Пояснення: як шпигунське програмне забезпечення Pegasus заражає пристрій; які дані можуть бути скомпрометовані
Project Pegasus: ізраїльське шпигунське програмне забезпечення, яке, як виявилося, використовувалося для націлювання на сотні телефонів в Індії, стало менш залежним від кліків. Pegasus може заразити пристрій без участі або відома цілі.
У листопаді 2019 року технічний репортер з Нью-Йорка сфотографував пристрій перехоплення, показаний на виставці Milipol, присвяченій національній безпеці в Парижі. Учасник виставки, NSO Group, розмістила обладнання в задній частині фургона, можливо, натякаючи на зручність транспортування, і сказала, що воно не працюватиме на номери телефону в США, можливо, через обмеження, накладені компанією самостійно.
З тих пір, як ізраїльський кібергігант був заснований у 2010 році, це, ймовірно, був перший випадок, коли портативна базова приймальна станція (BTS) виробництва NSO була представлена у звіті ЗМІ.
BTS — або «розбійна стільникова вежа», або «IMSI Catcher» чи «скат» — імітує законні вежі стільникового зв’язку і змушує мобільні телефони в радіусі підключатися до них, щоб зловмисник міг маніпулювати перехопленим трафіком. BTS, сфотографований у 2019 році, складався з горизонтально укладених карт, що, ймовірно, дозволяло перехоплювати в кількох діапазонах частот.
Інший варіант — отримати доступ до самого мобільного оператора цілі. У цьому сценарії зловмиснику не знадобиться будь-яка вишка стільникового зв’язку, але він покладатиметься на звичайну мережеву інфраструктуру для маніпуляцій.
У будь-якому випадку, можливість запускати атаки «введення в мережу», які виконуються віддалено без участі цілі (тому також називається нульовим клацанням ) або знання —дав Пегас , флагманський продукт NSO Group, унікальне перевага перед своїми конкурентами на світовому ринку шпигунських програм.
Зараз Pegasus знаходиться в центрі глобального спільного слідчого проекту, який виявив, що шпигунське програмне забезпечення використовувалося, серед іншого, для націлювання на сотні мобільних телефонів в Індії .
| Створення Pegasus, від стартапу до лідера шпигунських технологійЧим Pegasus відрізняється від інших шпигунських програм?
Pegasus aka Q Suite, що продається NSO Group або Q Cyber Technologies як провідне у світі рішення для кіберрозвідки, що дозволяє правоохоронним органам та спецслужбам дистанційно та приховано отримувати дані практично з будь-яких мобільних пристроїв, розроблено ветеранами ізраїльських спецслужб.
До початку 2018 року клієнти NSO Group в основному покладалися на SMS і повідомлення WhatsApp, щоб обманом змусити цілі відкрити шкідливе посилання, що призведе до зараження їхніх мобільних пристроїв. У брошурі Pegasus це описано як Повідомлення покращеної соціальної інженерії (ESEM). Коли натискається шкідливе посилання, упаковане як ESEM, телефон спрямовується на сервер, який перевіряє операційну систему та надає відповідний віддалений експлойт.
У своєму звіті за жовтень 2019 року Amnesty International вперше задокументувала використання «мережевих ін’єкцій», які дозволили зловмисникам встановлювати шпигунське програмне забезпечення, не вимагаючи будь-якої взаємодії з метою. Pegasus може досягти таких установок з нульовим кліком різними способами. Один із варіантів ефірного (OTA) — приховане надсилання push-повідомлення, яке змушує цільовий пристрій завантажувати шпигунське програмне забезпечення, при цьому ціль не знає про встановлення, над якою вона все одно не контролює.
Це, як хвалиться брошура Pegasus, унікальність NSO, яка значно відрізняє рішення Pegasus від будь-якого іншого шпигунського програмного забезпечення, доступного на ринку.
|Націлених одинадцять телефонів: Жінка, яка звинуватила колишнього CJI в домаганнях, родичЯкі пристрої є уразливими?
Практично всі пристрої. iPhone широко націлювався на Pegasus через програму Apple iMessage за замовчуванням і протокол Push Notification Service (APN), на якому він заснований. Шпигунське програмне забезпечення може видавати себе за програму, завантажену на iPhone, і передавати себе як push-повідомлення через сервери Apple.
У серпні 2016 року Citizen Lab, міждисциплінарна лабораторія, що базується в Університеті Торонто, повідомила про існування Pegasus фірмі з кібербезпеки Lookout, і обидва повідомили про загрозу для Apple. У квітні 2017 року Lookout і Google оприлюднили деталі версії Pegasus для Android.
У жовтні 2019 року WhatsApp звинуватив NSO Group у використанні вразливості у своїй функції відеодзвінків. Користувач отримував те, що здавалося відеодзвінком, але це не був звичайний дзвінок. Після того, як телефон задзвонив, зловмисник таємно передав шкідливий код, намагаючись заразити телефон жертви шпигунським програмним забезпеченням. Людині навіть не довелося відповідати на дзвінок, сказав керівник WhatsApp Вілл Кеткарт.
У грудні 2020 року у звіті Citizen Lab було зазначено, як урядові оперативники використовували Pegasus, щоб зламати 37 телефонів журналістів, продюсерів, ведучих і керівників Al Jazeera та лондонського Al Araby TV протягом липня-серпня 2020 року, використовуючи нульовий день ( вразливість, невідома розробникам) принаймні до iOS 13.5.1, яка могла зламати останній на той час Apple iPhone 11. Хоча атака не спрацювала проти iOS 14 і вище, у звіті сказано, що виявлені зараження, ймовірно, становили незначну частку від загальної кількості. атаки, враховуючи глобальне поширення клієнтської бази NSO Group та очевидну вразливість майже всіх пристроїв iPhone до оновлення iOS 14.
Чи завжди шпигунське програмне забезпечення потрапляє на будь-який пристрій, на який воно спрямоване?
Зазвичай зловмиснику потрібно ввести в систему Pegasus лише цільовий номер телефону для введення в мережу. Решта виконується автоматично системою, йдеться в брошурі Pegasus, і шпигунське програмне забезпечення в більшості випадків встановлюється.
Однак у деяких випадках мережеві ін’єкції можуть не працювати. Наприклад, віддалена інсталяція не вдається, якщо цільовий пристрій не підтримується системою NSO або його операційну систему оновлено за допомогою нових засобів захисту.
Очевидно, один із способів ухилитися від Pegasus — змінити браузер телефону за замовчуванням. Згідно з брошурою Pegasus, установка з браузерів, відмінних від стандартного пристрою (а також Chrome для пристроїв на базі Android), не підтримується системою.
У всіх таких випадках інсталяцію буде скасовано, і браузер цільового пристрою відобразить заздалегідь визначену нешкідливу веб-сторінку, щоб цільова сторінка не мала припущення про невдалу спробу. Далі зловмисник, швидше за все, повернеться до приманок ESEM. В іншому випадку, як сказано в брошурі, Pegasus можна ввести вручну та встановити менш ніж за п’ять хвилин, якщо зловмисник отримає фізичний доступ до цільового пристрою.
|У 2019 році і зараз уряд кидає ключове питання: чи він купив Pegasus?Яка інформація може бути скомпрометована?
Після зараження телефон стає цифровим шпигуном під повним контролем зловмисника.
Після встановлення Pegasus зв’язується з серверами командування та керування (C&C) зловмисника, щоб отримати та виконати інструкції та надіслати назад приватні дані цілі, включаючи паролі, списки контактів, події календаря, текстові повідомлення та голосові дзвінки в реальному часі (навіть ті, що здійснюються через кінець до -кінцеві зашифровані програми обміну повідомленнями). Зловмисник може керувати камерою і мікрофоном телефону, а також використовувати функцію GPS для відстеження цілі.
Щоб уникнути великого споживання пропускної здатності, яке може попередити ціль, Pegasus надсилає лише заплановані оновлення на сервер C&C. Шпигунське програмне забезпечення призначене для ухилення від криміналістичного аналізу, уникнення виявлення антивірусним програмним забезпеченням і може бути деактивовано та видалено зловмисником, коли та якщо це необхідно.
Які запобіжні заходи можна вжити?
Теоретично, розумна кібергігієна може захистити від приманок ESEM. Але коли Pegasus використовує вразливість в операційній системі свого телефону, ніхто не може зробити нічого, щоб зупинити мережеву ін’єкцію. Гірше того, людина навіть не здогадується про це, якщо пристрій не буде проскановано в лабораторії цифрової безпеки.
Перехід на архаїчну трубку, яка дозволяє лише базові дзвінки та повідомлення, безумовно, обмежить доступ до даних, але не може значно зменшити ризик зараження. Крім того, будь-які альтернативні пристрої, які використовуються для електронної пошти та додатків, залишаться вразливими, якщо ви повністю не відмовитеся від використання цих основних послуг.
Тому найкраще, що можна зробити, це залишатися в курсі кожного оновлення операційної системи та виправлення безпеки, випущених виробниками пристроїв, і сподіватися, що атаки нульового дня стануть рідшими. І якщо у вас є бюджет, періодична зміна трубок є, мабуть, найефективнішим, хоча й дорогим засобом.
Оскільки шпигунське програмне забезпечення знаходиться в апаратному забезпеченні, зловмиснику доведеться успішно заражати новий пристрій щоразу, коли його змінюють. Це може спричинити як логістичні (вартість), так і технічні (покращення системи безпеки) проблеми. Хіба що хтось протистоїть необмеженим ресурсам, зазвичай пов’язаним з державною владою.
Поділіться Зі Своїми Друзями: