Новости 3 августа 2021

Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить

Далее

Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.

Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android.

Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности.

Разработчик также утверждает, что внимательно относится к правам человека.

Возможности ПО Pegasus

Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру.

Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона.

Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.

Скандал с массовой слежкой ПО Pegasus

В июле 2021 года в прессе появились сообщения о том, авторитарные режимы используют Pegasus для взлома телефонов правозащитников, оппозиционных журналистов и юристов.

  • Список пострадавших

В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.

Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:

  • Азербайджан,
  • Бахрейн,
  • Венгрия,
  • Индия,
  • Казахстан,
  • Марокко,
  • Мексика,
  • Объединенные Арабские Эмираты,
  • Руанда,
  • Саудовская Аравия.

В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.

  • Политики

По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:

  • президент Ирака Бархам Салех,
  • президент ЮАР Сирил Рамафоса,
  • премьер-министры Пакистана,
  • Египта,
  • Марокко. 

По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.

  • Позиция NSO

NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.

В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.

Как действует ПО Pegasus

  • Вредоносные ссылки

Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.

Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.

Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации. 

  • Эксплойты без клика

Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.

Так Pegasus проникал в большинство систем обмена сообщениями, например:

  • Gmail,
  • Facebook,
  • WhatsApp,
  • Facetime,
  • Viber,
  • WeChat,
  • Telegram,
  • встроенные мессенджеры и почту Apple.
  • Сетевые инъекции

Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.

При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.

Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.

Как понять заражено ли устройство

Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.

Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.

На зараженных устройствах наблюдается четкая последовательность:

  • «Посещался веб-сайт,
  • приложение давало сбой,
  • некоторые файлы были изменены.

Читать далее:

Посмотрите, как черная дыра начинает разрушать звезду

На Большом адронном коллайдере открыли новую частицу

Тепловая волна вызвала масштабное таяние ледяного щита Гренландии