Selgitatud: kuidas Pegasuse nuhkvara seadet nakatab; millised andmed võivad ohtu sattuda

Projekt Pegasus: Iisraeli nuhkvara, mida on selgunud, et seda on kasutatud sadade telefonide sihtimiseks Indias, on muutunud vähem sõltuvaks klikkidest. Pegasus võib nakatada seadet ilma sihtmärgi kaasamise või teadmata.

Pegasus on NSO Groupi lipulaev (Expressi illustratsioon)

Novembris 2019 pildistas New Yorgi tehnikareporter Pariisi sisejulgeolekumessil Milipolis välja pandud pealtkuulamisseadet. Eksponent NSO Group paigutas riistvara kaubiku taha, mis viitab võib-olla kaasaskantavuse mugavusele, ja ütles, et see ei tööta USA telefoninumbritel, võib-olla ettevõtte enda kehtestatud piirangu tõttu.

Alates Iisraeli küberhiiglase asutamisest 2010. aastal oli see tõenäoliselt esimene kord, kui NSO valmistatud kaasaskantav baastransiiverjaam (BTS) kajastati meediaaruandes.

BTS ehk „petturitest mobiilitorn” või „IMSI Catcher” või „stingray” kehastab seaduslikke mobiilsidemaste ja sunnib raadiuses olevaid mobiiltelefone sellega ühendust looma, nii et ründaja saab pealtkuulatud liiklust manipuleerida. 2019. aastal pildistatud BTS koosnes horisontaalselt virnastatud kaartidest, mis tõenäoliselt võimaldasid pealtkuulamist mitme sagedusriba kaudu.

Teine võimalus on võimendada juurdepääsu sihtmärgi mobiilioperaatorile endale. Selle stsenaariumi korral ei vajaks ründaja võltsitud mobiilitorni, vaid loodab manipuleerimiseks tavalise võrguinfrastruktuuri.

Mõlemal juhul on võimalus käivitada võrgusüsti rünnakuid, mida tehakse kaugjuhtimisega ilma sihtmärgi kaasamiseta (seega ka nimetatakse nullklõpsuks ) või teadmised —annud Pegasus , NSO Groupi lipulaev, mis on ainulaadne eelis oma konkurentide ees globaalsel nuhkvaraturul.

Pegasus on nüüd ülemaailmse koostööprojekti keskmes, mille käigus leiti, et nuhkvara kasutati muu hulgas sadu mobiiltelefone Indias .

Mille poolest erineb Pegasus muust nuhkvarast?

Pegasus ehk Q Suite, mida turustab NSO Group ehk Q Cyber ​​Technologies kui maailma juhtivat küberluurelahendust, mis võimaldab õiguskaitseorganitel ja luureagentuuridel kaug- ja varjatult andmeid peaaegu kõigist mobiilseadmetest välja võtta, töötasid välja Iisraeli luureagentuuride veteranid.

Kuni 2018. aasta alguseni toetusid NSO Groupi kliendid peamiselt SMS-i ja WhatsAppi sõnumitele, et meelitada sihtmärke avama pahatahtlikku linki, mis tooks kaasa nende mobiilseadmete nakatumise. Pegasuse brošüüris kirjeldati seda kui täiustatud sotsiaaltehnoloogia sõnumit (ESEM). Kui klõpsatakse ESEM-vormingus pakitud pahatahtlikul lingil, suunatakse telefon serverisse, mis kontrollib operatsioonisüsteemi ja edastab sobiva kaugkasutamise.

Amnesty International dokumenteeris oma 2019. aasta oktoobri aruandes esmakordselt 'võrgusüstide' kasutamise, mis võimaldas ründajatel nuhkvara installida, ilma et oleks vaja sihtmärgilt mingit sekkumist. Pegasus suudab selliseid nullklõpsuga installatsioone saavutada mitmel viisil. Üks õhu kaudu (OTA) võimalus on saata varjatud tõuketeade, mis paneb sihtseadme nuhkvara laadima, kusjuures sihtmärk pole installimisest teadlik, mille üle tal nagunii kontrolli ei ole.

See, Pegasuse brošüür, on NSO unikaalsus, mis eristab oluliselt Pegasuse lahendust mis tahes muust turul saadaolevast nuhkvarast.

Millised seadmed on haavatavad?

Praktiliselt kõik seadmed. iPhone'idele on Pegasus laialdaselt sihitud Apple'i vaikerakenduse iMessage ja selle aluseks oleva Push Notification Service (APN-ide) protokolli kaudu. Nuhkvara võib esineda iPhone'i allalaaditud rakendusena ja edastada end Apple'i serverite kaudu push-teadetena.

2016. aasta augustis teatas Toronto ülikooli interdistsiplinaarne labor Citizen Lab küberturbefirmale Lookout Pegasuse olemasolust ja need kaks märkisid Apple'i ohu. 2017. aasta aprillis avaldasid Lookout ja Google üksikasjad Pegasuse Androidi versiooni kohta.

2019. aasta oktoobris süüdistas WhatsApp NSO Groupi oma videokõnede funktsiooni haavatavuse ärakasutamises. Kasutaja saab videokõne, kuid see ei olnud tavaline kõne. Pärast telefoni helisemist edastas ründaja salaja pahatahtlikku koodi, püüdes ohvri telefoni nuhkvaraga nakatada. Inimene ei pidanud isegi kõnele vastama, ütles WhatsAppi juht Will Cathcart.

2020. aasta detsembris märgiti Citizen Labi aruandes, kuidas valitsuse töötajad kasutasid Pegasust 2020. aasta juulis-augustis Al Jazeera ja Londonis asuva Al Araby TV ajakirjanikele, produtsentidele, ankrutele ja juhtidele kuulunud 37 telefoni häkkimiseks, kasutades ära nullpäeva ( arendajatele tundmatu haavatavus) vähemalt iOS 13.5.1 vastu, mis võib häkkida Apple'i tolleaegse uusima iPhone 11. Kuigi rünnak iOS 14 ja uuemate versioonide vastu ei toiminud, oli aruande kohaselt täheldatud nakkuste arv tõenäoliselt väike osa koguarvust. rünnakud, arvestades NSO Groupi kliendibaasi ülemaailmset levikut ja peaaegu kõigi iPhone'i seadmete ilmset haavatavust enne iOS 14 värskendust.

Kas nuhkvara satub alati mis tahes seadmesse, mida see sihib?

Tavaliselt peab ründaja võrgusüstimiseks Pegasuse süsteemile sisestama ainult sihttelefoninumbri. Ülejäänu teeb süsteem automaatselt, öeldakse Pegasuse brošüüris, ja enamikul juhtudel on nuhkvara installitud.

Mõnel juhul ei pruugi võrgusüstid siiski töötada. Näiteks kauginstallimine nurjub, kui sihtseadet NSO-süsteem ei toeta või selle operatsioonisüsteemi täiendatakse uute turbekaitsetega.

Ilmselt on üks viis Pegasuse eest kõrvale hiilimiseks muuta telefoni vaikebrauserit. Pegasuse brošüüri kohaselt ei toeta süsteem installimist muudest brauseritest peale seadme vaikeseadete (ja ka Chrome'i Android-põhiste seadmete jaoks).

Kõigil sellistel juhtudel installimine katkestatakse ja sihtseadme brauser kuvab ettemääratud kahjutu veebilehe, nii et sihtmärk ei aima ebaõnnestunud katsest. Järgmisena langeb ründaja tõenäoliselt ESEM-i klikipeibutusse. Kui kõik muu ebaõnnestub, saab Pegasuse käsitsi süstida ja installida vähem kui viie minutiga, kui ründaja saab sihtseadmele füüsilise juurdepääsu.

Millist teavet saab kahjustada?

Pärast nakatumist saab telefonist digitaalne spioon, mis on ründaja täieliku kontrolli all.

Paigaldamisel võtab Pegasus ühendust ründaja käsu- ja juhtimisserveritega, et saada ja täita juhiseid ning saata tagasi sihtmärgi privaatsed andmed, sealhulgas paroolid, kontaktide loendid, kalendrisündmused, tekstisõnumid ja reaalajas häälkõned (isegi need, mis toimuvad otsekõnede kaudu). -lõpu krüptitud sõnumsiderakendused). Ründaja saab juhtida telefoni kaamerat ja mikrofoni ning kasutada sihtmärgi jälgimiseks GPS-i funktsiooni.

Et vältida ulatuslikku ribalaiuse tarbimist, mis võib sihtmärki hoiatada, saadab Pegasus C&C serverisse ainult ajastatud värskendusi. Nuhkvara on loodud kohtuekspertiisi analüüsist kõrvalehoidmiseks, viirusetõrjetarkvara tuvastamise vältimiseks ning ründaja saab selle vajaduse korral desaktiveerida ja eemaldada.

Milliseid ettevaatusabinõusid saab võtta?

Teoreetiliselt võib tark küberhügieen kaitsta ESEM-i söötade eest. Kuid kui Pegasus kasutab ära telefoni operatsioonisüsteemi haavatavust, ei saa võrgusüsti peatamiseks midagi teha. Mis veelgi hullem, inimene ei saa sellest isegi teadlikuks, kui seadet digitaalses turvalaboris ei skannita.

Üleminek arhailisele telefonitorule, mis võimaldab ainult tavalisi kõnesid ja sõnumeid, piirab kindlasti andmetega kokkupuudet, kuid ei pruugi nakatumisohtu märkimisväärselt vähendada. Samuti jäävad haavatavaks kõik e-kirjade ja rakenduste jaoks kasutatavad alternatiivsed seadmed, välja arvatud juhul, kui keegi loobub nende oluliste teenuste kasutamisest.

Seetõttu on parim, mida saab teha, olla kursis iga seadmetootjate välja antud operatsioonisüsteemi värskenduse ja turvapaigaga ning loota, et nullpäeva rünnakud muutuvad harvemaks. Ja kui teil on eelarvet, on telefoni korrapärane vahetamine võib-olla kõige tõhusam, kui kulukas abinõu.

Kuna nuhkvara asub riistvaras, peab ründaja uue seadme edukalt nakatama iga kord, kui seade muutub. See võib tekitada nii logistilisi (kulu) kui ka tehnilisi (turvavärskendus) väljakutseid. Välja arvatud juhul, kui ollakse vastamisi piiramatute ressurssidega, mida tavaliselt seostatakse riigivõimuga.

Jagage Oma Sõpradega: