Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить
Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.
Читайте «Хайтек» в
Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android.
Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности.
Разработчик также утверждает, что внимательно относится к правам человека.
Возможности ПО Pegasus
Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру.
Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона.
Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.
Скандал с массовой слежкой ПО Pegasus
В июле 2021 года в прессе появились сообщения о том, авторитарные режимы используют Pegasus для взлома телефонов правозащитников, оппозиционных журналистов и юристов.
В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.
Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:
В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.
По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:
По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.
NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.
В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.
Как действует ПО Pegasus
Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.
Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.
Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.
Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.
Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.
Так Pegasus проникал в большинство систем обмена сообщениями, например:
Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.
При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.
Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.
Как понять заражено ли устройство
Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.
Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.
На зараженных устройствах наблюдается четкая последовательность:
Читает WhatsApp и Telegram: что известно о скандальной Pegasus
В мире вспыхнул новый скандал с массовой слежкой за политиками, журналистами и общественниками. Взломом смартфонов занималась целая группа государств. Программу Pegasus, которая позволила получить доступ к мобильным устройствам, разработали бывшие специалисты израильской армии. Формально для борьбы с террористами, но на деле оказалось, что ее широко применяли не по прямому назначению.
На след Pegasus вышла международная группа журналистов. Оказалось, обширная слежка велась как минимум в 10 странах. Среди них Мексика, Индия, Израиль, Казахстан, Эмираты, Саудовская Аравия, Венгрия.
Сабольч Паньи, журналист Венгерской аналитической группы Direkt36: «В этой истории фигурируют 50 тысяч телефонных номеров. Среди них мы выделили номера почти 200 журналистов. К сожалению, и я был среди них. Я пишу о дипломатии, внешней политике, коррупции, о нацбезопасности Венгрии. Я занимаюсь журналистскими расследованиями, поэтому у меня есть конфиденциальные источники, которые предоставляют мне правительственные документы о взаимодействии, например, с Китаем, Россией, США. Анализ моего телефона показывает, что за мной следили дольше 7 месяцев».
Яков Кедми, эксперт, израильской спецслужбы: «Она позволяет проникнуть во все виды связи. Она читает и WhatsApp, и Viber, и Telegram. Все виды связи, которые объявлены непроницаемыми, она в считаные минуты вскрывает и позволяет прочитать все, что пишется и было написано. Даже стертые сообщения».
Pegasus был создан частной компаний NSO, бывшими сециалистами Армии обороны Израиля по радиоэлектронной разведке. Изначально программу использовали для выявления террористов и криминальных группировок, но затем израильтяне начали продавать ее за рубеж, правда, с рядом оговорок.
Яков Кедми, эксперт, израильской спецслужбы: «Как правило, по разрешению министерства обороны Израиля и под контролем министерства иностранных дел эти программы продаются государствам. Причем эти государства должны отвечать определенным стандартам и соответствовать международному положению и связям Израиля».
Так, например, программу никогда не продадут Ирану, Северной Корее, а также, по настоятельной просьбе США, Китаю и России. Вопрос сферы применения данного вида кибероружия на деле остается на совести покупателя. Во многих странах власти развернули слежку за оппозицией и независимыми СМИ. По данным журналистов, отслеживание одного человека через Pegasus обходится в десятки тысяч долларов.
Программа пегас что это такое
Фото: Александр Подгорчук / Коммерсант
Если зайти на официальный сайт израильской NSO Group, можно узнать, что компания занимается «киберразведкой в интересах глобальной безопасности и стабильности». Если же открыть сегодня крупнейшие мировые СМИ, можно выяснить, что за этой формулировкой скрывается куда более банальная торговля программами для взлома смартфонов неугодных журналистов и активистов. «Медиазона» кратко пересказывает результаты масштабного расследования взломов NSO Group, в котором приняли участие полтора десятка крупнейших мировых изданий.
Журналисты ведущих мировых изданий и специалисты по кибербезопасности проверяли список из 50 тысяч телефонных номеров, который оказался в распоряжении парижской некоммерческой организации Forbidden Stories и правозащитников из Amnesty International.
Смартфоны граждан различных государств могли быть взломаны при помощи программного комплекса Pegasus разработки NSO Group; программа дает практически полный доступ к памяти и функциям устройства, то есть позволяет удаленно читать переписки, передавать данные о местоположении, включать камеру или микрофон.
Основной вывод: по меньшей мере 37 раз власти различных стран заказывали взлом смартфонов журналистов, правозащитников, бизнесменов и близких к ним людей.
Pegasus позволяет взламывать айфоны со всеми последними обновлениями без какого-либо участия жертвы: не нужно ни открывать ссылки, ни вводить где бы то ни было пароли. Скорее всего, NSO Group использует различные уязвимости мобильных приложений, но Amnesty International удалось подтвердить использование бага в мессенджере iMessage.
Что такое NSO Group?
Израиль — мировой лидер по числу стартапов, и крупнейшим направлением инвестиций там стали IT-разработки, в том числе так или иначе связанные с военным сектором. «Множество отставных специалистов компьютерных и телекоммуникационных подразделений израильской армии успешно реализовывают смелые идеи, применяя военные технологии для развития стартапов», — поясняет депутат Кнессета Идал Ролл.
NSO Group основали по той же схеме: в 2009 году на фоне развития рынка смартфонов бывшие военные из подразделения 8200, занимающегося радиоэлектронной разведкой, решили разработать программный комплекс для удаленного взлома. Предполагается, что программный комплекс Pegasus «дает полномочным органам власти технологии, помогающие бороться с терроризмом и преступностью».
Впервые о Pegasus заговорили в 2016 году, когда журналист и правозащитник Ахмед Мансур получил по смс ссылку на «новые секреты» о пытках в ОАЭ. Мансур заподозрил неладное и связался с IT-экспертами из канадской Citizen Lab, которые проверили ссылку и обнаружили за ней код, позволяющий удаленно взломать iPhone адресата при помощи нескольких 0-day уязвимостей и предоставить полный доступ к функциям и памяти устройства.
К 2018 году исследователи зафиксировали взломы, для которых использовали Pegasus, в 45 странах — от Мексики, где ловили наркобарона Коротышку и заодно прослушивали журналистов, до Индии, где премьер Нарендра Моди укреплял «вертикаль власти». С российскими властями, по крайней мере по данным Citizen Lab, израильтяне не сотрудничали.
На следующий год NSO Group ждал новый громкий скандал: разработчики мессенджера WhatsApp заметили уязвимость, которая позволяла установить Pegasus — в NSO использовали баг в коде мессенджера, чтобы позвонить жертве и установить шпионскую программу, даже если та не ответит на звонок. Владеющая мессенджером корпорация Facebook обратилась в суд; в NSO парировали, что Facebook сам вел переговоры о покупке доступа к Pegasus.
Формально экспорт технологий двойного назначения контролируется израильским Минобороны, однако ведомство не слишком внимательно следит за успешными стартапами, поэтому они оказываются в центре скандалов из-за работы с правительствами, не заинтересованными в соблюдении свободы слова или прав человека.
Акция протеста против убийства Джамаля Хашогджи в Стамбуле. Фото: Emrah Gurel / AP
Что произошло?
Список из 50 тысяч номеров, оказавшийся в распоряжении правозащитников, не содержит имен, но журналистам удалось идентифицировать более тысячи их владельцев из более чем 50 государств: это члены королевских семей арабских стран, десятки бизнесменов и топ-менеджеров, 85 правозащитников, 189 журналистов мировых СМИ и более 600 политиков и чиновников.
Чтобы подтвердить факт взлома, исследователи Amnesty International осмотрели 67 смартфонов, чьи владельцы упоминались в списке из 50 тысяч номеров и явно не были причастны к террористической деятельности. Из них 23 были успешно инфицированы Pegasus, еще на 14 обнаружены следы попыток проникновения. Остальные 30, по всей видимости, были куплены владельцами уже после заказа на взлом; 15 из этих телефонов были устройствами на ОС Android, которая не записывает телеметрию, на которую опирались исследователи для фиксации факта успешного заражения.
NSO Group отчитывается, что поставляет свою технологию 60 силовым структурам из 40 государств, но не называет их. Изучая группы телефонных номеров в слитой базе жертв Pegasus, исследователи пришли к выводу, что взломы заказывали власти Азербайджана, Бахрейна, Венгрии, Индии, Казахстана, Мексики, Марокко, Руанды, Саудовской Аравии и ОАЭ.
Лидером по числу заказанных номеров оказалась Мексика — 15 тысяч. В списке есть политики, представители профсоюзов, журналисты и оппозиционеры. Существенная доля номеров из базы пришлась на Ближний Восток; в Индии в списке оказались телефоны сотен журналистов, активистов и оппозиционных политиков.
В 2018 году после гибели активиста Джамаля Хашогджи — его заманили в консульство Саудовской Аравии в Стамбуле, убили и расчленили — в NSO Group заявили, что саудовские спецслужбы не использовали их программу. Расследование показало, что это не так: Pegasus использовали для взлома телефонов двух близких к нему женщин — жены и невесты.
Венгерские власти заинтересовались номерами по меньшей мере десяти адвокатов, оппозиционера и пятерых журналистов. Телефон известного репортера Сабольча Паньи при обследовании оказался неоднократно инфицированным, причем даты заражения совпадали с датами запросов, которые Пани направлял правительственным чиновникам по чувствительным темам.
Сама NSO Group через юристов сообщила, что 50 тысяч жертв — «преувеличенное число», выводы о масштабных взломах некорректны, а база номеров могла быть собрана при помощи не связанных со взломами функций Pegasus.
«А вы задали те же вопросы властям США, Великобритании, Германии или Франции? Если да, то как долго пришлось ждать ответа — и как они ответили? Помогала ли вам составлять вопросы какая-нибудь разведка?» — таким списком встречных вопросов ответила пресс-служба венгерского правительства на попытку журналистов Guardian получить комментарий к статье.
«Более самоизобличающего ответа на запрос о комментарии я в жизни не видел», — возмущается Эдвард Сноуден, но пишет это из России, где государственный вотэбаутизм отработан до совершенства годами советской и постсоветской практики.
Редактор: Дмитрий Трещанин
Оформите регулярное пожертвование Медиазоне!
Программа «Пегас», разработанная израильской шпионской фирмой использовано для обнаружения опасных преступников
Продажи шпионского программного обеспечения, такого как Pegasus(Пегас), называют «вызовом» для демократий; NSO Group способствует государственному террору», в которой подробно рассказывается о деятельности израильского стартапа NSO Group
Израильский наблюдатель за демократией заявил, что Израилю необходимо «умное регулирование», чтобы гарантировать, что спорное программное обеспечение, такое как «Pegasus», разработанное израильской шпионской фирмой NSO Group, может быть использовано для обнаружения опасных преступников без ущерба для прав человека.
Доктор Техилла Шварц Альтшулер, директор программы «Демократия в информационную эпоху» Израильского института демократии, заявила в своем заявлении, что «регулирование программ двойного назначения, таких как Пегас, представляет собой сложную проблему для демократических стран, таких как Израиль.
«Хотя нет сомнений в том, что правоохранительные органы во всем мире используют эту технологию для поимки опасных преступников, утверждения о том, что технология NSO использовалась для подавления инакомыслия и отслеживания лиц, критикующих правительства, действительно вызывают беспокойство», — сказал Шварц Альтшулер.
«Если Израиль хочет обеспечить, чтобы транснациональные технологические компании продолжали инвестировать и участвовать в местной экосистеме, — добавила она, — тогда жизненно важно принять разумные правила, позволяющие использовать и продавать эти высокоэффективные технологии, в то же время обеспечение того, чтобы, попав в руки иностранного правительства, они не использовались для нанесения ущерба правам и свободам невинных людей ».
В ходе углубленного расследования 17 крупных международных новостных организаций, опубликованных в воскресенье, утверждается, что израильская фирма по кибербезопасности NSO Group продала вредоносное ПО для мобильных телефонов, которое в основном использовалось для нацеливания на журналистов, активистов и политиков в десятках стран.
Пегас может взламывать мобильные телефоны без ведома пользователя, позволяя клиентам читать каждое сообщение, отслеживать местоположение пользователя и незаметно подключаться к камере и микрофону телефона.
Президент Франции Эммануэль Макрон созвал срочное совещание по вопросам национальной безопасности в четверг, чтобы обсудить израильское шпионское ПО Pegasus после того, как на этой неделе появились сообщения о его использовании во Франции, сообщил официальный представитель правительства.
Израиль создает комиссию для рассмотрения утверждений о неправомерном использовании вызывающего споры программного обеспечения Pegasus для наблюдения за телефонными разговорами от NSO Group, заявил в четверг депутат Кнессета Рам Бен-Барак, глава комитета Кнессета по иностранным делам и обороне.
В марте прошлого года Microsoft отказалась от инвестиций в AnyVision, стартап по распознаванию лиц, который, как сообщается, сканирует лица на израильских военных контрольно-пропускных пунктах, хотя технический гигант не смог обосновать утверждения о том, что технология стартапа используется неэтично.
Ранее в этом месяце AnyVision заявила, что привлекла 235 миллионов долларов от инвесторов, включая SoftBank Vision Fund 2 и Eldridge.
В заявлении AnyVision говорится, что эта инвестиция является одним из крупнейших раундов финансирования в области визуальной разведки на западных рынках.
Pegasus: тотальная слежка на iOS и Android
Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства.
Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.
Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.
На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.
Pegasus: начало, или Лошадь в яблоках
О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.
Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.
Если у вас нет паранойи, это не значит, что Apple за вами не следит. Вырубаем слежку в iOS: https://t.co/u7FDQU6BsR pic.twitter.com/N45Tjtuuh9
Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.
В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.
Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android
Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).
«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.
Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.
Скорее всего, вы вне опасности, но…
Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.
Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.
Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:
