Εξήγηση: Πώς το λογισμικό κατασκοπείας Pegasus μολύνει μια συσκευή. ποια δεδομένα ενδέχεται να τεθούν σε κίνδυνο

Project Pegasus: Το ισραηλινό spyware, που αποκαλύφθηκε ότι είχε χρησιμοποιηθεί για να στοχεύσει εκατοντάδες τηλέφωνα στην Ινδία, έχει γίνει λιγότερο εξαρτώμενο από τα κλικ. Το Pegasus μπορεί να μολύνει μια συσκευή χωρίς την εμπλοκή ή τη γνώση του στόχου.

Το Pegasus είναι το κορυφαίο προϊόν του Ομίλου NSO (εικονογράφηση Express)

Τον Νοέμβριο του 2019, ένας ρεπόρτερ τεχνολογίας από την πόλη της Νέας Υόρκης φωτογράφισε μια συσκευή υποκλοπής που παρουσιάστηκε στο Milipol, μια εμπορική έκθεση για την εσωτερική ασφάλεια στο Παρίσι. Ο εκθέτης, ο Όμιλος NSO, τοποθέτησε το υλικό στο πίσω μέρος ενός βαν, υποδηλώνοντας ίσως ευκολία φορητότητας, και είπε ότι δεν θα λειτουργούσε σε αριθμούς τηλεφώνου των ΗΠΑ, πιθανώς λόγω περιορισμού που επέβαλε η εταιρεία.

Από τότε που ιδρύθηκε ο ισραηλινός γίγαντας του κυβερνοχώρου το 2010, αυτή ήταν πιθανώς η πρώτη φορά που ένας φορητός σταθμός πομποδεκτών βάσης (BTS) κατασκευασμένος από NSO εμφανίστηκε σε αναφορά μέσων ενημέρωσης.

Ένας BTS — ή «απατεώνας πύργος κινητής τηλεφωνίας» ή «IMSI Catcher» ή «stingray» — υποδύεται τους νόμιμους πύργους κινητής τηλεφωνίας και αναγκάζει τα κινητά τηλέφωνα σε μια ακτίνα να συνδεθούν σε αυτό, έτσι ώστε η αναχαιτισμένη κυκλοφορία να μπορεί να χειραγωγηθεί από έναν εισβολέα. Το BTS που φωτογραφήθηκε το 2019 αποτελούνταν από οριζόντια στοιβαγμένες κάρτες, που πιθανόν να επιτρέπουν την υποκλοπή σε πολλαπλές ζώνες συχνοτήτων.

Η άλλη επιλογή είναι να αξιοποιήσετε την πρόσβαση στον ίδιο τον πάροχο κινητής τηλεφωνίας του στόχου. Σε αυτό το σενάριο, ένας εισβολέας δεν θα χρειαζόταν κανέναν αδίστακτο πύργο κινητής τηλεφωνίας, αλλά θα βασιζόταν στην κανονική υποδομή δικτύου για χειραγώγηση.

Είτε έτσι είτε αλλιώς, η δυνατότητα εκτόξευσης επιθέσεων «δικτυακής έγχυσης» — που εκτελούνται εξ αποστάσεως χωρίς εμπλοκή του στόχου (επομένως, επίσης ονομάζεται μηδενικό κλικ ) ή γνώση —δόθηκαν Πήγασος , το κορυφαίο προϊόν του Ομίλου NSO, ένα μοναδικό πλεονέκτημα έναντι των ανταγωνιστών του στην παγκόσμια αγορά spyware.

Το Pegasus βρίσκεται τώρα στο επίκεντρο ενός παγκόσμιου συλλογικού ερευνητικού έργου που διαπίστωσε ότι το spyware χρησιμοποιήθηκε για να στοχεύσει, μεταξύ άλλων, εκατοντάδες κινητά τηλέφωνα στην Ινδία .

Σε τι διαφέρει το Pegasus από άλλα spyware;

Το Pegasus aka Q Suite, το οποίο διατίθεται στην αγορά από τον Όμιλο NSO, γνωστό και ως Q Cyber ​​Technologies ως μια κορυφαία στον κόσμο λύση πληροφοριών στον κυβερνοχώρο που επιτρέπει στις αρχές επιβολής του νόμου και στις υπηρεσίες πληροφοριών να εξάγουν εξ αποστάσεως και κρυφά δεδομένα από σχεδόν οποιαδήποτε φορητή συσκευή, αναπτύχθηκε από βετεράνους των ισραηλινών υπηρεσιών πληροφοριών.

Μέχρι τις αρχές του 2018, οι πελάτες του Ομίλου NSO βασίζονταν κυρίως σε μηνύματα SMS και WhatsApp για να ξεγελάσουν τους στόχους ώστε να ανοίξουν έναν κακόβουλο σύνδεσμο, ο οποίος θα οδηγούσε σε μόλυνση των κινητών τους συσκευών. Ένα φυλλάδιο του Pegasus το περιέγραψε ως Μήνυμα Βελτιωμένης Κοινωνικής Μηχανικής (ESEM). Όταν γίνεται κλικ σε έναν κακόβουλο σύνδεσμο συσκευασμένο ως ESEM, το τηλέφωνο κατευθύνεται σε έναν διακομιστή που ελέγχει το λειτουργικό σύστημα και παρέχει την κατάλληλη απομακρυσμένη εκμετάλλευση.

Στην έκθεσή της τον Οκτώβριο του 2019, η Διεθνής Αμνηστία τεκμηρίωσε για πρώτη φορά τη χρήση «δικτυακών εγχύσεων» που επέτρεψαν στους εισβολείς να εγκαταστήσουν το λογισμικό υποκλοπής spyware χωρίς να απαιτείται καμία αλληλεπίδραση από τον στόχο. Το Pegasus μπορεί να επιτύχει τέτοιες εγκαταστάσεις μηδενικού κλικ με διάφορους τρόπους. Μια επιλογή over-the-air (OTA) είναι η αποστολή ενός μηνύματος ώθησης κρυφά που κάνει τη συσκευή-στόχο να φορτώνει το λογισμικό υποκλοπής spyware, με τον στόχο να αγνοεί την εγκατάσταση στην οποία ούτως ή άλλως δεν έχει κανέναν έλεγχο.

Αυτό, ένα φυλλάδιο Pegasus καυχιέται, είναι η μοναδικότητα του NSO, η οποία διαφοροποιεί σημαντικά τη λύση Pegasus από οποιοδήποτε άλλο λογισμικό υποκλοπής spyware που διατίθεται στην αγορά.

Τι είδους συσκευές είναι ευάλωτες;

Όλες οι συσκευές, πρακτικά. Τα iPhone έχουν στοχοποιηθεί ευρέως στο Pegasus μέσω της προεπιλεγμένης εφαρμογής iMessage της Apple και του πρωτοκόλλου Push Notification Service (APNs) στο οποίο βασίζεται. Το λογισμικό κατασκοπείας μπορεί να μιμηθεί μια εφαρμογή που έχει ληφθεί σε ένα iPhone και να μεταδοθεί ως ειδοποιήσεις push μέσω των διακομιστών της Apple.

Τον Αύγουστο του 2016, το Citizen Lab, ένα διεπιστημονικό εργαστήριο με έδρα το Πανεπιστήμιο του Τορόντο, ανέφερε την ύπαρξη του Pegasus στην εταιρεία ασφάλειας στον κυβερνοχώρο Lookout και οι δύο επισήμαναν την απειλή για την Apple. Τον Απρίλιο του 2017, η Lookout και η Google δημοσίευσαν λεπτομέρειες για μια έκδοση Android του Pegasus.

Τον Οκτώβριο του 2019, η WhatsApp κατηγόρησε την ομάδα NSO ότι εκμεταλλεύτηκε μια ευπάθεια στη δυνατότητα βιντεοκλήσεων. Ένας χρήστης θα λάμβανε κάτι που φαινόταν ως βιντεοκλήση, αλλά αυτή δεν ήταν μια κανονική κλήση. Αφού χτύπησε το τηλέφωνο, ο εισβολέας μετέδωσε κρυφά κακόβουλο κώδικα σε μια προσπάθεια να μολύνει το τηλέφωνο του θύματος με λογισμικό υποκλοπής. Το άτομο δεν χρειάστηκε καν να απαντήσει στην κλήση, είπε ο επικεφαλής του WhatsApp Will Cathcart.

κυρία υπέροχη καθαρή αξία

Τον Δεκέμβριο του 2020, μια έκθεση του Citizen Lab επισήμανε πώς κυβερνητικοί πράκτορες χρησιμοποίησαν το Pegasus για να χακάρουν 37 τηλέφωνα που ανήκαν σε δημοσιογράφους, παραγωγούς, παρουσιαστές και στελέχη του Al Jazeera και του Al Araby TV με έδρα το Λονδίνο κατά τον Ιούλιο-Αύγουστο 2020, εκμεταλλευόμενοι την ημέρα μηδέν ( μια ευπάθεια άγνωστη στους προγραμματιστές) έναντι τουλάχιστον του iOS 13.5.1 που θα μπορούσε να χακάρει το πιο πρόσφατο τότε iPhone 11 της Apple. Αν και η επίθεση δεν λειτούργησε σε iOS 14 και νεότερη έκδοση, η έκθεση ανέφερε ότι οι μολύνσεις που παρατήρησε ήταν πιθανώς ένα μικρό κλάσμα του συνόλου επιθέσεις, δεδομένης της παγκόσμιας εξάπλωσης της πελατειακής βάσης του Ομίλου NSO και της φαινομενικής ευπάθειας σχεδόν όλων των συσκευών iPhone πριν από την ενημέρωση του iOS 14.

Το spyware μπαίνει πάντα σε οποιαδήποτε συσκευή στοχεύει;

Συνήθως, ένας εισβολέας χρειάζεται να τροφοδοτήσει το σύστημα Pegasus μόνο τον αριθμό τηλεφώνου-στόχου για μια ένεση δικτύου. Τα υπόλοιπα γίνονται αυτόματα από το σύστημα, λέει ένα φυλλάδιο Pegasus, και το spyware εγκαθίσταται στις περισσότερες περιπτώσεις.

Σε ορισμένες περιπτώσεις, ωστόσο, οι ενέσεις δικτύου ενδέχεται να μην λειτουργούν. Για παράδειγμα, η απομακρυσμένη εγκατάσταση αποτυγχάνει όταν η συσκευή προορισμού δεν υποστηρίζεται από το σύστημα NSO ή το λειτουργικό της σύστημα αναβαθμίζεται με νέες προστασίες ασφαλείας.

Προφανώς, ένας τρόπος για να αποφύγετε το Pegasus είναι να αλλάξετε το προεπιλεγμένο πρόγραμμα περιήγησης τηλεφώνου. Σύμφωνα με ένα φυλλάδιο του Pegasus, η εγκατάσταση από προγράμματα περιήγησης εκτός από την προεπιλογή της συσκευής (και επίσης chrome για συσκευές που βασίζονται στο Android) δεν υποστηρίζεται από το σύστημα.

Σε όλες αυτές τις περιπτώσεις, η εγκατάσταση θα ματαιωθεί και το πρόγραμμα περιήγησης της συσκευής-στόχου θα εμφανίσει μια προκαθορισμένη αβλαβή ιστοσελίδα, έτσι ώστε ο στόχος να μην εννοεί την αποτυχημένη προσπάθεια. Στη συνέχεια, ένας εισβολέας είναι πιθανό να επιστρέψει στα δολώματα κλικ ESEM. Αν όλα τα άλλα αποτύχουν, λέει το φυλλάδιο, το Pegasus μπορεί να εγχυθεί και να εγκατασταθεί χειροκίνητα σε λιγότερο από πέντε λεπτά, εάν ένας εισβολέας αποκτήσει φυσική πρόσβαση στη συσκευή-στόχο.

Ποιες πληροφορίες μπορούν να τεθούν σε κίνδυνο;

Μόλις μολυνθεί, ένα τηλέφωνο γίνεται ψηφιακός κατάσκοπος υπό τον πλήρη έλεγχο του εισβολέα.

Κατά την εγκατάσταση, το Pegasus επικοινωνεί με τους διακομιστές εντολών και ελέγχου (C&C) του εισβολέα για να λάβει και να εκτελέσει οδηγίες και να στείλει πίσω τα ιδιωτικά δεδομένα του στόχου, συμπεριλαμβανομένων κωδικών πρόσβασης, λιστών επαφών, συμβάντων ημερολογίου, μηνυμάτων κειμένου και ζωντανών φωνητικών κλήσεων (ακόμη και εκείνων μέσω end-to -κρυπτογραφημένες εφαρμογές ανταλλαγής μηνυμάτων). Ο εισβολέας μπορεί να ελέγξει την κάμερα και το μικρόφωνο του τηλεφώνου και να χρησιμοποιήσει τη λειτουργία GPS για να παρακολουθήσει έναν στόχο.

Για να αποφευχθεί η εκτεταμένη κατανάλωση εύρους ζώνης που μπορεί να ειδοποιήσει έναν στόχο, το Pegasus στέλνει μόνο προγραμματισμένες ενημερώσεις σε έναν διακομιστή C&C. Το spyware έχει σχεδιαστεί για να αποφεύγει την εγκληματολογική ανάλυση, να αποφεύγει τον εντοπισμό από λογισμικό προστασίας από ιούς και μπορεί να απενεργοποιηθεί και να αφαιρεθεί από τον εισβολέα, όταν και εάν είναι απαραίτητο.

Τι προφυλάξεις μπορεί να πάρει κανείς;

Θεωρητικά, η έξυπνη υγιεινή στον κυβερνοχώρο μπορεί να προστατεύσει από τα δολώματα ESEM. Αλλά όταν ο Pegasus εκμεταλλεύεται μια ευπάθεια στο λειτουργικό σύστημα του τηλεφώνου κάποιου, δεν μπορεί να κάνει τίποτα για να σταματήσει μια έγχυση δικτύου. Ακόμη χειρότερα, κανείς δεν θα το γνωρίζει καν εάν η συσκευή σαρωθεί σε ένα εργαστήριο ψηφιακής ασφάλειας.

Η μετάβαση σε ένα αρχαϊκό ακουστικό που επιτρέπει μόνο βασικές κλήσεις και μηνύματα σίγουρα θα περιορίσει την έκθεση δεδομένων, αλλά ενδέχεται να μην μειώσει σημαντικά τον κίνδυνο μόλυνσης. Επίσης, τυχόν εναλλακτικές συσκευές που χρησιμοποιούνται για μηνύματα ηλεκτρονικού ταχυδρομείου και εφαρμογές θα παραμείνουν ευάλωτες, εκτός εάν κάποιος παραιτηθεί από τη χρήση αυτών των βασικών υπηρεσιών εντελώς.

Επομένως, το καλύτερο που μπορεί να κάνει κανείς είναι να παραμένει ενημερωμένος με κάθε ενημέρωση λειτουργικού συστήματος και ενημερωμένη έκδοση κώδικα ασφαλείας που κυκλοφορούν από τους κατασκευαστές συσκευών και ελπίζει ότι οι επιθέσεις zero-day θα γίνουν πιο σπάνιες. Και αν κάποιος έχει τον προϋπολογισμό, η περιοδική αλλαγή ακουστικών είναι ίσως η πιο αποτελεσματική, αν και ακριβή, θεραπεία.

Εφόσον το λογισμικό κατασκοπείας βρίσκεται στο υλικό, ο εισβολέας θα πρέπει να μολύνει επιτυχώς τη νέα συσκευή κάθε φορά που αλλάζει. Αυτό μπορεί να δημιουργήσει προκλήσεις τόσο υλικοτεχνικής (κόστος) όσο και τεχνικής (αναβάθμιση ασφαλείας). Εκτός κι αν κάποιος αντιμετωπίζει απεριόριστους πόρους, που συνήθως συνδέονται με την κρατική εξουσία.

Μοιράσου Το Με Τους Φίλους Σου: