Обяснено: Как шпионски софтуер Pegasus заразява устройство; какви данни могат да бъдат компрометирани - Февруари 2023

Проект Пегас: Израелският шпионски софтуер, за който беше разкрито, че е бил използван за насочване към стотици телефони в Индия, стана по-малко зависим от кликвания. Pegasus може да зарази устройство без участието или знанието на целта.

Pegasus е водещият продукт на NSO Group (Експресна илюстрация)

През ноември 2019 г. технически репортер от Ню Йорк засне устройство за прихващане, показано на Milipol, търговско изложение за вътрешна сигурност в Париж. Изложителят, NSO Group, постави хардуера в задната част на микробуса, вероятно предполагайки удобство за преносимост, и каза, че няма да работи на телефонни номера в САЩ, вероятно поради самоналожено ограничение от фирмата.





Откакто израелският кибергигант беше основан през 2010 г., това вероятно беше първият път, когато произведена от NSO преносима базова приемо-предавателна станция (BTS) беше представена в медиен доклад.

BTS — или „разбойническа клетъчна кула“ или „IMSI Catcher“ или „stingray“ — се представя за легитимни клетъчни кули и принуждава мобилните телефони в радиус да се свържат с нея, така че прихванатият трафик може да бъде манипулиран от нападател. BTS, сниман през 2019 г., се състои от хоризонтално подредени карти, което вероятно ще позволи прихващане в множество честотни ленти.





Другият вариант е да се използва достъп до самия мобилен оператор на целта. В този сценарий нападателят няма да се нуждае от измамна клетъчна кула, а ще разчита на обикновената мрежова инфраструктура за манипулиране.

Така или иначе, способността за стартиране на атаки с „мрежово инжектиране“ – извършвани от разстояние без ангажирането на целта (следователно също наречено нулево щракване ) или знание — даде Пегас , водещият продукт на NSO Group, уникално предимство пред своите конкуренти на световния пазар на шпионски софтуер.



Pegasus сега е в центъра на глобален съвместен разследващ проект, който установи, че шпионски софтуер е бил използван за насочване, наред с други, стотици мобилни телефони в Индия .

Не пропускайте| Създаването на Pegasus, от стартиране до лидер в шпионски технологии

С какво Pegasus се различава от другия шпионски софтуер?

Pegasus, известен още като Q Suite, предлаган на пазара от NSO Group, известен още като Q Cyber ​​Technologies, като световно водещо решение за киберразузнаване, което позволява на правоприлагащите и разузнавателните агенции да извличат дистанционно и тайно данни от практически всякакви мобилни устройства, е разработен от ветерани на израелските разузнавателни агенции.



До началото на 2018 г. клиентите на NSO Group основно разчитаха на SMS и WhatsApp съобщения, за да подмамят целите да отворят злонамерена връзка, което би довело до заразяване на техните мобилни устройства. Брошура на Pegasus описва това като Послание за подобрено социално инженерство (ESEM). Когато се щракне върху злонамерена връзка, пакетирана като ESEM, телефонът се насочва към сървър, който проверява операционната система и доставя подходящия отдалечен експлойт.

В доклада си от октомври 2019 г. Amnesty International за първи път документира използването на „мрежови инжекции“, които позволяват на нападателите да инсталират шпионски софтуер, без да изискват никакво взаимодействие от страна на целта. Pegasus може да постигне такива инсталации с нулево щракване по различни начини. Една от опциите по ефир (OTA) е да изпратите скрито push съобщение, което кара целевото устройство да зареди шпионски софтуер, като целта не знае за инсталацията, върху която тя така или иначе няма контрол.



Това, похвали се брошура на Pegasus, е уникалността на NSO, която значително отличава решението Pegasus от всеки друг шпионски софтуер, наличен на пазара.

Прочетете също|Единадесет насочени телефона: На жена, която обвини бившия CJI в тормоз, роднина

Какви устройства са уязвими?

Всички устройства, практически. iPhones са широко насочени към Pegasus чрез приложението iMessage по подразбиране на Apple и протокола на услугата Push Notification Service (APN), на който се основава. Шпионският софтуер може да се представя за приложение, изтеглено на iPhone, и да се предава като push известия през сървърите на Apple.



През август 2016 г. Citizen Lab, интердисциплинарна лаборатория, базирана в Университета в Торонто, съобщи за съществуването на Pegasus на фирмата за киберсигурност Lookout и двамата отбелязаха заплахата за Apple. През април 2017 г. Lookout и Google публикуваха подробности за версията на Pegasus за Android.

През октомври 2019 г. WhatsApp обвини NSO Group, че е използвала уязвимост във функцията си за видеообаждания. Потребител ще получи нещо, което изглеждаше като видеообаждане, но това не беше нормално обаждане. След като телефонът звъни, нападателят тайно предава злонамерен код в опит да зарази телефона на жертвата със шпионски софтуер. Човекът дори не трябваше да отговаря на обаждането, каза шефът на WhatsApp Уил Каткарт.



През декември 2020 г. в доклад на Citizen Lab се отбелязва как правителствените служители са използвали Pegasus, за да хакнат 37 телефона, принадлежащи на журналисти, продуценти, водещи и ръководители на Al Jazeera и базираната в Лондон телевизия Al Araby през юли-август 2020 г., използвайки нулев ден ( уязвимост, неизвестна за разработчиците) срещу най-малко iOS 13.5.1, която може да хакне най-новия тогава iPhone 11 на Apple. Въпреки че атаката не работи срещу iOS 14 и по-нови, в доклада се казва, че наблюдаваните от него инфекции вероятно са малка част от общия брой атаки, като се има предвид глобалното разпространение на клиентската база на NSO Group и очевидната уязвимост на почти всички устройства iPhone преди актуализацията на iOS 14.

Винаги ли шпионският софтуер попада във всяко устройство, към което е насочено?

Обикновено нападателят трябва да подаде на системата Pegasus само целевия телефонен номер за мрежова инжекция. Останалото се извършва автоматично от системата, се казва в брошура на Pegasus, а шпионският софтуер се инсталира в повечето случаи.

В някои случаи обаче мрежовите инжекции може да не работят. Например, отдалечената инсталация е неуспешна, когато целевото устройство не се поддържа от NSO системата или операционната му система е надстроена с нови защити за сигурност.

Очевидно един от начините да избегнете Pegasus е да промените браузъра на телефона си по подразбиране. Според брошура на Pegasus, инсталацията от браузъри, различни от стандартните за устройството (а също и chrome за устройства, базирани на Android) не се поддържа от системата.

Във всички такива случаи инсталацията ще бъде прекратена и браузърът на целевото устройство ще покаже предварително определена безобидна уеб страница, така че целта да няма представа за неуспешния опит. След това е вероятно нападателят да се върне към примамките за кликване на ESEM. Ако всичко останало се провали, се казва в брошурата, Pegasus може да бъде ръчно инжектиран и инсталиран за по-малко от пет минути, ако нападателят получи физически достъп до целевото устройство.

Прочетете също|2019 и сега, Govt патици ключов въпрос: купи ли Pegasus?

Каква информация може да бъде компрометирана?

Веднъж заразен, телефонът става дигитален шпионин под пълния контрол на нападателя.

След инсталирането, Pegasus се свързва със сървърите за командване и контрол (C&C) на атакуващия, за да получи и изпълни инструкции и да изпрати обратно личните данни на целта, включително пароли, списъци с контакти, събития в календара, текстови съобщения и гласови повиквания на живо (дори тези чрез крайни -приложения за шифроване на крайни съобщения). Нападателят може да контролира камерата и микрофона на телефона и да използва GPS функцията за проследяване на цел.

За да се избегне голямото потребление на честотна лента, което може да предупреди целта, Pegasus изпраща само планирани актуализации до C&C сървър. Шпионският софтуер е проектиран да избягва криминалистичния анализ, да избягва откриване от антивирусен софтуер и може да бъде деактивиран и премахнат от нападателя, когато и ако е необходимо.

Какви предпазни мерки може да вземе човек?

Теоретично, проницателната киберхигиена може да предпази от примамки ESEM. Но когато Pegasus използва уязвимост в операционната система на телефона си, не може да се направи нищо, за да спре мрежовата инжекция. По-лошото е, че човек дори няма да разбере за това, освен ако устройството не бъде сканирано в лаборатория за цифрова сигурност.

Преминаването към архаичен телефон, който позволява само основни обаждания и съобщения, със сигурност ще ограничи излагането на данни, но може да не намали значително риска от инфекция. Освен това всички алтернативни устройства, използвани за имейли и приложения, ще останат уязвими, освен ако човек не се откаже изцяло от използването на тези основни услуги.

Ето защо най-доброто, което можете да направите, е да бъдете в крак с всяка актуализация на операционната система и корекция за сигурност, пуснати от производителите на устройства, и да се надявате, че атаките с нулев ден стават по-редки. И ако човек разполага с бюджет, периодичната смяна на слушалките е може би най-ефективното, макар и скъпо средство за защита.

Тъй като шпионският софтуер се намира в хардуера, нападателят ще трябва успешно да заразява новото устройство при всяка промяна. Това може да създаде както логистични (разходи), така и технически (надграждане на сигурността) предизвикателства. Освен ако човек не се изправи срещу неограничени ресурси, обикновено свързани с държавната власт.

Споделете С Приятелите Си: