1152 подписчика

Программа для удаленного мониторинга смартфонов Pegasus

19 сентября 202019 сен 2020

367

13 мин

Оглавление

🎠Для чего именно нужен "крылатый конь"?
🎠 Методы удаленного управления телефонами

Читая такие заголовки, владельцы дорогостоящих айфонов удовлетворенно посматривают на свой телефон, и с торжествующей усмешкой пролистывают подобные статьи, отмахиваясь от неприятных эмоций. Но есть на свете компании, которые, как в свое время Кольт, уравняли шансы владельцев банальных андроидов и элитных айфонов. И это NSO Group Technologies - израильская компания по обеспечению ИТ-безопасности, основанная в 2010 году Нивом Карми, Омри Лави и Шалевым Хулио. Пока люди считают, что их iPhone безопасны, Apple направляет нешуточные усилия на исправление уязвимостей, подвергших пользователей гаджета информационному риску. Израильские умельцы выпустили шпионское ПО, основанное на трех ранее неизвестных, или «нулевых», уязвимостях в мобильной операционной системе от Apple iOS. #вмиреит

Благодаря серьезным недостаткам в системе безопасности, программа Pegasus позволяет удаленно атаковать практически любой #iPhone. Она может управлять телефоном с помощью простых SMS. В августе канадская исследовательская лаборатория Citizen Lab и компания Lookout, занимающаяся #кибербезопасностью, обнаружили Pegasus, шпионское ПО, предназначенное не для массового наблюдения, а для атаки локализованных целей. Такое открытие достаточно уникально: понятно, что сложно или невозможно изучать инструменты наблюдения, которые по определению должны оставаться незамеченными. Наряду с этим, это важный этап, свидетельствующий о новом витке развития шпионского ПО, разрабатываемого частными компаниями.

«По своим масштабам это наиболее продвинутое вредоносное ПО, нацеленное на смартфоны», - сказал Майк Мюррей, специалист по кибербезопасности компании Lookout.

🎠Для чего именно нужен "крылатый конь"?

Pegasus - это программа мониторинга, которая позволяет удаленно управлять телефоном и использовать данные множества приложений, а также микрофона и камеры устройства. Когда устройство заражено Pegasus, владелец этого программного обеспечения получает полный контроль над гаджетом.

Эта программа была создана NSO Group, частной израильской компанией, которая разрабатывает и продает инструменты наблюдения правительствам и спецслужбам.

Pegasus - это программное обеспечение, предназначенное для использования правоохранительными органами: согласно документации, полученной от компании специалистам по кибербезопасности канадской лаборатории Citizen Lab, программное обеспечение позволяет с помощью одного щелчка мыши увидеть, где находится зараженное устройство, или включить его микрофон.

Скриншот документации программного обеспечения Pegasus, обнаруженного в ходе взлома компанией Hacking Team (конкурента NSO Group) в 2015 году.

🎠 Методы удаленного управления телефонами

Они достаточно просты: «целевой абонент» получает ссылку на веб-адрес по SMS, электронной почте или любым другим способом. Если он щелкнет по нему и откроет его в браузере Safari iPhone, программное обеспечение нейтрализует защиту телефона, используя три «программных уязвимости», которые в компании Lookout назвали «Трезубец». Оттуда "Пегас" буквально "садится на телефон" и берет его под свой контроль совершенно незаметно для владельца устройства.

Таких крупных уязвимостей в безопасности #смартфонов специалисты компании Lookout не выявляли более пяти лет. Сегодня на рынке информационных продуктов появились компании, которые предлагают большие деньги исследователям или хакерам за обнаруженные уязвимости в безопасности (эксплойты) различных продуктов. Эти компании покупают данные подобных исследований для использования при разработке шпионских программ, либо для перепродажи спецслужбам.

Компания NSO Group была основана в 2009 году в Герцлии, северном пригороде Тель-Авива тремя предпринимателями Нивом Карми, Шалевом Хулио и Омри Лави (их инициалы и стали названием фирмы).

Последние двое - бывшие сотрудники подразделения 8200, израильской службы компьютерной разведки, считающейся одной из самых технологически продвинутых в мире. Благодаря этому опыту компания, первоначально финансируемая израильским пенсионным фондом, предложила в 2011 году первую версию своего шпионского ПО Pegasus. Различные продукты, предлагаемые NSO Group, предназначены только для государственных спецслужб и направлены на борьбу с «организованной преступностью, терроризмом, сетями педофилов». С момента создания вирус использовался для наблюдения и поимки наркобарона Эль Чапо.

В августе 2016 года шейх Ахмед Мансур, правозащитник из Объединенных Арабских Эмиратов, получив подозрительное СМС с гиперссылкой, обратился в канадскую исследовательскую лабораторию Citizen Lab, специализирующуюся в области кибербезопасности и прав человека. Канадские исследователи подключили с решению проблемы американскую компанию по кибербезопасности LookOut.

Исследователи с удивлением обнаружили очень изощренное шпионское ПО. Вирус мог извлекать данные электронной почты, записывать звонки, контакты, анализировать календарь или настройки телефона (WIFI, различные пароли). Данные приложений социальных сетей для смартфонов (Facebook, VK) и шифрованный обмен сообщениями (Telegram, Viber, WhatsApp, iMessage, Facetime, WeChat) также были добычей программы через копирования данных с экрана, до того, как приложение зашифрует их для отправки. NSO удалось взломать ОС Android от Google, а также BlackBerry.

В дополнение к предоставляемому владельцу приложения полному доступу к чужим смартфонам, Pegasus может превратить телефон в настоящего шпиона, активировав камеру, микрофон и датчик GPS-слежения, при этом пользователь не сможет ничего заподозрить благодаря шифрованию, которое позволяет обмануть антивирусные программы. Программа также содержит механизм самоуничтожения, который полностью удаляет ее из телефона жертвы, если ПО подвергается угрозе обнаружения.

«Благодаря своей модульности, числу пользовательских и коммуникационных данных, которые ПО отслеживает, а также адаптивным методам извлечения данных в соответствии с приложениями, Pegasus на сегодняшний день является самым сложным вирусом (…), который может наблюдать за телефонами ". Цитата из краткого обзора технического анализа ПО Pegasus компании Look Out

Сегодня настоящая проблема - это взлом смартфонов марки Apple, благодаря которому хакеры получают расширенный доступ к системе (с правами «суперпользователя») и могут выполнять операции, которые обычно невозможны. Снятие этой защиты ведет разблокировке телефона, к полному доступу к функциям терминала, которые обычно ограничены, а также к таким возможностям, доступ к которым даже не предусмотрен производителем. Это, например, функции, которых обычно нет в телефоне, например журналирование истории навигации с использованием данных датчика GPS. Исследование Citizen Lab показало, что инструменты шпионажа NSO Group нельзя отследить. Исследователи смогли отследить сеть сайтов, на которых размещено вредоносное ПО, некоторые из которых использовали веб-адреса, предназначенные для того, чтобы заставить пользователей думать, что они являются законными сайтами.

Чтобы ограничить root-доступ для хакеров, разработчики стремятся закрыть все лазейки в своем программном обеспечении, которые позволили бы сделать это вирусу. В дополнение к рекомендациям специалистов по компьютерной безопасности производители, в том числе Apple, организуют соревнования на «призы за выявленные ошибки», чтобы мобилизовать возможности сообщества разработчиков. После каждого выпуска новых версий программного обеспечения для iPhone и Mac Apple предлагают любому человеку в мире, кто укажет на уязвимость, позволяющую получить root-доступ хакеру, вознаграждение в размере до одного миллиона долларов.

Если же производитель не предлагает достаточно большую сумму исследователю, выявленные уязвимости можно монетизировать в порядке аукциона в даркнете.

В сентябре 2020 New York Times озвучила стоимость, которую NSO Group запросила у правительства США за свою программу. Стартовая цена составила 500 000 долларов за установку вируса на телефон, к которой необходимо было добавлять стоимость каждого контролируемого посредством телефона с установленным Pegasus терминала. Для 10 телефонов Android или iPhone сумма составила бы 650 000 долларов. Производители предлагали скидку на определенное количество целей. В дополнение к этому NSO Group запрашивал 17% от общей суммы на эксплуатационные расходы. За эту сумму компания обещала предоставить полный и необнаруживаемый доступ к данным гаджетов жертвы.

Карта 45 стран, в которых выявлено присутствие Pegasus, созданная Citizen Lab. Источник: https://www.oeil-maisondesjournalistes.fr/

Значительные экономические затраты, связанные с разработкой пиратского программного обеспечения такого масштаба, требуют значительных финансовых ресурсов. Несколько международных инвестиционных фондов поддержали деятельность израильской фирмы NSO Group. Первый, американская частная инвестиционная компания Francisco Partners Management LLC, в марте 2014 года выделила более 120 миллионов долларов на приобретение NSO Group. В феврале 2019 года Novalpina Capital, лондонский фонд, созданный двумя годами ранее, купил акции Francisco Partners Management LLC за 1 миллиард долларов, что более чем в восемь раз превышает первоначальные инвестиции в компанию. NSO поддерживает тесные партнерские отношения с рядом других израильских фирм, занимающихся слежкой. К ним относится Ability Inc, поставщик технологии под названием Unlimited Interception System (ULIN).

Брошюра NSO Group от начала 2010-х описывает фирму как лидера в кибервойне. Источник: https://goo-gl.ru/6AHX

Инвесторы руководствовались утверждениями NSO Group, о том, что внутренняя политика компании основана на руководящих принципах ООН, касающихся бизнеса и прав человека.

В 2019 году, вскоре после поглощения британским инвестиционным фондом Novalpina Capital, NSO Group объявила о создании «Комитета по корпоративному управлению, управлению рисками и соблюдению требований». Израильская фирма утверждает, что может расторгнуть договор, связывающий ее с правительством, если обнаружит «неправомерное использование» своего программного обеспечения.

Представитель NSO Group Замир Дахбаш заявил, что программное обеспечение для взлома мобильных устройств реализуется только на уровне правительств. «Соглашения, подписанные с клиентами компании, требуют, чтобы продукты компании использовались только законным образом. В частности, продукты могут использоваться только для предотвращения и расследования преступлений», - говорится в заявлении представителя компании. При этом в одном из своих рекламных буклетов NSO Group рекламирует ПО, получившее название Pegasus, как инструмент, позволяющий «осуществлять удаленный и скрытый мониторинг и полное извлечение данных с удаленных устройств с помощью неотслеживаемых команд».

Несмотря на множество инцидентов с продуктами компании NSO Group, на сегодняшний день против израильской фирмы предъявлены иски только по двум делам. Первое связано с зараженным Pegasus телефоном саудовского диссидента Омара Абдулазиза, проживающего в Канаде, и убийством саудовского журналиста Джамаля Хашогги на территории консульства Саудовской Аравии в Стамбуле. В связи с этим делом NSO Group объявила о замораживании своих контрактов с Эр-Риядом.

Второе дело рассматривается в суде США. В октябре 2019 года компания WhatsApp подала в суд на NSO Group. В жалобе NSO Group обвиняется в нарушении условий использования приложения, которые требуют: "...не модифицировать, не екомпилировать .... Сервисы, не создавать на их основе производные или извлекать из них код; ... не отправлять, не хранить и не передавать вирусы или другой вредоносный компьютерный код через наши Сервисы". Уязвимость, использованная Pegasus, позволила хакеру заразить телефон простым голосовым вызовом в WhatsApp, при этом пользователь даже не взял трубку. В отличие от предыдущих уязвимостей, использованных Pegasus, уязвимость в WhatsApp требовала, чтобы приложение не было активно.

Уилл Кэткарт, руководитель WhatsApp, заявил, что внутреннее расследование компании выявило 1400 устройств, зараженных таким образом в разных странах, включая Королевство Бахрейн, Объединенные Арабские Эмираты и Мексику.

В декабре 2019 анализ смартфона Омара Ради, марокканского журналиста, проведенный экспертами Amnesty International, показал, что в период с января 2019 года по январь 2020 года его смартфон подвергся нескольким атакам с использованием сетевых инъекций. Этот тип атаки, заключается в перенаправлении интернет-браузера смартфона на вредоносный сайт, который позволяет установить шпионское ПО Pegasus на целевой телефон. Для успешной операции этого типа требуется, чтобы злоумышленник контролировал мобильную сеть, к которой подключается цель. Это можно сделать через оператора, расположенного рядом с целевым телефоном, оснащенным устройством, которое обманет телефон, притворившись ретранслятором мобильной сети. Омар Ради подтверждает, что заметил подозрительное поведение на своем телефоне: «я хочу войти на сайт, а затем вижу в полосе URL-адресов, что многие URL-адреса меняются. Итак, меня перенаправляют на другие серверы. Это инъекция через URL. Amnesty объяснила мне, что так мой телефон заразился". В отчете Amnesty International отмечается, что первое нападение на мобильный телефон Омара Ради произошло через три дня после того, как NSO объявило о создании внутри компании «Комитета по корпоративному управлению, управлению рисками и соблюдению требований».

Омри Лави, соучредитель NSO Group. Источник: https://goo-gl.ru/6AHU

При этом привлечение к ответственности NSO Group затруднено тем, что компания подчиняется основным законам Израиля (конституционным законам), но, несмотря на многочисленные скандалы, фактически пользуется определенной снисходительностью со стороны государства.

13 июля 2020, когда были раскрыты новые вмешательства в гаджеты на территории Испании и Каталонии, окружной суд Тель-Авива отклонил просьбу Amnesty International отменить экспорт Pegasus за рубеж. Президент Каталонии, Роджер Торрент, обвинил испанское правительство в шпионаже за ним с помощью Pegasus. Судья посчитал, что Amnisty International «не представила никаких доказательств того, что была попытка слежки за телефоном правозащитников [с использованием Pegasus]».

Вернемся к уязвимостям смартфонов Apple, c которых начался рассказ о программе, чьим названием стала эта античная живая эмблема вдохновения поэтов. Apple выпустила заявление, в котором посоветовала клиентам всегда загружать последнюю версию iOS, чтобы защитить себя от потенциальных угроз безопасности; сама уязвимость была исправлена еще в обновлении версии iOS 9.3.5.

По мнению исследователей Citizen Lab Билла Марчака и Джона Скотта-Рейлтона, Apple остается лидером в области безопасных потребительских продуктов, поскольку компания жестко контролирует платформу iPhone.

Считается, что для Android производители и телекоммуникационные компании не присылают обновления безопасности так часто, как должны. Поэтому на некоторых телефонах могут сработать достаточно старые уязвимости, даже если Google и выпускал обновления.

Вот такая зарисовка из повседневных будней кибервойны, которая идет на различных уровнях: между правительствами, корпорациями, социальными институтами и прочими элементами общественного устройства. И, конечно, и простых граждан и не очень простых не минует, поскольку общество не настолько атомизировано, как это принято считать. Мораль сей басни такова: пользователь - обновляй свои гаджеты и их ПО своевременно, но помни - телефон всегда рядом, даже если он и не твой🕶 .