Шпионское программное обеспечение Pegasus от израильской компании NSO Group использовалось для слежки за политиками, активистами и журналистами по всему миру. Об этом сообщило The Guardian. Журналисты 17 изданий, включая его и Washington Post начали расследование об использовании этого программного обеспечения. 

Среди жертв более 180 журналистов со всего мира (CNN, NYT, AP, Reuters и др.). Софт использовали государства, в частности глава Венгрии Виктор Орбан и власти Саудовской Аравии. Всего в списке пострадавших — более 50 000 телефонных номеров. Шпионский сервис взламывал смартфоны абонентов и как итог позволял скачивать любую информацию с их устройства и управлять телефоном, при этом для заражения достаточно, чтобы жертва просто кликнула на вредоносную ссылку. 

Экс-сотрудник ЦРУ и Агентства национальной безопасности США Эдвард Сноуден уже написал в твиттере, что история с NSO Group станет событием года. По его мнению, компания-разработчик шпионского программного обеспечения «должна нести непосредственную уголовную ответственность за гибель и задержания» людей, чьи данные оказались взломаны с помощью ее софта. 

Что за компания разрабатывает Pegasus?



NSO Group Technologies — израильская технологическая компания-разработчик шпионского программного обеспечения Pegasus. Их продукт позволяет удаленно наблюдать за смартфонами. 

Компания основана в 2010 году, ее основатели — экс-сотрудники Подразделения 8200, относящегося к радиоэлектронной разведке Израиля. Подразделение 8200 в частности занимается сбором и декодированием радиоэлектронной информации и другими подобными операциями. 

Первые финансовые вложения в компанию поступили от группы инвесторов во главе с Эдди Шалевым, партнером венчурного фонда Genesis Partners. Группа инвестировала в компанию $1,8 млн, купив 30% ее акций. Позже она начала получать заказы от государств. В 2012 году с правительство Мексики подписало контракт с NSO на сумму $20 млн. Издание New York Times в ходе расследования выяснило, что продукт NSO использовался для преследования журналистов и правозащитников в стране. 

Кто и зачем использует Pegasus? 



Для использования Pegasus нужна лицензия. Ее выдает министерство обороны Израиля, а получить разрешение на применение этого шпионского софта могут только государства, не частные лица или компании.  

Ранние версии Pegasus использовались для слежки за телефоном наркобарона Хоакина Гусмана, известного как Эль Чапо. В 2011 году президент Мексики Фелипе Кальдерон лично поблагодарил компанию за ее роль в захвате главы наркокартеля.

25 августа 2016 года компании, специализирующиеся на кибербезопасности, Citizen Lab и Lookout сообщили, что Pegasus использовался для нападения на правозащитника Ахмеда Мансура в ОАЭ. Сам Мансур сообщил исследователям Citizen Lab Биллу Марчаку и Джону Скотту-Рейлтону, что его iPhone 6 был атакован с помощью вредоносной ссылки, присланной в СМС-сообщении 10 августа 2016 года. 

Позже выяснилось, что мексиканский журналист Рафаэль Кабрера также стал мишенью Pegasus. По информации того же источника, программное обеспечение могло использоваться в Израиле, Турции, Таиланде, Катаре, Кении, Узбекистане, Мозамбике, Марокко, Йемене, Венгрии, Саудовской Аравии, Нигерии и Бахрейне. Российских журналистов и активистов в списке жертв нет. 

Как развивается Pegasus? 



В июне этого года жена политического активиста, заключенного в тюрьму в Марокко, Наама Асфари получила сообщение в iMessage на iPhone 11 со ссылкой на сторонний сайт. Как выяснила судебно-медицинская экспертиза Amnesty International, после перехода по ней на устройство проник софт NSO Group. Этого было достаточно, чтобы владелец программного обеспечения начал слежку за жертвой. 

Самая ранняя обнаруженная версия Pegasus была найдена в 2016 году. Схема была той же — жертвам рассылали текстовые сообщения или электронные письма, содержание которых побуждало перейти по присланной вредоносной ссылке. Этого было достаточно, чтобы шпионский софт проник на смартфон и был активирован. 

Программа NSO совершенствуется. Заражение Pegasus может пройти успешно даже при условии, что от владельца мобильного устройства не потребуется каких-либо действий. 

Софт может использовать уязвимости «нулевого дня», это ошибки в операционной системе, о которых производитель смартфона сам еще не знает и поэтому не может предотвратить угрозу. А это означает, что даже самый аккуратный и заботящийся о безопасности пользователь мобильного телефона не может предотвратить атаку, никакие правила цифровой гигиены не помогут.

«Вопрос, который задают мне почти каждый раз, когда мы проводим судебно-медицинскую экспертизу: «Что я могу сделать, чтобы это не повторилось?» Честный ответ — ничего», — говорит сотрудник Security Lab Клаудио Гуарньери. 

В 2019 году WhatsApp сообщил, что программное обеспечение NSO проникло на более чем 1400 телефонов с помощью уязвимостей нулевого дня. Просто отправив вызов по WhatsApp на целевое устройство, злоумышленники заражали смартфоны жертв вредоносным кодом Pegasus, даже если та не ответила на вызов. 

Совсем недавно NSO начала использовать уязвимости в мессенджере Apple iMessage, которая предоставляет ей доступ к сотням миллионов iPhone. Apple заявляет, что постоянно обновляет свое программное обеспечение для предотвращения подобных атак.

Как работает Pegasus?



Программное обеспечение проникает на устройство четырьмя способами: 
  • По СМС
  • По WhatsApp 
  • По iMessage 
  • С помощью еще какого-либо мессенджера 
Какие типы данных Pegasus собирает, заразив смартфон: 
  • СМС 
  • Электронные письма 
  • Чаты WhataApp 
  • Фото и видео 
  • Прослушивание с помощью микрофона 
  • Скрытая видеозапись с тыльной и фронтальной камер 
  • Запись звонков 
  • Данные GPS о перемещении 
  • Записи в календаре 
  • Контакты в записной книжке 
«Когда iPhone взламывается, программное обеспечение делает так, чтобы злоумышленник получил Root-права (с ними имеет право на выполнение всех без исключения операций — прим. iGuides). В результате у Pegasus оказывается больше прав, чем у самого владельца устройства», — объясняет ситуацию Клаудио Гуарньери. 

NSO разработало программное обеспечение так, чтобы оно было трудным для обнаружения, и заражение Pegasus крайне трудно выявлять. Специалисты по кибербезопасности подозревают, что более свежие версии Pegasus обитают только во временной памяти телефона, а не на жестком диске, а это означает, что после выключения телефона практически все его следы исчезают. 



В частности, обвинения в халатности и даже потакании государствам обвиняют производителей операционных систем для смартфонов Apple и Google. Разработчик Apple, отвечающий за кибербезопасность, Иван Крстич высказался об инцидентах и ответил на обвинения компании: 

«Apple безоговорочно осуждает кибератаки против журналистов, правозащитников и других людей, стремящихся сделать мир лучше. Более десяти лет Apple является лидером в области кибербезопасности, и в результате исследователи в этой области согласны с тем, что iPhone — самое безопасное и защищенное потребительское мобильное устройство на рынке. Подобные атаки очень изощренные, они стоят миллионы долларов, часто у них короткий срок годности, а нацелены они на конкретные лица. Это означает, что они не представляют угрозы для большинства наших пользователей, и тем не менее мы продолжаем неустанно работать, чтобы защитить всех наших клиентов, и мы постоянно добавляем новые средства защиты для их устройств и данных». 

История Pegasus показала, что со времен откровений Сноудена в 2013 году ничего не изменилось. Государства по-прежнему желают все контролировать с помощью смартфонов. 




iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru