программа pegasus что это такое
Pegasus: тотальная слежка на iOS и Android
Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства.
Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.
Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.
На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.
Pegasus: начало, или Лошадь в яблоках
О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.
Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.
Если у вас нет паранойи, это не значит, что Apple за вами не следит. Вырубаем слежку в iOS: https://t.co/u7FDQU6BsR pic.twitter.com/N45Tjtuuh9
Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.
В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.
Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android
Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).
«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.
Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.
Скорее всего, вы вне опасности, но…
Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.
Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.
Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:
Pegasus: как работает и где использовали
NSO Group
NSO Group — это израильская IT-компания, специализирующаяся на производстве ПО для извлечения данных из смартфона в обход его механизмов защиты. То есть, иначе говоря, это spyware. Характерной особенностью компании являются обвинения в сотрудничестве с авторитарными режимами, которые использовали их продукты для слежки за оппозицией.
NSO Group основана выходцами из израильской разведки в 2010 года (название по именам основателей Niv Karmi, Shalev Hulio, Omri Lavie). Первичное финансирование было получено от группы инвесторов, возглавляемой Eddy Shalev, партнёром в Genesis Partners, израильском венчурном фонде.
В 2014 году NSO Group была приобретена американской инвестиционной компанией Francisco Partners, специализирующейся на инвестициях в технологический сектор. В 2019 основатели компании Hulio и Lavie совместно с европейской инвестиционной компанией Novalpina Capital выкупили контрольный пакет акций NSO Group (третий основатель компании покинул её в самом начале).
Pegasus
Главным продуктом компании является Pegasus — ПО, удалённо устанавливающееся на смартфон под iOS или Android (фокус продукта, видимо, на iOS, но также есть таргетирование на Android, однако эта информация могла устареть) без ведома владельца и собирающее данные с устройства. Другим продуктом является Circles (одноименная компания объединилась с NSO Group в 2014), который позволяет установить местоположение смартфона в любой точке мира в течение секунд. Pegasus использует ряд уязвимостей (выявленные оказались уязвимостями нулевого дня), которые позволяют ему таргетировать разные версии этих операционных систем (анализ кода позволяет заключить, что ПО применимо к iPhone, начиная с 5 версии).
«Репортёры без границ» подают в суд на лиц, ответственных за массовую слежку через шпионское ПО Pegasus израильской компании NSO Group, и призывают пострадавших по всему миру журналистов и СМИ присоединяться к иску. https://t.co/CP32HPShRe
Данное ПО лицензируется израильским министерством обороны как «вооружение» для целей экспорта, и его покупателями могут стать только другие государства, а не частные лица (однако стоит отметить, что для экспорта NSO Group также использует свои офисы на Кипре и в Болгарии).
Интересно, что компания требует оплаты в зависимости от числа целей, за которыми будет вестись слежка (помимо фиксированной цены за факт использования).
Где использовали Pegasus
Покупали Pegasus и использовали его для слежки за оппозицией следующие страны.
Мексика
В частности для слежки над Carmen Aristegui, который в 2014 расследовал коррупцию жены тогдашнего президента страны, над популярным журналистом Carlos Loret de Mola, и, возможно, над журналистом Rafael Cabrera.
Для слежки за активистами, расследовавшими похищение и предположительное убийство наркокарателями 43 человек в 2014 году.
Для слежки за Juan E. Pardinas, разрабатывавшим антикоррупционное законодательство.
Атаки производились через текстовое сообщение с вредоносной ссылкой.
Для поимки известного наркобарона Хоакина «Эль Чапо» Гусмана.
С помощью коррумпированных мексиканских властей наркокартели использовали ПО для слежки за противостоящими им журналистами.
Для слежки за журналистами и активистами, проверявшими деятельность властей:
Саудовская Аравия (в 2018 году Amnesty International обвинила Саудовскую Аравию в том, что она использовала Pegasus для слежки за ее сотрудниками)
В частности использовалось в рамках организации убийства диссидента Джамаля Хашогги. После данного инцидента NSO Group заморозила свое сотрудничество с саудовскими властями.
Также утверждается, что саудовские власти внедрили ПО в телефон Джеффа Безоса, для чего наследный принц Саудовской Аравии Мухаммед ибн Салман послал ему сообщение.
Для слежки за сотрудниками Amnesty International, занимающимися саудовской проблематикой.
Использовалось для слежки за оппозиционерами, в частности за Ahmed Mansoor, которого неудачно попытались взломать, подослав на его iPhone вредоносную ссылку в текстовом сообщении. Именно исследование этой ссылки специалистами Citizen Lab позволило получить первые технические данные о функционировании Pegasus.
Марокко
Испания
Индия
Впервые использование Pegasus было зафиксировано исследователями Citizen Lab в 2018 году при идентификации ряда операторов ПО, один из которых, Ганг (Ganges), был активен в первую очередь в интернет-сетях Индии.
В 2019 году атаке подверглись 121 человек, среди которых журналисты, активисты, юристы-правозащитники. Подозрение пало на правительство премьер-министра Нарендра Моди; оппозиционеры в индийском парламенте потребовали расследовать инцидент на уровне Верховного суда.
В 2019 году было заявлено о слежке неизвестными лица над несколькими десятками высокопоставленных пакинстанских чиновников, среди которых — представители министерства обороны и разведслужб.
В обоих случаях использовалась уязвимость в WhatsApp.
Панама
По данным Univision, число жертв в 2012-2014 годах могло достигать 150 человек.
Слежка проводилась по инициативе бывшего президента страны Ricardo Martinelli, следили за его политическими противниками и другими лицами, представлявшими для него интерес.
Того
Руанда
Азербайджан
Бахрейн
Венгрия
Казахстан
Кения
Возможно, ПО использовалось для слежки за неизвестными лицами.
А что в России?
Интересно отметить, что продукты NSO Group (а также других аналогичных организаций), по-видимому, не используются российскими властями. Точная причина этого неизвестна, но, по мнению Андрея Солдатова, главного редактора сайта Agentura.ru, это связано, во-первых, с производством (и экспортом) Россией своего шпионского ПО, во-вторых, с недоверием российских властей к иностранным продуктам в этой области (и утечки в отношении NSO Group это оправдывают), которые позволяют их разработчикам (и спецслужбам их стран) собирать данные клиентов.
Так, в случае Pegasus, для непосредственного управления заражённым устройством используются серверы NSO Group. В рамках утечки данных был опубликован список из 50 000 телефонных номеров, чьи владельцы представлял интерес для клиентов компании.
Кроме того, стоит упомянуть, что в 2018 исследовательская группа в области информационной безопасности Citizen Lab обвинила NSO Group в слежке со стороны акторов, связанных с компанией. В 2019 один из этих людей был опознан как бывший израильский сотрудник служб безопасности Aharon Almog-Assouline.
После получения доступа к устройству Pegasus, предположительно, может перехватывать все коммуникации (СМС, звонки, сообщения в основных популярных мессенджерах, почтовые отправления и т.п.), собирать данные о местоположении устройства и пароли от Wi-Fi, данные других приложений, а также получает доступ к списку микрофону и камере, списку контактов, истории браузера. Это происходит за счёт получения повышенных привилегий в системе (rooting в случае Android, jailbreaking в случае продуктов Apple).
Как именно Pegasus занимается слежкой?
Технологии, используемые Pegasus для взлома устройств, не афишируются. Отчасти их можно проанализировать, опираясь на известные случаи взломов. Так, в 2019 WhatsApp обвинил NSO Group, что Pegasus использовал приложение в качестве вектора атаки уязвимость CVE-2019-3568 (позволяла удалённое выполнение кода во время аудиозвонков путём пересылки специальных RTCP-пакетов, что приводило к переполнению буфера памяти; от жертвы не требовалось ответа на звонок).
В судебном иске против NSO Group представители WhatsApp заявили, что среди целей взломов были «юристы, журналисты, правозащитники, политические диссиденты, дипломаты и другие видные чиновники».
По утверждению WhatsApp, атаки приходили с серверов NSO Group, а после внедрения вредоносного кода они использовались для коммуникации со взломанным устройством, извлечения данных из него и обновления Pegasus на устройстве.
Согласно документам, утёкшим у конкурирующего производителя ПО для слежки итальянской компании Hacking Team, фишинговая ссылка называется Enhanced Social Engineering Message (ESEM). После клика жертва будет пропущена сквозь цепочку анонимизирующих серверов NSO Group (PATN) с целью скрыть месторасположение сервера клиента компании. Сервер, который непосредственно пытается скрытно установить ПО на смартфон жертвы, называется Pegasus Installation Server (помимо этого существуют Pegasus Data Server, используется для C&C). В случае неуспеха атаки жертва будет перенаправлена на сайт, который атакующий указал в конфигурации атаки.
С целью уменьшить шанс обнаружения этой инфраструктуры атакующий сервер принимает соединения только по определённым критериям, например из определённых стран или с определёнными версиями ОС, а также, предположительно, деактивирует ссылки после короткого промежутка времени (условно 24 часа).
В 2016 исследователи из Citizen Lab наткнулись на разветвлённую онлайн-инфраструктуру неизвестной хакерской группировки, которую они назвали Stealth Falcon (некоторые из фишинговых ресурсов были замаскированы под гуманитарные организации вроде Красного Креста и сайты СМИ).
Однако у Citizen Lab не было образца вредоносного ПО, который получили после попытки взлома Ahmed Mansoor в том же году. Исследователи нашли в коде строку «PegasusProtocol» и установили, что вредоносная ссылка вела на один из серверов Stealth Falcon, IP-адрес которого также использовался сервером, зарегистрированным на имя одного из сотрудников NSO Group.
В 2018 году после обнаруженной слежки за одним из сотрудников в Amnesty International тоже провели расследование, в ходе которого идентифицировали серверы, принадлежащие NSO Group (некоторые из них ранее опознанали в Citizen Lab). Это было сделано через создание цифровых отпечатков серверов, использованных в атаке на сотрудника организации, и поиск серверов с аналогичным отпечатком. Ещё одним пересечением с серверами, выявленными Citizen Lab, были самоподписанные TSL-сертификаты.
Помимо этого Amnesty International обнаружила, что большинство фишинговых доменов было зарегистрировано в дни и часы, совпадающие с рабочей неделей в Израиле.
Другие домены притворялись существующими новостными организациями (gulf-news[.]info — https://gulfnews.com) или новостными организациями в принципе (breaking-news[.]co).
Исторически Pegasus использовал следующие уязвимости:
CVE-2016-4655 — уязвимость в ядре iOS, позволяющая злоумышленнику получить информацию о местоположении ядра в памяти;
CVE-2016-4656 — уязвимость в ядре iOS, позволяющая злоумышленнику незаметно провести jailbreaking устройства путем повреждения памяти (memory corruption);
CVE-2016-4657 — уязвимость в WebKit (браузерный движок Safari), позволяющая злоумышленнику захватить контроль над устройством после того, как жертва кликнет на заражённую ссылку.
Отчет Citizen Lab от декабря 2020 свидетельствует, что фокус NSO Group сместился на использование уязвимостей zero-click и сетевых атак, что позволяет лучше скрывать факт взлома. А в их отчёте от августа 2021 сообщалось о том, что Pegasus успешно использовал уязвимость FORCEDENTRY (CVE-2021-30860) для операционных систем Apple (исправлена в обновлении от сентября 2021).
Однако логично предположить, что Pegasus использует и другие уязвимости, пока неизвестные исследователям.
Pegasus скрывает факт своего присутствия в заражённой системе. Если он не способен связаться с C&C в течение 60 дней, то самоуничтожается из системы (альтернативно он может это сделать по команде от C&C).
Сам C&C (названный исследователями Pegasus Anonymizing Transmission Network, PATN), предположительно, представляет собой систему из 500 доменов, DNS серверов и другой сетевой инфраструктуры. Один из методов PATN — это оперирование на портах с большими номерами, что позволяет избегать внимания стандартных сканеров портов. Для каждой попытки внедрения PATN генерирует уникальные поддомены и URL, не переиспользуя их в дальнейшем, что затрудняет его обнаружение.
Что касается взаимодействия между серверами NSO и клиентами, то, по данным Juan Andrés Guerrero-Saade (исследователь в области кибербезопасности), система устанавливается на сервера клиента, после чего для инициации атаки оператору достаточно ввести номер телефона жертвы. После этого происходит тестирование введенного номера и генерация одноразового механизма доставки уязвимости на устройство жертвы. Предположительно, каждый клиент получает в доступ «некий непересекающийся сегмент инфраструктуры NSO» (в первую очередь набор фишинговых доменов; домены могут быть зарегистрированы как самими представителями NSO, так и оператором со стороны клиента).
Исходя из имеющихся данных, невозможно точно установить, имеет ли NSO доступ к списку жертв (сама компания это отрицает).
По данным Citizen Lab, существовало три итерации инфраструктуры NSO Group:
Version 1 — выявлена по историческим данным;
Version 2 — выявлена во время изучения Stealth Falcon, IP-адреса частично пересекаются с Version 1, предположительно, деактивирована NSO Group после публикации отчёта Citizen Lab в 2016;
Как защититься?
В данном случае единственный способ защититься — не кликать на подозрительные ссылки. Кроме того, полезно делать бэкапы и включать двухфакторную аутентификацию.
Кроме того, можно ознакомиться с инструкцией TechCrunch о том, как обнаружить малварь Pegasus на самих устройствах. Для этого нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International.
С другой стороны, если человек не политический активист, то против него Pegasus использовать вряд ли будут.
Израильский шпион: Что такое Pegasus и как он работает
Шпионская вредоносная программа Pegasus является одной из самых серьезных угроз для журналистов и активистов-правозащитников, поскольку правительства, выступающие против них, могут различными способами проникнуть в их сотовые телефоны, повредить их, практически создать проблемы в их работе.
Это побудило ИТ-специалистов и экспертов по безопасности ответить на неоднократные вопросы людей о том, что делать, чтобы обезопасить себя от атак вредоносных программ: «Если мы хотим быть честными, мы должны сказать, что ничего невозможно сделать».
Газета «Гардиан» в сообщении, представляя шпионскую программу Pegasus израильской компании NSO Group, которая следила за многими известными лицами, такими как президент Франции Эммануэль Макрон, и многими демократическими и правозащитными фигурами, пытается передать информацию об этой вредоносной программе и ее функции.
Первую версию вредоносного ПО Pegasus обнаружили в 2016 году. В первой версии вредоносное ПО жертву возбуждали щелкнуть электронное письмо или телефонное сообщение. В результате этого заражался весь его мобильный телефон.
Однако с тех пор наступательные возможности компании NSO Group значительно развились. Теперь он поддерживает так называемые атаки с нулевым щелчком и не требует от владельца мобильного телефона никаких действий. В нынешних условиях это вредоносное ПО использует уязвимости в мобильных операционных системах, которые производители не успели исправить.
В 2019 году WhatsApp раскрыл, что вредоносная программа компании Group NSO отправило вредоносные ссылки на более чем 1400 мобильных телефонов, используя их слабые места в своих целях. Вредоносная программа Pegasus может легко проникнуть в сотовый телефон через звонок в WhatsApp, даже если человек не отвечает на звонок. По сути, в ходе своих шпионских операций Pegasus запускает специальный код на телефон и, таким образом, совершает вредоносные операции. К сожалению, вредоносная программа Pegasus в последнее время разрабатывает приложения, упрощающие доступ к миллионам мобильных телефонов Apple. Отреагировав на этот вопрос компания Apple заявила, что будет постоянно выпускать новые обновления с защитой от хакерских атак, таких как Pegasus.
Благодаря исследовательской работе руководителя Citizen Lab в правозащитной организации Amnesty International в Берлине Клаудио Гварнери, теперь больше, чем раньше стало ясно техническое понимание о вредоносной программе Pegasus, а также о том, какие вредоносные операции она выполняет после проникновения в мобильные телефоны. В частности, он указывает, что вредоносная программа Pegasus атакует сотовые телефоны таким образом, что жертве очень сложно понять, что против него проводится шпионская операция.
По оценкам, вредоносная программа Pegasus до сих пор успешно и активно следило за операционными системами Android и iOS. Кроме того, в исследованиях особо подчеркивалось, что компания NSO Group активно пытается найти новые уязвимости (новые слабые места), особенно в операционных системах iOS.
Следует отметить, что Pegasus также может быть установлен через беспроводной передатчик или приемник недалеко от места, где находится человек (человек, за которым следует слежка), и выполнять шпионскую операцию. А если украдут сотовый телефон жертвы, данная вредоносная программа может быть вручную установлена на его мобильный телефон и выгружена его информация.
Как только вредоносная программа Pegasus устанавливается на мобильный телефон, она может украсть всю информацию и файлы с этого телефона. Текстовые сообщения, история звонков, календари, электронные письма, а также история поисков могут быть объектами полной слежки через Pegasus.
Многие наблюдатели, эксперты по вопросам безопасности и ИТ-специалисты считают, что вредоносная программа Pegasus может делать то, что не может сделать даже владелец мобильного телефона. Это практически делает владельца мобильного телефона в абсолютную жертву для шпионского ПО Pegasus.
Юристы израильской компании NSO Group заявляют, что все, что было сказано о вредоносном ПО Pegasus, является всего лишь домыслом, а не фактом. Они описали все, что было сказано о Pegasus, как безосновательные слова. Однако до сих пор они не оспаривали никаких выводов о вредоносном ПО Pegasus.
Компания NSO Group вложила значительные средства в создание трудностей у других для обнаружения ее вредоносных программ и их действий. В нынешних условиях очень сложно выявить вредоносные операции программы Pegasus. Эксперты по безопасности отмечают, что более новые версии Pegasus, скорее всего, поместятся только в кратковременную память мобильных телефонов, и как только телефон будет выключен, их следы будут полностью удалены с мобильного телефона.
Шпионская вредоносная программа Pegasus является одной из самых серьезных угроз для журналистов и активистов-правозащитников, поскольку правительства, выступающие против них, могут различными способами проникнуть в их сотовые телефоны, повредить их, практически создать проблемы в их работе. Это побудило ИТ-специалистов и экспертов по безопасности ответить на неоднократные вопросы людей о том, что делать, чтобы обезопасить себя от атак вредоносных программ: «Если мы хотим быть честными, мы должны сказать, что ничего невозможно сделать».