Vysvětleno: Jak spyware Pegasus infikuje zařízení; jaká data mohou být ohrožena

Projekt Pegasus: Izraelský spyware, o kterém se ukázalo, že byl použit k cílení na stovky telefonů v Indii, se stal méně závislým na kliknutích. Pegasus může infikovat zařízení bez zásahu nebo vědomí cíle.

Pegasus je vlajkovou lodí skupiny NSO Group (expresní ilustrace)

V listopadu 2019 vyfotografoval technický reportér z New Yorku záchytné zařízení vystavené na Milipolu, veletrhu o vnitřní bezpečnosti v Paříži. Vystavovatel, NSO Group, umístil hardware na zadní část dodávky, což možná naznačovalo pohodlí přenositelnosti, a řekl, že to nebude fungovat na amerických telefonních číslech, pravděpodobně kvůli omezení, které si firma sama nařídila.

Od založení izraelského kybernetického gigantu v roce 2010 to bylo pravděpodobně poprvé, kdy se v mediální zprávě objevila přenosná základní transceiverová stanice (BTS) vyrobená NSO.

BTS – neboli „nečestná mobilní věž“ nebo „IMSI Catcher“ nebo „stingray“ – se vydává za legitimní mobilní věže a nutí mobilní telefony v okruhu, aby se k ní připojily, takže zachycený provoz může být manipulován útočníkem. BTS vyfotografovaná v roce 2019 se skládala z horizontálně naskládaných karet, které pravděpodobně umožňovaly odposlech ve více frekvenčních pásmech.

Druhou možností je využít přístup k samotnému mobilnímu operátorovi cíle. V tomto scénáři by útočník nepotřeboval žádnou podvodnou buňkovou věž, ale při manipulaci by se spoléhal na běžnou síťovou infrastrukturu.

Ať tak či onak, schopnost spouštět útoky typu „síťová injekce“ – prováděné na dálku bez zásahu cíle (tedy také tzv. zero-click ) nebo vědění —dal Pegasus , vlajkový produkt NSO Group, jedinečný náskok před svými konkurenty na globálním trhu se spywarem.

Pegasus je nyní v centru globálního společného investigativního projektu, který zjistil, že spyware byl použit k zacílení, mimo jiné, stovky mobilních telefonů v Indii .

Jak se Pegasus liší od ostatních spywarů?

Pegasus aka Q Suite, prodávaný NSO Group aka Q Cyber ​​Technologies jako přední světové řešení kybernetického zpravodajství, které umožňuje donucovacím orgánům a zpravodajským agenturám vzdáleně a skrytě extrahovat data z prakticky jakýchkoli mobilních zařízení, byl vyvinut veterány izraelských zpravodajských služeb.

Až do začátku roku 2018 klienti skupiny NSO primárně spoléhali na zprávy SMS a WhatsApp, aby přiměli cíle k otevření škodlivého odkazu, což by vedlo k infekci jejich mobilních zařízení. Brožura Pegasus to popisovala jako Enhanced Social Engineering Message (ESEM). Když se klikne na škodlivý odkaz zabalený jako ESEM, telefon je přesměrován na server, který zkontroluje operační systém a poskytne vhodný vzdálený exploit.

Amnesty International ve své zprávě z října 2019 poprvé zdokumentovala použití „síťových injekcí“, které útočníkům umožnily nainstalovat spyware bez nutnosti jakékoli interakce ze strany cíle. Pegasus může dosáhnout takových instalací bez kliknutí různými způsoby. Jednou z možností OTA (over-the-air) je skrytě poslat push zprávu, která způsobí, že cílové zařízení načte spyware, přičemž cíl neví o instalaci, nad kterou stejně nemá kontrolu.

Toto, jak se chlubí brožura Pegasus, je jedinečnost NSO, která výrazně odlišuje řešení Pegasus od jakéhokoli jiného spywaru dostupného na trhu.

Jaké druhy zařízení jsou zranitelné?

Prakticky všechna zařízení. Na iPhony se Pegasus široce zaměřuje prostřednictvím výchozí aplikace Apple iMessage a protokolu Push Notification Service (APN), na kterém je založena. Spyware se může vydávat za aplikaci staženou do iPhonu a přenášet se jako push notifikace přes servery Apple.

V srpnu 2016 Citizen Lab, mezioborová laboratoř se sídlem na University of Toronto, oznámila existenci Pegasus firmě kybernetické bezpečnosti Lookout a oba označili hrozbu pro Apple. V dubnu 2017 zveřejnily Lookout a Google podrobnosti o verzi Pegasus pro Android.

V říjnu 2019 WhatsApp obvinil skupinu NSO ze zneužití zranitelnosti ve funkci videohovorů. Uživatel obdrží to, co vypadalo jako videohovor, ale nejednalo se o normální hovor. Po zazvonění telefonu útočník tajně přenesl škodlivý kód ve snaze infikovat telefon oběti spywarem. Osoba ani nemusela odpovídat na hovor, řekl šéf WhatsApp Will Cathcart.

V prosinci 2020 zpráva Citizen Lab označila, jak vládní agenti použili Pegasus k hacknutí 37 telefonů patřících novinářům, producentům, moderátorům a vedoucím pracovníkům Al Jazeera a londýnské Al Araby TV během července až srpna 2020, přičemž využili zero-day ( zranitelnost neznámá vývojářům) alespoň proti iOS 13.5.1, která by mohla hacknout tehdejší nejnovější iPhone 11 od Applu. I když útok nefungoval proti iOS 14 a vyšším, ve zprávě se uvádí, že infekce, které pozorovala, byly pravděpodobně nepatrným zlomkem z celkového počtu útoků vzhledem k celosvětovému rozšíření zákaznické základny skupiny NSO a zjevné zranitelnosti téměř všech zařízení iPhone před aktualizací iOS 14.

Dostane se spyware vždy do jakéhokoli zařízení, na které cílí?

Útočník obvykle potřebuje do systému Pegasus zadat pouze cílové telefonní číslo pro síťovou injekci. Zbytek provede automaticky systém, uvádí brožura Pegasus, a spyware je ve většině případů nainstalován.

V některých případech však síťové injekce nemusí fungovat. Vzdálená instalace se například nezdaří, když cílové zařízení není podporováno systémem NSO nebo je jeho operační systém upgradován o nové bezpečnostní ochrany.

Jedním ze způsobů, jak se vyhnout Pegasovi, je zjevně změnit výchozí prohlížeč telefonu. Podle brožury Pegasus systém nepodporuje instalaci z jiných prohlížečů, než je výchozí nastavení zařízení (a také Chrome pro zařízení se systémem Android).

Ve všech takových případech bude instalace přerušena a prohlížeč cílového zařízení zobrazí předem určenou neškodnou webovou stránku, takže cíl nebude mít tušení o neúspěšném pokusu. Dále se útočník pravděpodobně vrátí ke klikacím návnadám ESEM. Všechno ostatní selže, říká brožura, Pegasus lze ručně vstříknout a nainstalovat za méně než pět minut, pokud útočník získá fyzický přístup k cílovému zařízení.

Jaké informace mohou být ohroženy?

Jakmile je telefon infikován, stane se digitálním špiónem pod úplnou kontrolou útočníka.

Po instalaci se Pegasus spojí s velitelskými a řídicími (C&C) servery útočníka, aby přijal a provedl instrukce a poslal zpět soukromá data cíle, včetně hesel, seznamů kontaktů, událostí kalendáře, textových zpráv a živých hlasových hovorů (dokonce i těch přes end-to). -aplikace pro zasílání zpráv s koncovým šifrováním). Útočník může ovládat kameru a mikrofon telefonu a pomocí funkce GPS sledovat cíl.

Aby se zabránilo rozsáhlé spotřebě šířky pásma, která by mohla upozornit cíl, Pegasus posílá na server C&C pouze plánované aktualizace. Spyware je navržen tak, aby se vyhnul forenzní analýze, zabránil detekci antivirovým softwarem a útočník jej může v případě potřeby deaktivovat a odstranit.

Jaká opatření lze přijmout?

Teoreticky může důmyslná kybernetická hygiena chránit před návnadami ESEM. Ale když Pegasus zneužije zranitelnost v operačním systému vašeho telefonu, nelze nic udělat, aby zastavil injekce do sítě. Horší je, že si to člověk ani neuvědomí, pokud není zařízení naskenováno v digitální bezpečnostní laboratoři.

Přechod na archaický telefon, který umožňuje pouze základní hovory a zprávy, jistě omezí vystavení dat, ale nemusí významně snížit riziko infekce. Také jakákoli alternativní zařízení používaná pro e-maily a aplikace zůstanou zranitelná, pokud se nezřeknete používání těchto základních služeb úplně.

Nejlepší, co můžete udělat, je proto zůstat v obraze s každou aktualizací operačního systému a bezpečnostní záplatou vydanou výrobci zařízení a doufat, že zero-day útoky budou vzácnější. A pokud má člověk rozpočet, je pravidelné střídání telefonů možná nejúčinnějším, i když drahým řešením.

Vzhledem k tomu, že spyware je umístěn v hardwaru, bude muset útočník úspěšně infikovat nové zařízení při každé změně. To může představovat jak logistické (náklady), tak technické (upgrade zabezpečení) problémy. Pokud člověk nestojí proti neomezeným zdrojům, obvykle spojeným se státní mocí.

Sdílej Se Svými Přáteli: