Ошеломляющие разоблачения Эдварда Сноудена о массовой слежке правительства США вызвали тревогу по поводу цифровой безопасности по всему миру.
Когда-то представлявшее интерес в основном для шпионов и ИТ-гиков, сквозное шифрование стало обычным делом, поскольку сообщения перемещались на зашифрованную электронную почту и приложения, такие как WhatsApp и Signal.
Эта тенденция привела к тому, что правительства оказались не в состоянии прислушаться — и отчаянно нуждались в решении.
Чтобы удовлетворить эту потребность, родился Пегас.
Pegasus-флагманский продукт израильской компании по кибер-наблюдению NSO Group, пожалуй, самой известной из новых шпионских компаний. Технология NSO Group позволяет ее клиентам, которые, как говорят в компании, всегда являются правительствами, а не частными лицами или компаниями, ориентироваться на конкретные телефонные номера и заражать соответствующие устройства кодом Pegasus.
Но вместо того, чтобы пытаться прослушивать данные, передаваемые между двумя устройствами, которые, вероятно, будут зашифрованы, Pegasus позволяет своим пользователям реквизировать само устройство, получая доступ ко всему, что на нем находится.
Pegasus также отслеживает нажатия клавиш на зараженном устройстве – все письменные сообщения и веб – поиск, даже пароли-и возвращает их клиенту, а также предоставляет доступ к микрофону и камере телефона, превращая его в мобильное шпионское устройство, которое цель невольно носит с собой.
“Когда телефон скомпрометирован, это делается таким образом, чтобы злоумышленники могли получить административные привилегии на устройстве. Это позволяет практически все делать по телефону”, — сказал Клаудио Гуарньери из Лаборатории безопасности Amnesty International, которая разработала методологию анализа зараженных устройств.
Правительства по всему миру отчаянно нуждаются в том, что может дать им «Пегас», якобы для того, чтобы обеспечить им беспрепятственный доступ к коммуникациям и передвижениям террористов и преступников. Тем не менее, проект «Пегас» также показывает, как Группа НСО почти наверняка продавала свою технологию правительствам с сомнительными данными о правах человека — и как она использовалась для нападения на журналистов и правозащитников. Данные, собранные проектом «Пегас», свидетельствуют о том, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионские программы АНБ.
Чтобы сохранить свой прибыльный доступ, команда NSO Group должна постоянно обновлять свои технологии, чтобы опережать такие компании, как Apple и Google, когда они применяют патчи для устранения уязвимостей. За последние пять лет Pegasus эволюционировал от относительно грубой системы, основанной на социальной инженерии, до программного обеспечения, которое может поставить под угрозу телефон без необходимости нажимать на одну ссылку.
Эксплойты с нулевым кликом
Хакерские атаки Pegasus когда — то требовали активного участия цели. Операторы Pegasus отправляли текстовые сообщения, содержащие вредоносную ссылку на телефон своей цели. Если цель нажимала кнопку, в ее веб-браузере открывалась вредоносная страница, которая загружала и запускала вредоносное ПО, заражая устройство.
Различные тактики помогли клиентам NSO Group увеличить шансы на получение клика.
“[Клиенты] отправляли спам-сообщения только для того, чтобы расстроить цель, а затем отправляли другое сообщение с просьбой нажать на ссылку, чтобы прекратить получать спам”, — сказал Гуарньери.
Методы социальной инженерии помогали манипулировать целями, заставляя их нажимать, вставляя ссылку в сообщения, предназначенные для обращения к их страхам или интересам.
“Сообщения могут включать новости, представляющие интерес для [цели], или рекламные акции для вещей, которые, как они знают, вы хотите – возможно, членство в спортзале или онлайн-продажи”, — сказал Гуарньери.
В конце концов, общественность стала более осведомленной об этой тактике и лучше смогла обнаружить вредоносный спам. Требовалось что-то более тонкое.
Решением стало использование так называемых «эксплойтов с нулевым кликом». Эти уязвимости не полагаются на то, что цель вообще что-то делает для того, чтобы Pegasus скомпрометировал их устройство. Это, по словам Гуарньери, было предпочтительным методом атаки правительств, использующих Pegasus в течение последних нескольких лет.
Эксплойты с нулевым кликом основаны на ошибках в популярных приложениях, таких как iMessage, WhatsApp и FaceTime, которые получают и сортируют данные, иногда из неизвестных источников.
Как только уязвимость обнаружена, Pegasus может проникнуть на устройство, используя протокол приложения. Пользователю не нужно нажимать на ссылку, читать сообщение или отвечать на звонок — он может даже не увидеть пропущенный звонок или сообщение.
“Эти эксплойты с нулевым кликом составляют большинство случаев, которые мы видели с 2019 года”,-сказал Гуарньери, чья команда опубликовала технический отчет о методологии проекта Pegasus.
“Это отвратительное программное обеспечение – красноречиво отвратительное”, — сказал журналистам Тимоти Саммерс, бывший киберин-инженер в разведывательном агентстве США. “Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, встроенные приложения для обмена сообщениями и электронной почты Apple и другие. С таким составом можно было шпионить почти за всем населением планеты. Очевидно, что НСО предлагает разведывательное агентство как услугу.
Отбиваясь
Несмотря на солидную репутацию мейнстрима, iMessage от Apple, как известно экспертам, уязвим для атак. Мэтт Грин, криптограф и эксперт по безопасности в Университете Джона Хопкинса, сказал журналистам, что iMessage становится все более восприимчивым с тех пор, как Apple сделала свое программное обеспечение более сложным. Это непреднамеренно ввело больше способов поиска эксплуатируемых ошибок кодирования. Apple регулярно выпускает обновления, предназначенные для исправления таких уязвимостей, но индустрия шпионских программ всегда кажется как минимум на шаг впереди.
“Нет никаких сомнений в том, что [Pegasus] способен заразить самые последние версии iOS”, — сказал Гуарньери. “В поиск этих ошибок вложено гораздо больше времени и денег, чем, вероятно, вложено в предотвращение их создания и искоренение. Это игра в кошки-мышки, и кошка всегда впереди, потому что есть экономический стимул”.
Представитель Apple, беседовавший с журналистами из Washington Post, отрицал, что шпионские компании опережают их.
“Атаки на iPhone, подобные той, что создает NSO Group, являются целенаправленными, разработка обходится в миллионы долларов и часто имеют ограниченный срок годности, потому что мы обнаруживаем их и исправляем проблему. Поэтому мы сделали экономически невыгодной масштабную атаку на пользователей iPhone”, — сказал Иван Крстич, руководитель отдела разработки и архитектуры безопасности Apple.
Бизнес явно прибыльный. В 2016 году The New York Times сообщила, что инструмент NSO для слежки за 10 пользователями iPhone обойдется в 650 000 долларов и 500 000 долларов за установку – вероятно, для гораздо менее продвинутых технологий, чем те, которые доступны сегодня. Компания сообщила о выручке в размере 243 миллионов долларов США в 2020 году.
Когда дело доходит до цифровой безопасности, технологические компании теперь борются в судах. В 2019 году WhatsApp подал в суд на NSO Group в США, утверждая, что израильская фирма использовала уязвимость для заражения более 1400 устройств. WhatsApp утверждает, что среди жертв были журналисты, юристы, религиозные лидеры и политические диссиденты. Несколько других громких компаний, включая Microsoft и Google, представили аргументы в поддержку этого продолжающегося дела.
Этот иск следует за другими исками, поданными Amnesty International (против Министерства обороны Израиля, которое должно одобрить все продажи NSO Group иностранным правительствам) или активистами и журналистами, предположительно ставшими мишенью технологий NSO Group.
‘Сетевая инъекция’
Помимо эксплойтов с нулевым кликом, клиенты NSO Group также могут использовать так называемые “сетевые инъекции” для незаметного доступа к целевому устройству. Просмотр веб-страниц цели может оставить их открытыми для атаки без необходимости нажимать на специально разработанную вредоносную ссылку. Этот подход предполагает ожидание, пока цель посетит веб-сайт, который не полностью защищен во время их обычной онлайн-активности. Как только они нажимают на ссылку на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и вызвать заражение.
— Вы ничего не можете с этим поделать, — сказал Гварньери. “Задержка [между доступом к незащищенному веб-сайту и заражением Pegasus] может быть вопросом миллисекунд”.
Однако этот метод сложнее выполнить, чем атаковать телефон с помощью вредоносного URL-адреса или эксплойта с нулевым кликом, поскольку использование мобильного телефона цели должно контролироваться до момента, когда ее интернет-трафик не будет защищен. Обычно это делается через оператора мобильной связи объекта, к которому некоторые правительства могут получить доступ или контролировать его.
Однако такая зависимость затрудняет или делает невозможным для правительств нацеливание на людей за пределами их юрисдикции. Эксплойты с нулевым кликом не сталкиваются с такими ограничениями, что лежит в основе их популярности.
От «Нулевого пациента» — след улик
Технологическая команда Amnesty International проанализировала данные с десятков мобильных телефонов, которые, как подозревают, были нацелены клиентами NSO Group. Чтобы обнаружить Pegasus на устройстве, команда сначала ищет наиболее очевидную поддавку – наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки приведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон – так называемая инфраструктура компании.
“АНБ допустило оперативные ошибки в создании инфраструктуры, которую они используют для проведения атак”, — сказал Гварньери. В первом случае – так называемом “нулевом пациенте”-эта сетевая инфраструктура “связана с корпоративной инфраструктурой [НСУ]”.
NSO Group также, по-видимому, изначально использовала серию поддельных учетных записей электронной почты для создания большей части своей инфраструктуры. Обнаружение одной из этих учетных записей, связанной с доменом, является дополнительным доказательством того, что она принадлежит группе NSO.
«Нулевым пациентом” был правозащитник из Объединенных Арабских Эмиратов по имени Ахмед Мансур. В 2016 году Citizen Lab обнаружила, что телефон Мансура был взломан с помощью вредоносных ссылок, предлагающих “новые секреты” о пытках, проводимых властями ОАЭ. Гражданская лаборатория смогла показать, что сообщения пришли от Пегаса.
“Всегда найдутся улики, которые приведут нас к самому первому пациенту ноль, — сказал Гварньери.
Помимо обнаружения ссылок на сетевую инфраструктуру NSO, команда Amnesty увидела сходство в вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них – так называемый Плацдарм, или BH – постоянно появляется на протяжении всего вредоносного ПО, вплоть до телефона Мансура.
Гуарньери говорит, что он скачал все версии iOS, выпущенные с 2016 года, чтобы проверить, были ли процессы, которые он находил на зараженных устройствах, законными. Ни один из процессов, обнаруженных его командой, на самом деле не был выпущен Apple.
“Мы знаем, что эти процессы не являются законными – они злонамеренны. Мы знаем, что это процессы Pegasus, потому что они подключаются к сетевой инфраструктуре, которую мы видели”, — сказал Гуарньери. На зараженных устройствах команда Amnesty наблюдала четкую последовательность: “посещался веб-сайт, приложение выходило из строя, некоторые файлы изменялись, и все эти процессы выполнялись в считанные секунды или даже миллисекунды. Существует непрерывность уникальности процессов, которые мы видим во всех этих случаях, которые мы проанализировали. Я не сомневаюсь, что перед нами Пегас.
https://www.occrp.org/en/the-pegasus-project/how-does-pegasus-work
Post Views: 218
