Объяснение: как шпионское ПО Pegasus заражает устройство; какие данные могут быть скомпрометированы
Project Pegasus: израильское шпионское ПО, которое, как выяснилось, использовалось для нацеливания на сотни телефонов в Индии, стало меньше зависеть от кликов. Пегас может заразить устройство без участия или ведома цели.
Pegasus - флагманский продукт NSO Group (Экспресс-иллюстрация) В ноябре 2019 года технический репортер из Нью-Йорка сфотографировал устройство перехвата, выставленное на выставке Milipol, посвященной национальной безопасности в Париже. Экспонент, NSO Group, разместил оборудование в задней части фургона, возможно, предполагая удобство переноски, и сказал, что оно не будет работать с телефонными номерами в США, возможно, из-за наложенного компанией ограничения.
С тех пор, как израильский кибер-гигант был основан в 2010 году, это, вероятно, был первый случай, когда портативная базовая приемопередающая станция (BTS), изготовленная NSO, была представлена в СМИ.
BTS - или «мошенническая вышка сотовой связи», «IMSI Catcher» или «stingray» - выдает себя за законные вышки сотовой связи и заставляет мобильные телефоны в определенном радиусе подключаться к ним, чтобы злоумышленник мог манипулировать перехваченным трафиком. BTS, сфотографированная в 2019 году, состояла из горизонтально уложенных карт, что, вероятно, позволяло осуществлять перехват в нескольких частотных диапазонах.
Другой вариант - использовать доступ к самому оператору мобильной связи цели. В этом сценарии злоумышленнику не понадобится какая-либо мошенническая вышка сотовой связи, но он будет полагаться на обычную сетевую инфраструктуру для манипуляций.
В любом случае, возможность запускать атаки 'сетевой инъекции', выполняемые удаленно, без участия цели (следовательно, также называется нулевым щелчком ) или знания - дал Пегас , Флагманский продукт NSO Group, уникальное преимущество перед конкурентами на мировом рынке шпионского ПО.
В настоящее время Pegasus находится в центре глобального совместного исследовательского проекта, в ходе которого выяснилось, что шпионское ПО использовалось, в частности, для нацеливания на следующие цели: сотни мобильных телефонов в Индии .
| Создание Пегаса: от стартапа до лидера в сфере шпионских технологийЧем Pegasus отличается от других шпионских программ?
Pegasus aka Q Suite, продаваемый NSO Group aka Q Cyber Technologies как ведущее в мире решение для киберразведки, которое позволяет правоохранительным органам и спецслужбам удаленно и тайно извлекать данные практически с любых мобильных устройств, был разработан ветеранами израильских спецслужб.
До начала 2018 года клиенты NSO Group в основном полагались на сообщения SMS и WhatsApp, чтобы обманом заставить цели открыть вредоносную ссылку, что могло бы привести к заражению их мобильных устройств. В брошюре Pegasus это описано как усовершенствованное сообщение социальной инженерии (ESEM). При нажатии на вредоносную ссылку, упакованную как ESEM, телефон направляется на сервер, который проверяет операционную систему и предоставляет подходящий удаленный эксплойт.
В своем отчете за октябрь 2019 года Amnesty International впервые задокументировала использование «сетевых инъекций», которые позволили злоумышленникам установить шпионское ПО, не требуя какого-либо взаимодействия со стороны цели. Pegasus может добиться такой установки без щелчка разными способами. Одним из вариантов беспроводной связи (OTA) является скрытая отправка push-сообщения, которое заставляет целевое устройство загружать шпионское ПО, при этом цель не знает об установке, которую она в любом случае не может контролировать.
Это, как хвастается брошюра Pegasus, является уникальностью NSO, которая значительно отличает решение Pegasus от любого другого шпионского ПО, доступного на рынке.
|Одиннадцать телефонов подверглись нападению: женщины, обвинившей бывшего сотрудника уголовного розыска в преследовании, родственникиКакие устройства уязвимы?
Практически все устройства. iPhones были широко нацелены на Pegasus через стандартное приложение Apple iMessage и протокол службы push-уведомлений (APNs), на котором оно основано. Шпионское ПО может имитировать приложение, загруженное на iPhone, и передавать себя в виде push-уведомлений через серверы Apple.
В августе 2016 года Citizen Lab, междисциплинарная лаборатория при Университете Торонто, сообщила о существовании Pegasus фирме по кибербезопасности Lookout, и они отметили угрозу для Apple. В апреле 2017 года Lookout и Google опубликовали подробную информацию об Android-версии Pegasus.
В октябре 2019 года WhatsApp обвинил NSO Group в использовании уязвимости в своей функции видеозвонков. Пользователь получал то, что выглядело как видеозвонок, но это был необычный звонок. После того, как зазвонил телефон, злоумышленник тайно передал вредоносный код, чтобы заразить телефон жертвы шпионским ПО. По словам главы WhatsApp Уилла Кэткарта, этому человеку даже не пришлось отвечать на звонок.
В декабре 2020 года в отчете Citizen Lab было отмечено, как правительственные агенты использовали Pegasus для взлома 37 телефонов, принадлежащих журналистам, продюсерам, ведущим и руководителям телекомпании Al Jazeera и лондонской Al Araby TV в июле-августе 2020 года, используя нулевой день ( уязвимость, неизвестная разработчикам), по крайней мере, против iOS 13.5.1, которая может взломать последний iPhone 11 от Apple. Хотя атака не сработала против iOS 14 и более поздних версий, в отчете говорится, что обнаруженные ею заражения, вероятно, составляли ничтожную долю от общего числа с учетом глобального распространения клиентской базы NSO Group и очевидной уязвимости почти всех устройств iPhone до обновления iOS 14.
Всегда ли шпионское ПО проникает в любое устройство, на которое оно нацелено?
Обычно злоумышленнику нужно передать системе Pegasus только целевой номер телефона для сетевой инъекции. Все остальное система делает автоматически, говорится в брошюре Pegasus, и в большинстве случаев шпионское ПО устанавливается.
Однако в некоторых случаях сетевые инъекции могут не работать. Например, удаленная установка не выполняется, когда целевое устройство не поддерживается системой NSO или его операционная система обновлена с новыми средствами защиты.
Судя по всему, один из способов увернуться от Пегаса - это изменить браузер телефона по умолчанию. Согласно брошюре Pegasus, установка из браузеров, отличных от используемых по умолчанию (а также Chrome для устройств на базе Android), системой не поддерживается.
Во всех таких случаях установка будет прервана, и браузер целевого устройства отобразит заранее определенную безобидную веб-страницу, чтобы цель не подозревала о неудачной попытке. Затем злоумышленник, скорее всего, обратится к клик-приманкам ESEM. В противном случае, говорится в брошюре, Pegasus можно ввести вручную и установить менее чем за пять минут, если злоумышленник получит физический доступ к целевому устройству.
|С 2019 года и сейчас правительство решает ответить на ключевой вопрос: купило ли оно Pegasus?Какая информация может быть скомпрометирована?
После заражения телефон становится цифровым шпионом под полным контролем злоумышленника.
После установки Pegasus связывается с серверами управления и контроля (C&C) злоумышленника, чтобы получить и выполнить инструкции и отправить обратно личные данные цели, включая пароли, списки контактов, события календаря, текстовые сообщения и голосовые вызовы в реальном времени (даже через сквозные соединения). -конечно зашифрованные приложения для обмена сообщениями). Злоумышленник может управлять камерой и микрофоном телефона и использовать функцию GPS для отслеживания цели.
Чтобы избежать чрезмерного потребления полосы пропускания, которое может предупредить цель, Pegasus отправляет только запланированные обновления на C&C сервер. Шпионское ПО предназначено для обхода криминалистического анализа, обнаружения антивирусным программным обеспечением и может быть деактивировано и удалено злоумышленником при необходимости.
Какие меры предосторожности можно предпринять?
Теоретически тщательная кибергигиена может защитить от приманок ESEM. Но когда Pegasus использует уязвимость в операционной системе вашего телефона, никто не может ничего сделать, чтобы остановить внедрение сети. Хуже того, никто даже не узнает об этом, если устройство не будет сканировано в лаборатории цифровой безопасности.
Переход на устаревший телефон, который позволяет выполнять только основные вызовы и сообщения, безусловно, ограничит доступ к данным, но не может значительно снизить риск заражения. Кроме того, любые альтернативные устройства, используемые для электронной почты и приложений, останутся уязвимыми, если только никто не откажется от использования этих основных служб в целом.
Поэтому лучшее, что можно сделать, - это быть в курсе всех обновлений операционной системы и исправлений безопасности, выпускаемых производителями устройств, и надеяться, что атаки нулевого дня станут реже. И если у кого-то есть бюджет, периодическая смена мобильных телефонов, пожалуй, самое эффективное, хотя и дорогое, средство.
Поскольку шпионское ПО находится в оборудовании, злоумышленнику придется успешно заражать новое устройство при каждом изменении. Это может вызвать как логистические (стоимость), так и технические (повышение безопасности) проблемы. Если только не противятся неограниченные ресурсы, обычно связанные с государственной властью.
ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ:
