Ізраїльська шпигунська програма Pegasus атакує iPhone та смартфони на Android
Ізраїльська шпигунська програма Pegasus атакує iPhone та смартфони на Android
Шпигунська програма Pegasus, яку продає ізраїльська компанія NSO Group, поширилася у більш ніж 40 країнах світу, - заявляють експерти канадської організації The Citizens Lab. Найбільш типовий сценарій її використання - стеження з боку авторитарних режимів за різними дисидентами.
Pegasus є шпигунською програмою, що атакує пристрої на базі iPhones і Android. Троянець здатний перехоплювати текстові повідомлення, відстежувати дзвінки та місцезнаходження дзвінка, збирати та надсилати своїм операторам паролі та різні дані із встановлених програм.
Її розробник - ізраїльська фірма NSO Group - пропонує її на комерційних умовах урядам різних країн. 2016 р., за даними The Citizen Lab, програма продавалася за ціною $8 млн за 300 ліцензій.Троянець Pegasus використовує низку вразливостей (що переважно належать до розряду «нульового дня») для обходу захисту на смартфонах. Початкове зараження здійснюється типовим методом через фішинг.
Pegasus вдалося виявити після того, як у серпні 2016 р. правозахисник з ОАЕ Ахмед Мансур (Ahmed Mansoor) отримав SMS з невідомого номера, з посиланням на зловживання, що нібито розкрилися. Він розцінив повідомлення як підозріле і переслав інформацію про це до організації The Citizen Lab. Внаслідок чого було виявлено три критичні вразливості в iOS 9, для яких Apple екстрено випускала виправлення.
Мабуть, Pegasus використовує набагато більше різних помилок і лазівок в iOS (а також в Android): якщо в 2016 р. The Citizen Lab нарахували 200 серверів, що використовуються Pegasus, то в 2018 р. їх було вже майже 600 Таким чином, у NSO Group справи йдуть у гору.
Між серпнем 2106 р. та серпнем 2018 р. дослідники виявили 1091 IP-адресу та 1014 доменних імен, для яких була характерна «поведінка» шкідливих посилань та командних серверів Pegasus, що належать різним операторам.
Використовуючи власний метод виявлення загальних ознак серверів Pegasus, The Citizen Lab змогли ідентифікувати 36 окремих систем, кожна з яких управляється своїм оператором.
Дослідники припустили, що заражені пристрої регулярно надсилатимуть запити до доменних імен Pegasus, використовуючи DNS-сервери поточних провайдерів. Після цього експерти прозондували десятки тисяч каталогів записів DNS у різних провайдерів у всьому світі, і дійшли висновку, що на даний момент операції зі стеження з використанням Pegasus здійснюються в 45 країнах. Шість із них, як стверджується в доповіді The Citizen Lab, раніше використовували шкідливе ПЗ для агресивного стеження за громадянськими активістами - серед них Бахрейн, Казахстан, Мексика, Морокко, Саудівська Аравія та ОАЕ.
Цікаво, що щонайменше 10 операторів Pegasus займаються стеженням і на чужій території.
Список країн, де Pegasus активний на даний момент: Алжир, Бахрейн, Бангладеш, Бразилія, Канада, Кот д'Івуар, Єгипет, Франція, Греція, Індія, Ірак, Ізраїль, Йордан, Казахстан, Кенія, Кувейт, Киргизстан, Латвія, Ліван, Лівія, Мексика, Морокко, Нідерланди, Оман, Пакистан, Палестина, Польща, Катар, Руанда, Саудівська Аравія, Сінгапур, ПАР, Швейцарія, Таджикистан, Тайланд, Того, Туніс, Туреччина, ОАЕ, Уганда, Великобританія, США, Узбекистан, Ємен та Замбія.
The Citizen Lab представила свої висновки NSO Group, і та відповіла офіційною заявою.
«В останньому дослідженні Citizen Lab спостерігається безліч проблем. Найголовніша - список країн, де NSO нібито веде діяльність, просто неточний. NSO не працює у багатьох країнах, які наводяться у списку. Продукт ліцензується лише тим країнам, співробітництво з якими не порушує наші принципи бізнес-етики; в інших країнах цей продукт не функціонуватиме».
The Citizen Lab, зі свого боку, вважає, що цей механізм або не працює, або не існує зовсім: «Надання послуг, що триває, країнам, які мають серйозні проблеми з дотриманням прав людини, і де зловживання шпигунським ПЗ добре задокументовано, викликає серйозні сумніви щодо ефективності цього внутрішнього механізму, якщо він взагалі існує».
«Зацікавлені сторони за останні роки цілком могли зробити реверс-інжиніринг Pegasus і створити його аналог, який працює за тими ж принципами і використовує ті ж уразливості. При цьому ліцензійні обмеження NSO Group на «клон» не поширюватимуться. Тоді певною мірою мають рацію і експерти Citizen Lab, і NSO Group: перші бачать сліди діяльності «піратських копій» Pegasus, тоді як NSO цілком щиро може стверджувати, що їхня «офіційна» програма працює в одних країнах, і не працює в інших ».
