Пегасус программа шпион как работает
Алматы. 21 июля. КазТАГ — Сколько стоит шпионское ПО Pegasus и как от него защититься, рассказал специализированный интернет-портал Gadgets Now.
«Шпионское ПО Pegasus создано израильской компанией NSO Group, занимающейся технологиями видеонаблюдения, также известной как Q Cyber Technologies. Pegasus — это не обычный вирус, который можно подхватить в интернете. Компания NSO Group была основана в 2009 году как производитель специализированных решений для систем видеонаблюдения в Израиле. Pegasus — его хорошо известный шпионский продукт. Но Pegasus — не единственный продукт, который он продает», — говорится в статье.
При этом отмечается, что NSO Group предлагает и другие программные продукты.
NSO Group утверждает, что работает только с уполномоченными государственными органами. Общеизвестно, что Pegasus используется правительствами Мексики и Панамы. У NSO 60 клиентов в 40 странах. Компания заявила, что 51% ее пользователей – это спецслужбы, 38% — правоохранительные органы и 11% — военные.
Как заявляет NSO Group, Pegasus не является технологией, предназначенной для массовой слежки.
«Она собирает данные только с мобильных устройств конкретных лиц, подозреваемых в причастности к серьезным преступлениям и терроризму», — говорится в отчете компании о прозрачности и ответственности.
По информации издания, на использование шпионского ПО Pegasus компания продает лицензии, цена зависит от количества абонентов, за которыми ведется наблюдение.
«Стоимость одной лицензии может достигать $93 835,77. С помощью одной лицензии можно отслеживать несколько смартфонов. По последним оценкам 2016 года, на всего 10 клиентах, использующих Pegasus, NSO Group заработала как минимум $1 206 313,20. Согласно прайс-листу на 2016 год, NSO Group взимала со своих клиентов по $650 000 за взлом 10 устройств и оплату за установку ПО в размере $500 000», — сообщает Gadgets Now.
«Согласно описанию продукта NSO Group, Pegasus может отслеживать мессенджеры WhatsApp, Viber, Skype и BlackBerry. Pegasus может скрытно делать фото, записывать звонки, записывать окружающие звуки и даже делать скриншоты без ведома пользователя. Как только шпионская миссия закончится, оператор Pegasus может удаленно нажать кнопку «Удалить», чтобы самостоятельно удалить Pegasus с телефона жертвы.
Шпионское ПО Pegasus работает на устройствах Android, iOS, Windows Phone, BlackBerry, Symbian и даже Tizen», — говорится в статье.
Как пишет издание, сложность для тех, кто использует инструмент Pegasus для слежки за жертвой, состоит в том, чтобы удаленно и тайно установить программное обеспечение на ее телефон.
Как сообщается, для работы Pegasus необходимы мощные IT-сервера.
«Сотрудники NSO Group выезжают к своим клиентам, чтобы установить необходимое оборудование. Для полной установки требуются веб-серверы, модуль связи, модуль сотовой связи, модуль доступа, хранилище данных, система безопасности серверов, системное оборудование, консоли оператора и, наконец, сама программа Pegasus. Настоятельно рекомендуется не использовать телефонный аппарат, если на нем уже обнаружено шпионское ПО, подобное Pegasus», — поясняется в статье.
При этом отмечается, что такие способы как антивирусные программы, сброс до заводских настроек, замена сим-карты, смена паролей учетной записи iCloud или Google и прочее не помогут избавиться от внедренного Pegasus.
«Антивирусные приложения очень эффективны для защиты устройства от рекламного ПО, вредоносных программ и т.д., но когда дело доходит до шпионских программ, подобных Pegasus, использование антивируса на уже зараженном смартфоне мало помогает, потому что большинство антивирусных программ, доступных для обычных пользователей, не могут идентифицировать Pegasus. Производить сброс до заводских настроек тоже будет бесполезно. В отчетах подчеркивается, что Pegasus обладает способностью проводить атаки на уровне чипов, что позволяет ему оставаться в телефоне даже после сброса настроек. Пока устройство заражено Pegasus, использование новой SIM-карты на том же устройстве не поможет, так как шпионское ПО также начнет извлекать данные с него», — поясняется в статье.
Как сообщается, собирать данные программа может даже при выключенном телефоне.
«Pegasus имеет возможность записывать аудио и использовать камеру даже при выключенном устройстве, если оно продолжает получать питание от аккумулятора. Однако программа не сможет передать данные своим операторам, если устройство выключено. Таким образом, выключение телефона не сильно поможет, так как в тот момент, когда он будет снова включен, шпионское ПО отправит записанные данные своим обработчикам», — говорится в статье.
VPN также не может защитить телефон от атаки Pegasus.
«Это связано с тем, что существует несколько режимов внедрения шпионского ПО в телефон, и аппарат может быть заражен через Bluetooth просто если он находится в непосредственной близости от вредоносного источника», — отмечается в публикации.
Отключение мобильного интернета и WiFi, смена пин-кода телефона, шифрование также бесполезны.
«Единственный способ избавиться от Pegasus с вашего телефона-это полностью уничтожить телефон, карту памяти и SIM-карту. Приобретите новый телефон и новую SIM — карту с другим номером телефона и измените пароли своих учетных записей», — заключают эксперты.
Напомним, президент Казахстана Касым-Жомарт Токаев, премьер-министр Аскар Мамин и аким Алматы Бахытжан Сагинтаев названы в числе объектов слежкиизраильского шпионского программного обеспечения (ПО) Pegasus.
Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства.
Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.
Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.
На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.
Pegasus: начало, или Лошадь в яблоках
О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.
Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.
Исследователи сходятся в том, что Pegasus создан NSO Group — израильской компанией, которая зарабатывает на хлеб разработкой шпионского ПО. Это значит, что зловреда делали на продажу и любой желающий может его приобрести. Шпион эксплуатирует три уязвимости нулевого дня в iOS, которые позволяют по-тихому провести джейлбрейк устройства и установить шпионское ПО. Другая компания из мира кибербезопасности, Zerodium, в свое время предлагала $1 млн за уязвимость нулевого дня в iOS. Можете представить, во сколько обошлась разработка Pegasus, — их там аж три.
Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.
Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android
Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).
«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.
Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.
Скорее всего, вы вне опасности, но…
Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.
Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.
Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:
Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.
Читайте «Хайтек» в
Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android.
Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности.
Разработчик также утверждает, что внимательно относится к правам человека.
Возможности ПО Pegasus
Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона.
Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.
Скандал с массовой слежкой ПО Pegasus
В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.
Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:
- Азербайджан,
- Бахрейн,
- Венгрия,
- Индия,
- Казахстан,
- Марокко,
- Мексика,
- Объединенные Арабские Эмираты,
- Руанда,
- Саудовская Аравия.
В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.
По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:
- президент Ирака Бархам Салех,
- президент ЮАР Сирил Рамафоса,
- премьер-министры Пакистана,
- Египта,
- Марокко.
По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.
NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.
В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.
Как действует ПО Pegasus
Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.
Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.
- Gmail,
- Facebook,
- WhatsApp,
- Facetime,
- Viber,
- WeChat,
- Telegram,
- встроенные мессенджеры и почту Apple.
- Сетевые инъекции
Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.
При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.
Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.
Как понять заражено ли устройство
Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.
Как защитить ваш iPhone или смартфон Android от шпионской программы Pegasus и других подобных APT-атак.
Одна из самых громких историй 2021 года — опубликованное в июле журналистское расследование, согласно которому более 30 000 правозащитников, журналистов и юристов по всему миру подвергались слежке с помощью программы Pegasus. Это так называемое «легальное ПО для наблюдения», разработанное израильской компанией NSO. Авторы расследования «Проект Pegasus» утверждают, что шпионскую программу распространяли с использованием различных эксплойтов, включая эксплойты «нулевого дня» (на основе неизвестных ранее уязвимостей) и «нулевого клика» (не требуют взаимодействия с пользователем) для iOS.
На основе экспертизы множества зараженных мобильных устройств Лаборатория безопасности организации Amnesty International установила, что программа Pegasus регулярно применялась для неправомерной слежки. В списке лиц, оказавшихся под наблюдением, — 14 мировых лидеров и множество активистов, правозащитников, диссидентов и оппозиционеров.
Позже в июле представители израильского правительства посетили офисы NSO, чтобы проверить выдвинутые обвинения. А в октябре Верховный суд Индии поручил специальной технической комиссии расследовать использование Pegasus для слежки за индийскими гражданами. В ноябре компания Apple объявила, что подает иск против NSO Group за разработку вредоносного и шпионского программного обеспечения, которое атакует пользователей компании. Наконец, в декабре агентство Reuters сообщило, что телефоны Государственного департамента США были взломаны с помощью программы Pegasus, о чем и предупреждала компания Apple.
За последние месяцы я получил от обеспокоенных пользователей разных стран множество вопросов о том, как защитить мобильные устройства от Pegasus и других подобных программ. В этой статье мы постарались ответить на такие вопросы — хотя надо признать, что любой перечень способов защиты будет неполным. Кроме того, злоумышленники постоянно меняют свои методы, а значит, и способы защиты должны совершенствоваться.
Как защититься от Pegasus и подобных ему шпионских программ
Прежде всего нужно понимать, что Pegasus — довольно дорогой инструмент, предназначенный для продажи государственным спецслужбам. Стоимость полного развертывания может исчисляться миллионами долларов. При помощи эксплойтов «нулевого дня» и «нулевого клика» могут распространяться и другие APT-зловреды для мобильных устройств. И они тоже будут дорогими — например, компания-брокер эксплойтов Zerodium платит до 2,5 миллиона долларов за цепочку эксплойтов для персистентного заражения Android-устройств без взаимодействия с пользователем:
В прайс-листе Zerodium за уязвимости для APT-атак предлагается до 2,5 миллионов долларов
Важный вывод: кибершпионаж за счет государства является делом чрезвычайно затратным. Когда злоумышленник может позволить себе тратить на атаки миллионы, десятки или даже сотни миллионов долларов, шансы на то, что жертва сумеет избежать заражения, крайне малы. Говоря проще, если вас решила атаковать такая сила, то вопрос не в том, можно ли вас заразить, а лишь в том, сколько на это потребуется времени и денег.
Но есть и хорошая новость. Применение эксплойтов для сложных кибератак — скорее искусство, чем точная наука. Эксплойты должны быть «заточены» под конкретные версии ОС и оборудования. Такой эксплойт вполне может потерять работоспособность при обновлении ОС, при внедрении новой техники защиты и даже в результате какого-нибудь случайного события.
Таким образом, пусть мы не всегда в состоянии предотвратить эксплуатацию уязвимости и заражение мобильного устройства, мы можем сильно усложнить процесс достижения целей для атакующего.
Как это сделать? Вот простой список действий.
Защита от продвинутого шпионского ПО для устройств iOS
Перезагружайтесь каждый день. Согласно исследованию Amnesty International и лаборатории Citizen Lab, в цепочках заражения Pegasus часто используются эксплойты «нулевого дня» и «нулевого клика», которые не способны закрепляться в системе. Регулярная перезагрузка очищает устройство, и злоумышленникам придется каждый раз заражать его заново. Со временем это повышает вероятность обнаружения: может произойти сбой или возникнут артефакты, свидетельствующие о заражении. Это не просто теория, а практический опыт. Мы однажды расследовали случай заражения мобильного устройства эксплойтом «нулевого клика» (вероятно, это был FORCEDENTRY). Владелец устройства регулярно перезагружал его, и сделал то же самое вскоре после атаки. Злоумышленники пытались атаковать его еще несколько раз, но в итоге сдались, поскольку им мешали регулярные перезагрузки.
Отключите iMessage. Приложение iMessage встроено в iOS и активно по умолчанию — поэтому оно стало наиболее частым механизмом доставки в цепочках «нулевого клика». Уже много лет эксплойты для iMessage были весьма востребованы и высоко оплачивались брокерами эксплойтов. «За последние несколько месяцев выросло число эксплойтов для iOS, в основном с цепочками на основе Safari и iMessage. Их разрабатывают и продают исследователи со всего мира. Рынок угроз нулевого дня так перенасыщен эксплойтами для iOS, что в последнее время мы даже иногда отказываемся их брать«, — рассказал основатель компании Zerodium Чауки Бекрар журналу WIRED еще в 2019 году. Мы понимаем, что некоторым пользователям будет трудно отказаться от iMessage (ниже еще вернемся к этой теме). Но если Pegasus и другие продвинутые шпионские программы для мобильных устройств входят в вашу модель угроз, стоит использовать этот совет.
Отключите Facetime. Аналогично предыдущей рекомендации.
Вовремя обновляйтесь, устанавливайте свежие патчи iOS, как только они выходят. Не каждый злоумышленник может себе позволить покупку эксплойтов «нулевого дня». Изученные нами вредоносные программы для iOS часто эксплуатируют уязвимости, для которых уже выпущены патчи. Однако многие люди используют старые модели смартфонов и откладывают установку обновлений по тем или иным причинам. Если вы хотите опережать хакеров из госслужб (хотя бы некоторых), устанавливайте обновления как можно раньше и приучитесь делать это, даже если в очередном обновлении нет ни одного свежего эмодзи.
SMS с вредоносной ссылкой, использованное для атаки на устройство политического активиста] Источник: Citizen Lab
Для просмотра сайтов используйте альтернативный браузер, например Firefox Focus, вместо установленного по умолчанию Safari или Chrome. Несмотря на то что все браузеры для iOS используют одно и то же ядро Webkit, некоторые эксплойты не работают с альтернативными браузерами (см. случай APT-угрозы LightRighter/TwoSailJunk):
Эксплойт LightRiver проверяет, используется ли слово Safari в строке User-Agent
Вот как выглядят строки User-Agent iOS-версий браузеров Safari, Chrome и Firefox Focus:
- Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
- Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
- Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0
- Он должен быть платным: не используйте «бесплатные» VPN.
- Выбирайте сервисы, которые принимают оплату в криптовалюте.
- Выбирайте сервисы, которые не требуют предоставлять какие-либо данные для регистрации.
- Лучше не использовать VPN-приложения — вместо них выбирайте инструменты с открытым кодом, такие как OpenVPN и WireGuard, а также профили VPN.
- Избегайте новых VPN-сервисов, выбирайте такие, которые существуют уже давно и хорошо известны.
Установите защитное приложение, которое проверяет устройство на джейлбрейк. Если вы раз за разом удаляете файлы злоумышленников, в конце концов атакующие могут попытаться получить права суперпользователя, чтобы закрепиться в системе. Но джейлбрейк дает вам преимущество с точки зрения обнаружения: шанс выявить атаку возрастает на порядок.
Создавайте резервные копии в iTunes каждый месяц. Позже это позволит вам провести диагностику и обнаружить заражение с помощью великолепного набора инструментов MVT от Amnesty International (подробнее об этом ниже).
Регулярно запускайте диагностику системы и сохраняйте результаты на внешнем носителе. Эти артефакты помогут в обнаружении и расследовании атаки, если таковая случится. Способ запуска диагностики системы зависит от модели телефона. Например, на некоторых моделях iPhone для этого нужно одновременно нажать кнопки Увеличение громкости + Уменьшение громкости + Питание. Возможно, придется сделать это несколько раз, пока телефон не завибрирует. Файл системной диагностики появится в разделе аналитики:
Системная диагностика в разделе «Аналитика и улучшения» устройства iOS
Защита от продвинутого шпионского ПО для устройств Android
Аналогичный список для пользователей устройств под управлением Android (подробные обоснования смотрите в списке для iOS выше):
Более серьезная защита — как для iOS, так и для Android — должна включать анализ сетевого трафика с использованием свежих индикаторов компрометации. Например, можно установить постоянно активное VPN-подключение через Wireguard к контролируемому вами серверу с установленным на нем приложением pi-hole для фильтрации опасного содержимого и записи всего трафика для последующей проверки.
Как обходиться без iMessage
Мой друг Райан Нарейн недавно высказал такую мысль: iMessage и FaceTime — это именно то, из-за чего многие люди выбирают iPhone! И, конечно, он прав. Я сам пользуюсь iPhone с 2008 года и считаю, что iMessage и FaceTime — лучшие разработки в экосистеме Apple. Но когда я понял, что именно их чаще всего эксплуатируют правительства, чтобы шпионить за нами через телефон, я попытался сбежать из этой «золотой клетки». Что было труднее всего? Убедить близких тоже отключить сервис iMessage. Как ни странно, это оказалось одной из самых сложных вещей во всей нашей эпопее с безопасностью.
Жизнь без iMessage пресна и лишена эмодзи
Сначала я пытался перевести всех в Telegram. Без особого успеха. Тем временем не прекращал развиваться Signal: там появились видеозвонки и групповые вызовы. Постепенно туда переходило все больше моих друзей, а там и семья подоспела. Я не говорю, что это обязательно для всех. Возможно, у вас получится оставить iMessage включенным и спокойно жить без всякого вредоносного ПО — надо признать, что Apple значительно улучшила «песочницу» для iMessage с появлением BlastDoor в iOS 14. Тем не менее эксплойт FORCEDENTRY, использованный компанией NSO для доставки Pegasus, обошел BlastDoor. Да и вообще, ни одна функция безопасности не дает 100-процентной защиты от взлома.
«А нельзя ли убить сразу двух зайцев?» — спросите вы. У некоторых людей (и я один из них) по два телефона: на одном приложение iMessage отключено, а второй — это айфон-приманка с включенным iMessage. При этом оба они связаны с одной учетной записью Apple ID и с одним телефонным номером. Но если кто-нибудь решит атаковать меня, то, скорее всего, его вредоносное ПО окажется только на телефоне-приманке.
Как обнаружить заражение Pegasus и другими мобильными шпионами
Обнаружить следы заражения продвинутыми шпионскими программами типа Pegasus очень сложно. А функции безопасности современных операционных систем, таких как iOS и Android, делают эту задачу еще труднее. Кроме того, как мы заметили, если шпион не закрепляется в системе, это тоже играет на руку атакующим — ведь после перезагрузки почти не остается следов вторжения. И для криминалистического анализа, как правило, требуется получение доступа к файловой системе (джейлбрейк), что опять подразумевает перезагрузку, в ходе которой вредоносная программа удаляется из памяти.
На данный момент существует несколько методов, позволяющих обнаружить Pegasus и другие продвинутые шпионские программы на мобильных устройствах. Один из них — использование MVT (Mobile Verification Toolkit — набор средств для проверки мобильных устройств) от Amnesty International. Это бесплатное решение с открытым кодом, позволяющее аналитикам проверить мобильный телефон на признаки заражения. В дополнение к MVT используется список индикаторов компрометации, выявленных при анализе случаев заражения и опубликованных «Международной амнистией».
Что делать, если ваше устройство заражено Pegasus
Вы тщательно выполняли все рекомендации, но все равно заразились. К сожалению, такова наша реальность. Я очень сочувствую вам. Посмотрите на ситуацию с хорошей стороны: вы уже знаете, что ваше устройство заражено, потому что сумели установить это благодаря артефактам и накопленной информации. В этом случае подумайте вот о чем:
«Это один из самых технически сложных эксплойтов, которые мы когда-либо видели», заявили эксперты.
В июле 2021 года мировые СМИ сообщили о шпионском программном обеспечении Pegasus, которое следило за пользователями iOS и Android в течение нескольких лет. Целями вируса называются предприниматели, активисты, политики и журналисты, а разработчиком — израильская технологическая компания NSO Group.
Специалисты по кибербезопасности из команды Google Project Zero получили доступ к эксплойту под названием ForcedEntry («Принудительный вход»), проанализировали его и назвали одним из самых изощрённых в истории.
Метод не требует взаимодействия с пользователем и предназначен для взлома iPhone, хотя эксперты отмечают, что NSO Group продаёт аналогичные программы и для устройств на базе Android.
Для этого хакеры добавили в PDF картинки в формате JBIG2 — стандарта 90-х годов для принтеров, сканеров и копиров, который позволяет сжимать чёрно-белые изображения.
Кодировщик JBIG ищет похожие области пикселей (например, одни и те же буквы) и группирует их вместе, после чего алгоритм сжатия заменяет все такие области одной картинкой, экономя место.
Всё бы ничего, но в такой схеме обнаружилась существенная проблема: кодировщик мог перепутать похожие символы, в результате чего исходные данные искажались в процессе декомпрессии.
Чтобы это предотвратить, в формат добавили сжатие без потерь. JBIG2 стал хранить разницу между символами (как на картинке ниже), а для воссоздания первоначального изображения обращаться к использованию логических операторов, вроде AND, OR, XOR и XNOR.
Несмотря на то, что большая часть кода CoreGraphics написана программистами Apple, реализацию JBIG2 взяли из открытых источников. Декодер полагается на 19 типов сегментов, которые представляют собой прямоугольные массивы пикселей.
Путём тщательной обработки контекстно-зависимой части декомпрессора, злоумышленникам удалось переполнить часть сегментов, перезаписать указатели, получить доступ к логическим операциям и выйти за пределы буфера.
Эксплойт содержит более 70 тысяч сегментных команд — это напоминает виртуальный процессор с регистрами, сумматором и компаратором. Операции выполняются не так быстро, как в случае с JavaScript, но приводят к желаемому результату — полному контролю над системой.
Стоит отметить, что Apple исправила уязвимости парсера CoreGraphics в сентябрьском обновлении iOS 14.8 и убрала ссылки на IMTranscoderAgent в iOS 15 — теперь «гифки» действительно обрабатываются в изолированной среде.
В ноябре компания подала в суд на NSO Group, назвав причастных к вредоносному ПО «злоумышленниками, спонсируемыми государством» и проинформировала пользователей о возможной слежке.
Читайте также: