Pegasus– jest to nazwa prawdopodobnie najpotężniejszego oprogramowania szpiegowskiego, jakie kiedykolwiek stworzono – z pewnością przez prywatną firmę. Po przedostaniu się na telefon użytkownika, niezauważone przez niego, może zamienić go w urządzenie do całodobowej inwigilacji. Może kopiować wysyłane i otrzymywane wiadomości, zbierać zdjęcia i nagrywać rozmowy. Może potajemnie filmować Cię przez kamerę telefonu lub aktywować mikrofon, aby nagrywać Twoje rozmowy. Potencjalnie może ustalić, gdzie jesteś, gdzie byłeś i kogo spotkałeś.
Pegasus to oprogramowanie hakerskie – lub szpiegowskie – które jest opracowywane, sprzedawane i licencjonowane rządom na całym świecie przez izraelską firmę NSO Group. Potrafi ono zainfekować miliardy telefonów z systemami operacyjnymi iOS lub Android.
Jak Pegasus trafia na nasze urządzenia?
Najwcześniejsza odkryta wersja Pegasusa, która została przechwycona przez badaczy w 2016 r., infekowała telefony za pomocą tzw. spear-phishingu – wiadomości tekstowych lub e-maili, które podstępnie nakłaniają cel do kliknięcia złośliwego linku.
Jednak od tego czasu możliwości ataku NSO stały się bardziej zaawansowane. Infekcje Pegasusem można osiągnąć za pomocą tzw. ataków „zero-click”, które nie wymagają żadnej interakcji ze strony właściciela telefonu, aby odnieść sukces. Często wykorzystują one luki typu „zero-day„, czyli wady lub błędy w systemie operacyjnym, o których producent telefonu komórkowego jeszcze nie wie, a więc nie zdążył ich naprawić.
W 2019 roku WhatsApp ujawnił, że oprogramowanie NSO zostało wykorzystane do wysłania złośliwego oprogramowania na ponad 1400 telefonów poprzez wykorzystanie luki zero-day. Wystarczyło nawiązać połączenie z urządzeniem docelowym za pomocą aplikacji WhatsApp, aby zainstalować na nim złośliwy kod Pegasus, nawet jeśli osoba docelowa nigdy nie odebrała połączenia. Niedawno NSO zaczęło wykorzystywać luki w oprogramowaniu iMessage firmy Apple, dzięki czemu uzyskało dostęp typu backdoor do setek milionów iPhone’ów. Firma Apple twierdzi, że nieustannie aktualizuje swoje oprogramowanie, aby zapobiegać takim atakom.
Jak wykryć Pegasusa?
Techniczna wiedza na temat Pegasusa oraz sposobów odnajdywania śladów pozostawianych przez niego na telefonie po udanej infekcji została poszerzona dzięki badaniom Claudio Guarnieriego, który kieruje Laboratorium Bezpieczeństwa Amnesty International w Berlinie.
„Ataki stają się o wiele bardziej skomplikowane do zauważenia przez cele” – powiedział Guarnieri, który wyjaśnił, że klienci NSO w dużej mierze zrezygnowali z podejrzanych wiadomości SMS na rzecz bardziej subtelnych ataków typu „zero kliknięć”.
Dla firm takich jak NSO, wykorzystywanie oprogramowania, które jest domyślnie zainstalowane na urządzeniach, jak iMessage, lub jest bardzo szeroko stosowane, jak WhatsApp, jest szczególnie atrakcyjne, ponieważ drastycznie zwiększa liczbę telefonów komórkowych, które Pegasus może skutecznie zaatakować.
Jako partner techniczny projektu Pegasus, międzynarodowego konsorcjum organizacji medialnych, w tym Guardiana, laboratorium Amnesty odkryło ślady udanych ataków przeprowadzonych przez klientów Pegasusa na iPhone’y z aktualnymi wersjami systemu iOS firmy Apple. Ataki zostały przeprowadzone dopiero w lipcu 2021 roku.
Analiza kryminalistyczna telefonów ofiar wykazała również dowody sugerujące, że ciągłe poszukiwanie słabych punktów przez NSO mogło objąć również inne powszechnie używane aplikacje. W niektórych przypadkach przeanalizowanych przez Guarnieriego i jego zespół można zaobserwować szczególny ruch sieciowy związany z aplikacjami Zdjęcia i Muzyka firmy Apple w czasie infekcji, co sugeruje, że NSO mogło zacząć wykorzystywać nowe luki w zabezpieczeniach.
W przypadku, gdy nie powiodą się ani ataki typu spear-phishing, ani zero-click, Pegasus może zostać zainstalowany za pomocą bezprzewodowego nadajnika znajdującego się w pobliżu celu lub, zgodnie z broszurą NSO, po prostu zainstalowany ręcznie, jeśli agentowi uda się ukraść telefon celu.
Po zainstalowaniu w telefonie Pegasus może pobrać mniej lub bardziej dowolne informacje lub wyodrębnić dowolny plik. Przeszukiwane mogą być wiadomości SMS, książki adresowe, historia połączeń, kalendarze, e-maile i historie przeglądania Internetu.
„Gdy iPhone jest zagrożony, odbywa się to w sposób, który pozwala atakującemu uzyskać tzw. przywileje roota, czyli uprawnienia administracyjne na urządzeniu” – powiedział Guarnieri. „Pegasus może zrobić więcej niż to, co może zrobić właściciel urządzenia”.
Prawnicy NSO twierdzili, że raport techniczny Amnesty International to domysły, opisując go jako „kompilację spekulacji i bezpodstawnych założeń”. Nie zakwestionowali jednak żadnego z jego szczegółowych ustaleń czy wniosków.
Pegasus- jak się przed nim bronić?
NSO włożyło wiele wysiłku w to, aby jego oprogramowanie było trudne do wykrycia, a infekcje Pegasusem są obecnie bardzo trudne do zidentyfikowania. Badacze bezpieczeństwa podejrzewają, że nowsze wersje Pegasusa zamieszkują jedynie pamięć tymczasową telefonu, a nie jego dysk twardy, co oznacza, że po wyłączeniu telefonu praktycznie znikają wszelkie ślady po oprogramowaniu.
Jednym z najpoważniejszych wyzwań, jakie Pegasus stawia przed dziennikarzami i obrońcami praw człowieka, jest fakt, że oprogramowanie wykorzystuje nieodkryte luki w zabezpieczeniach, co oznacza, że nawet najbardziej dbający o bezpieczeństwo użytkownik telefonu komórkowego nie jest w stanie zapobiec atakowi.
„To pytanie zadawane mi prawie za każdym razem, gdy przeprowadzamy z kimś badania kryminalistyczne: ’Co mogę zrobić, aby to się nie powtórzyło?’„ – powiedział Guarnieri. „Prawdziwa szczera odpowiedź brzmi: nic”.