Для любого шпиона публичность — это жестокий провал. Но только не для вируса Pegasus. Для него нечаянная слава "наемного убийцы iPhone", кажется, стала лучшей рекламой. Вирус-шпион успешно пробивает защиту даже самых современных моделей (да-да, iPhone15 и тебя, как мы поняли, тоже), а сама атака происходит "с нулевым кликом", то есть абсолютно без участия владельца смартфона — министра, депутата, журналиста или бизнесмена из списка Forbes.
Чем опасен Pegasus и почему так никто не изобрел против него "противоядия", рассказал ведущий специалист Лаборатории компьютерной криминалистики компании F.A.C.C.T. Игорь Михайлов.
Pegasus — одна из самых известных мобильных шпионских программ, разработанная израильской компаний NSO Group. Используется спецслужбами для слежки за политиками, правозащитниками, журналистами и особо опасными преступниками. Вирус способен атаковать пользователей устройств iOS и Android. Попадая на смартфон, программа-шпион пересылает оператору скриншоты экрана, переписку из защищенных мессенджеров и электронной почты, логины-пароли от сервисов и данные геолокации. На территории Евросоюза выявлены как минимум 14 стран и 22 ведомства, использующих Pegasus. Кроме того, вирус использовали власти Мексики, Азербайджана, Казахстана, ОАЭ, Марокко, Саудовской Аравии, Бахрейна, Венгрии, Индии. В Россию официально не поставляется.
Как происходит заражение?
Pegasus попадает на смартфон жертвы через уязвимость в приложении мобильного устройства — в программе обработки SMS, WhatsApp и iMessage (если этот смартфон - iPhone).
Выглядит это так. На смартфон поступает определенным образом сконфигурированный запрос, который заставляет устройство скачать и запустить шпионскую программу.
Внешне, эти действия остаются для пользователя незаметными. Определить факт наличия на смартфоне этой шпионской программы могут только специалисты.
Знают ли про эти "дырки" в Apple?
Конечно. Производители смартфонов (компания Apple, в частности), зная про известные уязвимости, эксплуатируемые этой шпионской программой, пытаются устранить их, выпуская соответствующие патчи безопасности и обновления операционных систем. Но не все пользователи своевременно устанавливают подобные обновления.
Вероятнее всего, корпорация узнает о новых версиях этой шпионской программы из отчетов исследователей и аналитиков, работающих в области информационной безопасности. Получив сведения о появлении новой версии шпионской программы, Apple изучает ее и устраняет уязвимости, использованные атакующими. Процесс устранения уязвимости не является мгновенным, так как требует отладки кода и проверки корректности работы на устройствах компании (смартфоны, планшеты и т.д.).
Разработчики шпионских программ тоже не сидят сложа руки. Вместо уязвимостей, которые устранили разработчики смартфонов, они находят и применяют в своих продуктах новые уязвимости. К сожалению, код мобильных операционных систем очень сложен и объемен. Предугадать и устранить все уязвимости заранее в процессе разработки не представляется возможным.
Компания Apple платит за информацию о новых выявленных уязвимостях большие премии (от 1 млн. долларов). Следовательно, независимому исследователю не выгодно продавать информацию об обнаруженной проблеме в операционной системе iOS куда-то на сторону за небольшие деньги. Лучше передать ее Apple и получить солидное вознаграждение.
Почему нельзя использовать против Pegasus антивирус?
Особенность работы приложений на iPhone заключается в том, что каждое из них запускается как бы на отдельном, виртуальном, компьютере. То есть, запущенному приложению не доступны для обработки файлы других приложений. Поэтому, проверить на безопасность оно может только само себя и поэтому нет программ-антивирусов для iPhone.
Pegasus же запускается от имени приложений, являющихся частью операционной системы (SMS, iMessage), поэтому имеет привилегированные права. Для большей безопасности, компания Apple внедрила особый режим, называемый "Lockdown Mode" (появился в iOS 16). Использование этого режима, повышает безопасность данных владельца устройства. Но не всем он подойдет в силу ряда вводимых им ограничений.
Знают ли разработчики Pegasus, за кем шпионят их клиенты?
По имеющейся информации, вся собранная Pegasus информация, первоначально передается на сервера разработчика, откуда, использую личный кабинет, ее забирает владелец лицензии. Поэтому, да, компания-разработчик знает, кто и где использует ее продукт. Благодаря этому (взаимодействию с управляющими серверами компании) разработчик может контролировать использование лицензий в том числе, отслеживать использование на определенных территориях (чтобы избежать использования программы третьими лицами, к которым она могла попасть в результате перепродажи).
Есть ли Pegasus в России?
Официально Pegasus не может быть поставлен в Россию. Разработчик его просто не продаст.
Чего стоит опасаться, кроме программ-шпионов?
Pegasus — это не единственная опасность, которая грозит политикам, активистам и журналистам. Существуют и другие программы-шпионы. Например, Triangulation. Информация о том, кто стоит за разработкой Triangulation или пока не известна или в силу каких-то причин не раскрывается.
Кроме использования программ-шпионов, есть и другие вектора атаки. Самым массовым являются: фишинг (когда у пользователя похищают данные для доступа к аккаунтам: социальным сетям, электронной почте, мессенджерам, банковским аккаунтам и т.д.) и использование фейковых приложений (пользователя тем или иным способом убеждают установить фейковое приложение, которые часто используют для шпионажа, кражи финансов и конфиденциальной информации).
Абсолютной защиты от шпиона нет. А что делать?
Узнать, заражено ли устройство Pegasus, как мы говорили, могут только технические специалисты с помощью специальной аппаратуры. Но несколько рекомендаций, как не стать жертвой мобильного шпиона, все-таки не помещает:
- Чтобы уменьшить риск заражения устройства шпионской программой, мы рекомендуем своевременно обновлять программное обеспечение смартфонов.
- Не стоит хранить в смартфоне ценную и конфиденциальную информацию: копии паспорта, пароли, приватные фото или видео, ключи от криптокошельков и тому подобное.
- Не надо переходить по подозрительным ссылкам, не стоит открывать сомнительные файлы, не устанавливать приложения из непроверенных источников.
- Не забудьте ограничить доступ приложений в т.ч. к камере, диктофону, геопозиции, спискам контактов и т. п.
Самым безопасным способом хранения чувствительной информации остается защищенный компьютер с включенным шифрованием носителя или зашифрованный жесткий диск.
- Обязательно подпишитесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.