали номера?

Хотя данные организованы в кластеры, указывающие на отдельных клиентов NSO, в них не указано, какой клиент NSO был ответственен за выбор того или иного номера. NSO утверждает, что продает свои инструменты 60 клиентам в 40 странах, но отказывается их назвать. Внимательно изучив схему нацеливания со стороны отдельных клиентов в просочившихся данных, медиа-партнеры смогли определить 10 правительств, которые, как считается, несут ответственность за выбор целей: Азербайджан, Бахрейн, Казахстан, Мексика, Марокко, Руанда, Саудовская Аравия, Венгрия, Индия. , и Объединенные Арабские Эмираты. Citizen Lab также обнаружила доказательства того, что все 10 клиентов являются клиентами NSO.

Что говорит NSO Group?

Вы можете прочитать полное заявление NSO Group здесь. Компания всегда заявляла, что не имеет доступа к данным своих клиентов. Через своих юристов NSO заявила, что консорциум сделал «неверные предположения» о том, какие клиенты используют технологии компании. В нем говорилось, что цифра в 50 000 была «преувеличена» и что этот список не может быть списком цифр, «нацеленных правительствами, использующими Pegasus».Юристы заявили, что у NSO были основания полагать, что список, к которому обратился консорциум, «не является списком номеров, на которые нацелены правительства, использующие Pegasus, а вместо этого может быть частью более широкого списка номеров, которые могли использоваться клиентами NSO Group для других целей». целей». Они сказали, что это список номеров, который любой может найти в системе с открытым исходным кодом. После дальнейших вопросов юристы заявили, что консорциум основывает свои выводы «на вводящей в заблуждение интерпретации просочившихся данных из доступной и открытой базовой информации, такой как службы поиска HLR, которые не имеют отношения к списку целей клиентов Pegasus или любой другой. Продукция НСО. мы по-прежнему не видим связи этих списков с чем-либо, связанным с использованием технологий NSO Group». После публикации они объяснили, что считают «целью» телефон, который был успешно или предпринято (но неудачно) заражен Pegasus, и повторили, что список из 50 000 телефонов слишком велик для того, чтобы представлять «цели». "Пегас. Они сказали, что тот факт, что номер появился в списке, никоим образом не свидетельствует о том, был ли он выбран для слежки с помощью Pegasus.

Что такое поисковые данные HLR?

Термин HLR, или домашний регистр местонахождения, относится к базе данных, которая необходима для работы сетей мобильной связи. Такие реестры хранят записи о сетях пользователей телефонов и их общем местоположении, а также другую идентифицирующую информацию, которая обычно используется при маршрутизации вызовов и текстовых сообщений. Эксперты в области телекоммуникаций и наблюдения говорят, что данные HLR иногда можно использовать на ранней стадии попытки наблюдения, когда определяется возможность подключения к телефону. Консорциум понимает, что клиенты NSO имеют возможность через интерфейс в системе Pegasus выполнять поисковые запросы HLR. Неясно, должны ли операторы Pegasus выполнять поисковые запросы HRL через его интерфейс, чтобы использовать его программное обеспечение; источник в NSO подчеркнул, что у его клиентов могут быть разные причины, не связанные с Pegasus, для выполнения поиска HLR через систему NSO.

Однако с тех пор возможности атак NSO стали более продвинутыми. Заражение Pegasus может быть достигнуто с помощью так называемых атак «нулевого клика», которые не требуют никакого вмешательства со стороны владельца телефона для достижения успеха. Они часто используют уязвимости «нулевого дня», то есть недостатки или ошибки в операционной системе, о которых производитель мобильного телефона еще не знает и поэтому не может их исправить.

В 2019 году WhatsApp обнаружил, что программное обеспечение NSO использовалось для отправки вредоносного ПО более чем на 1400 телефонов с использованием уязвимости нулевого дня. Просто позвонив через WhatsApp на целевое устройство, вредоносный код Pegasus может быть установлен на телефоне, даже если цель не ответила на звонок. Совсем недавно NSO начала использовать уязвимости в программном обеспечении iMessage от Apple, предоставив ему бэкдор-доступ к сотням миллионов iPhone. Apple заявляет, что постоянно обновляет свое программное обеспечение для предотвращения таких атак.

Техническое понимание Pegasus и того, как найти следы улик, которые он оставляет на телефоне после успешного заражения, улучшилось благодаря исследованию, проведенному Клаудио Гварньери, руководителем берлинской лаборатории безопасности Amnesty International.

«Вещи становятся все более сложными для того, чтобы цели могли их заметить», — сказал Гварньери, объяснив, что клиенты NSO в значительной степени отказались от подозрительных SMS-сообщений в пользу более изощренных атак без щелчка.

Pegasus: шпионская технология, угрожающая демократии – видео

Для таких компаний, как NSO, использование программного обеспечения, которое либо установлено на устройствах по умолчанию, например iMessage, либо очень широко используется, например WhatsApp, особенно привлекательно, поскольку оно значительно увеличивает количество мобильных телефонов, которые Pegasus может успешно использовать. атака.

Являясь техническим партнером проекта Pegasus, международного консорциума медиа-организаций, включая Guardian, лаборатория Amnesty обнаружила следы успешных атак клиентов Pegasus на iPhone с последними версиями iOS от Apple. Атаки были совершены совсем недавно, в июле 2021 года.

Криминалистический анализ телефонов жертв также выявил доказательства того, что постоянный поиск уязвимых мест NSO мог распространиться и на другие распространенные приложения. В некоторых случаях, проанализированных Гварньери и его командой, во время заражения можно увидеть особый сетевой трафик, связанный с приложениями Apple Photos и Music, что позволяет предположить, что NSO начала использовать новые уязвимости.

Там, где ни целевой фишинг, ни атаки с нулевым кликом не увенчались успехом, Pegasus также можно установить через беспроводной приемопередатчик, расположенный рядом с целью, или, согласно брошюре NSO, просто установить вручную, если агент может украсть телефон цели.< /p>

После установки на телефон Pegasus может собирать более или менее любую информацию или извлекать любой файл.SMS-сообщения, адресные книги, история вызовов, календари, электронная почта и история посещенных страниц в Интернете могут быть удалены.

«Взлом iPhone происходит таким образом, что позволяет злоумышленнику получить так называемые привилегии root или административные привилегии на устройстве», — сказал Гварньери. «Pegasus может больше, чем владелец устройства».

Адвокаты NSO заявили, что технический отчет Amnesty International является предположением, назвав его «сборником спекулятивных и безосновательных предположений». Однако они не оспаривали какие-либо его конкретные выводы или выводы.

NSO приложила значительные усилия для того, чтобы сделать свое программное обеспечение труднообнаруживаемым, а инфекции Pegasus теперь очень сложно идентифицировать. Исследователи безопасности подозревают, что более поздние версии Pegasus размещаются только во временной памяти телефона, а не на его жестком диске, а это означает, что после выключения телефона практически все следы программного обеспечения исчезают.

Одна из самых серьезных проблем, с которой Pegasus сталкивается с журналистами и правозащитниками, заключается в том, что программное обеспечение использует необнаруженные уязвимости, а это означает, что даже самые заботящиеся о безопасности пользователи мобильных телефонов не могут предотвратить атаку.

"Этот вопрос мне задают почти каждый раз, когда мы с кем-то проводим судебно-медицинскую экспертизу: "Что я могу сделать, чтобы это больше не повторилось?" – сказал Гварньери. «Настоящий честный ответ — ничего».

Что такое Pegasus? Шпионское ПО проникает в телефоны

Сквозное шифрование — это технология, которая шифрует сообщения на вашем телефоне и расшифровывает их только на телефонах получателей. Это означает, что любой, кто перехватит сообщения между ними, не сможет их прочитать. Dropbox, Facebook, Google, Microsoft, Twitter и Yahoo входят в число компаний, приложения и службы которых используют сквозное шифрование.

Этот тип шифрования хорош для защиты вашей конфиденциальности, но правительствам он не нравится, потому что он затрудняет слежку за людьми, будь то отслеживание преступников и террористов или, как известно, некоторые правительства, слежка. на диссидентов, протестующих и журналистов. Представьте себе израильскую технологическую компанию NSO Group.

Флагманским продуктом компании является Pegasus, шпионское ПО, которое может незаметно проникнуть в смартфон и получить доступ ко всему на нем, включая его камеру и микрофон. Pegasus предназначен для проникновения в устройства под управлением операционных систем Android, Blackberry, iOS и Symbian и превращения их в устройства наблюдения. Компания заявляет, что продает Pegasus только правительствам и только в целях отслеживания преступников и террористов.

Как это работает

Предыдущие версии Pegasus устанавливались на смартфоны из-за уязвимостей в часто используемых приложениях или путем целевого фишинга, когда целевой пользователь обманным путем вынуждает щелкнуть ссылку или открыть документ, который тайно устанавливает программное обеспечение. Его также можно установить через беспроводной приемопередатчик, расположенный рядом с целью, или вручную, если агент может украсть телефон цели.

С 2019 года пользователи Pegasus могут устанавливать программное обеспечение на смартфоны с пропущенным вызовом в WhatsApp и даже удалять запись о пропущенном вызове, чтобы владелец телефона не мог узнать, что что-то не так. Другой способ — просто отправить сообщение на телефон пользователя без уведомления.

Это означает, что последняя версия этой шпионской программы не требует от пользователя смартфона каких-либо действий. Все, что требуется для успешной атаки и установки шпионского ПО, — это наличие на устройстве определенного уязвимого приложения или операционной системы. Это известно как эксплойт с нулевым кликом.

После установки Pegasus теоретически может собирать любые данные с устройства и передавать их злоумышленнику. Он может украсть фотографии и видео, записи, записи о местоположении, сообщения, поиск в Интернете, пароли, журналы вызовов и сообщения в социальных сетях. Он также имеет возможность активировать камеры и микрофоны для наблюдения в режиме реального времени без разрешения или ведома пользователя.

Кто использует Pegasus и почему

NSO Group утверждает, что строит Pegasus исключительно для правительства, чтобы использовать его в борьбе с терроризмом и правоохранительной деятельности. Компания позиционирует его как инструмент целевого шпионажа для отслеживания преступников и террористов, а не для массовой слежки. Компания не раскрывает своих клиентов.

Первые сообщения об использовании Pegasus были зарегистрированы правительством Мексики в 2011 году для отслеживания печально известного наркобарона Хоакина "Эль Чапо" Гусмана. Сообщается, что этот инструмент также использовался для отслеживания людей, близких к убитому саудовскому журналисту Джамалу Хашогги.

Неясно, кто или какие типы людей являются мишенями и почему. Однако большая часть недавних сообщений о Pegasus сосредоточена вокруг списка из 50 000 телефонных номеров.Список был приписан NSO Group, но происхождение списка неясно. В заявлении Amnesty International в Израиле говорится, что список содержит телефонные номера, которые были помечены как «представляющие интерес» для различных клиентов NSO, хотя неизвестно, действительно ли какие-либо из телефонов, связанных с номерами, отслеживались.

Медиа-консорциум Pegasus Project проанализировал телефонные номера из списка и выявил более 1000 человек из более чем 50 стран. Выводы включали людей, которые, по-видимому, не подпадают под ограничение NSO Group в отношении расследований преступной и террористической деятельности. К ним относятся политики, государственные служащие, журналисты, правозащитники, руководители предприятий и члены арабской королевской семьи.

Другие способы отслеживания вашего телефона

Pegasus захватывает дух своей скрытностью и кажущейся способностью полностью контролировать чей-то телефон, но это не единственный способ слежки за людьми через их телефоны. Некоторые из способов, с помощью которых телефоны могут способствовать наблюдению и нарушению конфиденциальности, включают отслеживание местоположения, подслушивание, вредоносное ПО и сбор данных с датчиков.

Правительства и телефонные компании могут отслеживать местоположение телефона, отслеживая сигналы сотовой связи от приемопередатчиков вышек сотовой связи и симуляторов сотовых приемопередатчиков, таких как устройство StingRay. Сигналы Wi-Fi и Bluetooth также можно использовать для отслеживания телефонов. В некоторых случаях приложения и веб-браузеры могут определять местоположение телефона.

Подслушивать сообщения сложнее, чем отслеживать, но это возможно в ситуациях, когда шифрование слабое или отсутствует. Некоторые типы вредоносных программ могут нарушить конфиденциальность путем доступа к данным.

Агентство национальной безопасности стремилось заключить соглашения с технологическими компаниями, в соответствии с которыми компании предоставляли бы агентству специальный доступ к своим продуктам через бэкдоры, и, как сообщается, создало бэкдоры самостоятельно. Компании утверждают, что бэкдоры не позволяют использовать сквозное шифрование.

Хорошая новость заключается в том, что в зависимости от того, кто вы, вы вряд ли станете мишенью правительства, владеющего Pegasus. Плохая новость заключается в том, что сам по себе этот факт не гарантирует вашу конфиденциальность.

Эта статья изначально была опубликована на The Conversation. Прочтите исходную статью.

ОБ АВТОРАХ

Бханукиран Гуриджала — доцент кафедры компьютерных наук и информационных систем Университета Западной Вирджинии.

Читайте также: