Программа pegas что это

Содержание

Специалисты Google объяснили принцип работы шпионского ПО Pegasus — оно взламывало iPhone без участия пользователя Статьи редакции

«Это один из самых технически сложных эксплойтов, которые мы когда-либо видели», заявили эксперты.

24 790 просмотров

В июле 2021 года мировые СМИ сообщили о шпионском программном обеспечении Pegasus, которое следило за пользователями iOS и Android в течение нескольких лет. Целями вируса называются предприниматели, активисты, политики и журналисты, а разработчиком — израильская технологическая компания NSO Group.

Специалисты по кибербезопасности из команды Google Project Zero получили доступ к эксплойту под названием ForcedEntry («Принудительный вход»), проанализировали его и назвали одним из самых изощрённых в истории.

Метод не требует взаимодействия с пользователем и предназначен для взлома iPhone, хотя эксперты отмечают, что NSO Group продаёт аналогичные программы и для устройств на базе Android.

Атака начинается с обычного сообщения в iMessage. Для этого достаточно знать лишь номер телефона или Apple ID жертвы. Мессенджер имеет встроенную поддержку GIF-файлов, но чтобы «гифки» воспроизводились не один раз, а циклились, Apple предусмотрела отдельный конвейер обработки.

ПРОЕКТ PEGASUS – ШПИОН, КОТОРЫЙ ПОБЕЖДАЕТ ИНАКОМЫСЛЯЩИХ [netstalkers]

[IMGIFUtils copyGifFromPath:toDestinationPath:error]

Примечательно, что метод вызывается не в изолированной среде BlastDoor, которая отвечает за приём входящих сообщений, а в процессе IMTranscoderAgent. Парсер CoreGraphics преобразует исходный GIF-файл в новый, а системная библиотека ImageIO проверяет его текстовое расширение — но не реальный формат.

Это позволяет злоумышленникам отправить поддельный файл с припиской .gif — например PDF, который поддерживает запуск JavaScript. Apple предусмотрела защиту от выполнения кода, но NSO Group удалось обойти и её.

Для этого хакеры добавили в PDF картинки в формате JBIG2 — стандарта 90-х годов для принтеров, сканеров и копиров, который позволяет сжимать чёрно-белые изображения.

Кодировщик JBIG ищет похожие области пикселей (например, одни и те же буквы) и группирует их вместе, после чего алгоритм сжатия заменяет все такие области одной картинкой, экономя место.

Принцип сжатия JBIG2

Всё бы ничего, но в такой схеме обнаружилась существенная проблема: кодировщик мог перепутать похожие символы, в результате чего исходные данные искажались в процессе декомпрессии.

Чтобы это предотвратить, в формат добавили сжатие без потерь. JBIG2 стал хранить разницу между символами (как на картинке ниже), а для воссоздания первоначального изображения обращаться к использованию логических операторов, вроде AND, OR, XOR и XNOR.

Использование оператора XOR (исключающее «или») для вычисления исходного изображения

Несмотря на то, что большая часть кода CoreGraphics написана программистами Apple, реализацию JBIG2 взяли из открытых источников. Декодер полагается на 19 типов сегментов, которые представляют собой прямоугольные массивы пикселей.

Pegasus — идеальный кибершпион. Проверь свой Android/iPhone 🔥

Путём тщательной обработки контекстно-зависимой части декомпрессора, злоумышленникам удалось переполнить часть сегментов, перезаписать указатели, получить доступ к логическим операциям и выйти за пределы буфера.

Схема памяти

Эксплойт содержит более 70 тысяч сегментных команд — это напоминает виртуальный процессор с регистрами, сумматором и компаратором. Операции выполняются не так быстро, как в случае с JavaScript, но приводят к желаемому результату — полному контролю над системой.

Стоит отметить, что Apple исправила уязвимости парсера CoreGraphics в сентябрьском обновлении iOS 14.8 и убрала ссылки на IMTranscoderAgent в iOS 15 — теперь «гифки» действительно обрабатываются в изолированной среде.

В ноябре компания подала в суд на NSO Group, назвав причастных к вредоносному ПО «злоумышленниками, спонсируемыми государством» и проинформировала пользователей о возможной слежке.

Источник: dtf.ru

Проект «Пегас». Как общественность узнала про NSO Group и ее спайварь

В середи­не июня 2021 года пра­воза­щит­ная орга­низа­ция Amnesty International, неком­мерчес­кий про­ект Forbidden Stories, а так­же более 80 жур­налис­тов кон­сорци­ума из 17 меди­аор­ганиза­ций в десяти стра­нах мира опуб­ликова­ли резуль­таты сов­мес­тно­го рас­сле­дова­ния, которо­му дали наз­вание про­ект «Пегас».

Проект «Пегас»

Спе­циалис­ты упо­мяну­тых орга­низа­ций заяви­ли, что обна­ружи­ли мас­штаб­ные зло­упот­ребле­ния шпи­онским ПО, соз­данным изра­иль­ской ком­пани­ей NSO Group. Сог­ласно отче­ту, спай­варь ком­пании активно при­меня­ется для наруше­ния прав челове­ка и для наб­людения за полити­ками, акти­вис­тами, жур­налис­тами и пра­воза­щит­никами по все­му миру.

Речь идет о небезыз­вес­тной мал­вари Pegasus, которую впер­вые обна­ружи­ли еще в 2016 году. В пос­леду­ющие годы ИБ‑спе­циалис­ты про­дол­жали на­ходить все но­вые инци­ден­ты с исполь­зовани­ем Pegasus и кри­тико­вать NSO Group за то, что ком­пания про­дает свои решения пра­витель­ствам и спец­служ­бам по все­му миру (зачас­тую стра­нам с реп­рессив­ными режима­ми), хотя исполь­зование мал­вари в ито­ге не задоку­мен­тирова­но прак­тичес­ки никем и ниг­де.

Pegasus пред­назна­чен для шпи­она­жа и спо­собен собирать с устрой­ств на базе iOS и Android тек­сто­вые сооб­щения, информа­цию о при­ложе­ниях, под­слу­шивать вызовы, отсле­живать мес­тополо­жение, похищать пароли и так далее.

«Шпи­онское ПО NSO Group явля­ется излюблен­ным ору­жием реп­рессив­ных режимов, стре­мящих­ся зас­тавить замол­чать жур­налис­тов, ата­ковать акти­вис­тов и подавить ина­комыс­лие, под­вергая опас­ности бес­числен­ное количес­тво жиз­ней, — заяв­ляет сек­ретарь Amnesty International Ань­ес Кал­ламар. — Обна­ружен­ные нами [фак­ты] опро­вер­гают все заяв­ления NSO о том, что такие ата­ки ред­ки и сво­дят­ся к неп­равомер­ному исполь­зованию их тех­нологий. Хотя в ком­пании утвер­жда­ют, что ее шпи­онское ПО при­меня­ется толь­ко про­тив нас­тоящих прес­тупни­ков и для борь­бы с тер­рориз­мом, ясно, что ее тех­нология поощ­ряет сис­темати­чес­кие зло­упот­ребле­ния. Они рису­ют кар­тину пол­ной легитим­ности, но извле­кают выгоду из широко рас­простра­нен­ных наруше­ний прав челове­ка.

На­ши пос­ледние откры­тия показы­вают, что кли­енты NSO Group в нас­тоящее вре­мя могут уда­лен­но взло­мать даже пос­ледние модели iPhone и все вер­сии iOS».

Де­ло в том, что в рас­поряже­нии иссле­дова­телей ока­зал­ся спи­сок 50 тысяч телефон­ных номеров, которые яко­бы «пред­став­ляли инте­рес» для кли­ентов NSO Group и тща­тель­но отби­рались с 2016 года. И хотя сам факт при­сутс­твия номера в этом спис­ке еще не озна­чает, что его вла­делец обя­затель­но под­вер­гся ата­ке, зараже­ние спай­варью уда­лось под­твер­дить «в десят­ках слу­чаев».

Читайте также:
Box for Windows 8 что это за программа и нужна ли она

К при­меру, в спис­ке мож­но най­ти дан­ные полити­ков, акти­вис­тов, жур­налис­тов, пра­воза­щит­ников, руково­дите­лей пред­при­ятий, религи­озных деяте­лей, уче­ных и так далее. Отдель­но под­черки­вает­ся, что в спис­ке содер­жались телефо­ны как минимум десяти глав государств.

В ито­ге рас­сле­дова­ние выяви­ло кли­ентов NSO Group как минимум в 11 стра­нах мира, вклю­чая Азер­бай­джан, Бах­рейн, Вен­грию, Индию, Казах­стан, Марок­ко, Мек­сику, ОАЭ, Руан­ду, Саудов­скую Ара­вию и Того. При этом Руан­да, Марок­ко, Индия и Вен­грия пос­пешили офи­циаль­но заявить, что не исполь­зовали Pegasus.

Так как о сущес­тво­вании Pegasus и деятель­нос­ти NSO Group извес­тно дав­но, мно­гие зада­ются воп­росом: почему скан­дал раз­разил­ся толь­ко сей­час? Ведь ничего прин­ципи­аль­но нового в док­ладе не содер­жалось, и вряд ли кого‑то в ИБ‑сооб­щес­тве уди­вило сущес­тво­вание спай­вари и того, о чем писали жур­налис­ты.

Хо­роший ответ на этот воп­рос дал у себя в Twitter извес­тный ИБ‑эксперт, нес­коль­ко лет назад ос­тановив­ший шиф­роваль­щик Wannacry, Мар­кус Хат­чинс (MalwareTech):

«До сегод­няшне­го дня я не понимал, что нового в этой исто­рии, но теперь я осоз­нал, что, веро­ятно, рань­ше обо всем этом не было извес­тно за пре­дела­ми ИБ‑сооб­щес­тва. Итак, TL;DR: сущес­тву­ют ком­пании, у которых есть нулевые дни и шпи­онское ПО, спо­соб­ные уда­лен­но взла­мывать телефо­ны. Обыч­но все это про­дает­ся пра­витель­ствам, которые затем исполь­зуют [эти инс­тру­мен­ты] для атак на „тер­рорис­тов“ (во мно­гих слу­чаях это прос­то озна­чает любого, кого влас­ти счи­тают угро­зой). Рас­плыв­чатое опре­деле­ние тер­мина „тер­рорист“ варь­иру­ется от государс­тва к государс­тву, и мно­гие (осо­бен­но авто­ритар­ные государс­тва) счи­тают акти­вис­тов и жур­налис­тов угро­зами. Реаль­ность такова, что „оста­новить тер­рорис­тов“ лег­ко прев­раща­ется в „шпи­онить за все­ми, кто нам не нра­вит­ся“, и имен­но об этом повес­тву­ет дан­ная утеч­ка».

0-day в iOS

Ин­терес­но, что в ходе рас­сле­дова­ния иссле­дова­телям уда­лось обна­ружить iPhone под управле­нием пос­ледней вер­сии iOS, взло­ман­ный с помощью zero-click-экс­пло­итов (не тре­бующих никако­го вза­имо­дей­ствия с поль­зовате­лем) для iMessage. К при­меру, Amnesty International под­твер­дила активное зараже­ние работа­юще­го под управле­нием iOS 14.6 iPhone X акти­вис­та (CODE RWHRD1) от 24 июня 2021 года.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Avatar photo

Мария Нефёдова

Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Источник: xakep.ru

Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить

Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.

Читайте «Хайтек» в

Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android. Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности. Разработчик также утверждает, что внимательно относится к правам человека.

Возможности ПО Pegasus

Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру. Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона. Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.

Скандал с массовой слежкой ПО Pegasus

  • Список пострадавших

В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.

Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:

  • Азербайджан,
  • Бахрейн,
  • Венгрия,
  • Индия,
  • Казахстан,
  • Марокко,
  • Мексика,
  • Объединенные Арабские Эмираты,
  • Руанда,
  • Саудовская Аравия.

В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.

По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:

  • президент Ирака Бархам Салех,
  • президент ЮАР Сирил Рамафоса,
  • премьер-министры Пакистана,
  • Египта,
  • Марокко.

По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.

NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.

В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.

Как действует ПО Pegasus

Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.

Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.

Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.

Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.

Так Pegasus проникал в большинство систем обмена сообщениями, например:

  • Gmail,
  • Facebook,
  • WhatsApp,
  • Facetime,
  • Viber,
  • WeChat,
  • Telegram,
  • встроенные мессенджеры и почту Apple.
  • Сетевые инъекции
Читайте также:
Программа гепард что это

Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.

При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.

Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.

Как понять заражено ли устройство

Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.

Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.

На зараженных устройствах наблюдается четкая последовательность:

  • «Посещался веб-сайт,
  • приложение давало сбой,
  • некоторые файлы были изменены.

Читать далее:

Источник: hightech.fm

Минимум 10 стран могут следить за людьми через их телефоны. Что мы знаем о Pegasus project

Минимум 10 стран могут следить за людьми через их телефоны. Что мы знаем о Pegasus project

Шпионское ПО Pegasus, разработанное израильской компанией NSO Group, помогает правительствам разных стран следить за политиками, журналистами и правозащитниками по всему миру. Об этом говорится в расследовании The Pegasus Project, которое выпустила организация Amnesty International, журналистская НКО Forbidden Stories и десятки независимых репортеров из 17 мировых СМИ. Мы пересказываем главное из этого материала.

Что такое Pegasus

Британская газета The Guardian называет приложение Pegasus «пожалуй, самой лучшей из когда-либо разработанных шпионских программ». Ее можно незаметно установить на любой мобильный телефон на системе Android и iOS, после чего аппарат становится полноценным устройством для слежки. Причем, как говорят эксперты, поздняя версия программы не требует для установки никаких кликов и переходов по ссылкам. Pegasus просто использует уязвимости операционных систем или популярных приложений.

В соцсетях легко стать лучшей версией себя. Но почему от этого только больше проблем?

ПО копирует отправленные и полученные на телефон сообщения, собирает фотографии и записывает звонки. Кроме того, Pegasus получает доступ к микрофону и видеокамере, что позволяет подслушивать и подсматривать за владельцами аппаратов. При помощи этого ПО можно также отслеживать местонахождение устройств.

ПО Pegasus, «которое залетает на смартфоны словно конь на крыльях» разработала частная израильская фирма NSO Group, основанная в 2010 году. Цель этой программы — борьба с терроризмом и оргпреступностью. Как пишут СМИ, NSO Group предоставляла ПО разведслужбам, правоохранительным огранам и военным по всему миру с 2016 года.

Чтобы не допустить злонамеренного использования софта, его продают по лицензии от израильского правительства исключительно государственным компаниям и структурам.

Слежка за десятками тысяч людей

Как говорится в международном журналистском расследовании, власти стран, получившие в свое распоряжение ПО Pegasus, злоупотребляли возможностями софта и следили не только за преступниками и террористами, но и за журналистами, правозащитниками, общественными и политическими лидерами, чиновниками, крупными бизнесменами.

Так, находящейся во Франции организации Forbidden Stories удалось получить список из 50 тыс. попавших в систему Pegasus телефонных номеров, которые якобы являлись целями для слежки. В документе, который появился в 2016 году, есть только цифры, но не имена. В течение многих месяцев 80 журналистов международного объединения изучали этот перечень. В результате им удалось установить более 1 тыс. владельцев телефонных номеров из 50 стран.

По какому принципу вели этот список и как он попал к представителям СМИ, пока неизвестно. Однако сам факт его существования может говорить о том, что в NSO Group знали о неправомерных действиях своих клиентов, но закрывали на это глаза. При этом глава NSO Шалев Хулио заявил изданию The Washington Post, что список не имеет никакого отношения к компании, а любая информация о ненадлежащем применении ПО Pegasus грозит расторжением контракта.

За кем следят власти

В списке оказались по крайней мере 65 руководителей бизнеса, 85 активистов-правозащитников, 189 журналистов, среди которых репортеры из CNN, Associated Press, Voice of America, New York Times, Wall Street Journal, Bloomberg News, Le Monde, Financial Times и Al Jazeera. К примеру, в Мексике телефон журналиста Сесилио Пинеды появился в этой базе всего за несколько недель до его убийства в 2017 году.

Приложения для контроля зараженных и патрульные дроны. Как коронавирус изменил технологии

В прошлом году СМИ сообщали, что неизвестные взломали телефоны десятков журналистов Al Jazeera с использованием приложения компании NSO. Еще тогда в расследовании этого инцидента говорилось, что данные телефонов утекли без перехода на какие-либо ссылки или вредоносные программы. То есть устройства «заразили» дистанционно.

В расследовании также утверждается , что жертвами слежки стали члены семьи саудовского журналиста Джамаля Хашкаджи — его жены, невесты и сына. Их телефоны подвергались взлому как до, так и после убийства журналиста. При этом в NSO заявляли, что компания проверяла эти утверждения и пришла к выводу, что убийство Хашкаджи в саудовском консульстве в Стамбуле никак не связано с их софтом.

В список Pegasus также попали 600 политиков и правительственных чиновников, включая министров, дипломатов, военных и сотрудников служб безопасности. Некоторые номера из списка принадлежат даже главам государств и членам арабских королевских династий. Пока неясно, сколько телефонов из 50-тысячного списка действительно взломали с помощью Pegasus.

Служба безопасности Amnesty International проверила 67 смартфонов, которые потенциально могли оказаться под атакой. Из них 23 оказались взломанными, а у 14 нашли признаки попыток проникновения. В отношении оставшихся 30 проверка не дала результатов, так как владельцы номеров поменяли гаджеты.

Журналисты обещают рассказать подробнее о тех, за кем следили власти, в дальнейших публикациях.

Кто из стран проводил слежку

Согласно заявлениям NSO, их клиенты — это 60 разведывательных, военных и правоохранительных структур в 40 странах. Компания не разглашает информацию, о каких именно государствах идет речь, а также не знает, в отношении каких лиц используют их ПО.

При этом журналисты смогли установить основные страны, вносившие номера в базу Pegasus. Среди них: Азербайджан, Бахрейн, Венгрия, Индия, Казахстан, Мексика, Марокко, Руанда, Саудовская Аравия и Объединенные Арабские Эмираты. В расследовании Forbidden Stories и других СМИ говорится о подтверждении того, что все эти десять стран являлись клиентами NSO. Наибольшее количество номеров в списке (15 тыс. из 50), приходится на мексиканские телефоны, следом идут страны Ближнего Востока.

Читайте также:
Программа управления стадом что это

В списке также нашли номера более чем 1 тыс. французских граждан, несмотря на то, что Франция не является клиентом фирмы. Французские номера в базу вносили из Мексики, Индии, Марокко и Венгрии.

B NSO все отрицают

В своем заявлении NSO Group решительно отвергла все обвинения, назвав их ничем не обоснованными теориями.

Источник: tass.ru

Pegasus: тотальная слежка на iOS и Android

Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства.

Pegasus: тотальная слежка на iOS и Android

John Snow

  • 11 апреля 2017

    • Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.

    Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.

    На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.

    Pegasus: начало, или Лошадь в яблоках

    О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.

    Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.

    Исследователи сходятся в том, что Pegasus создан NSO Group — израильской компанией, которая зарабатывает на хлеб разработкой шпионского ПО. Это значит, что зловреда делали на продажу и любой желающий может его приобрести. Шпион эксплуатирует три уязвимости нулевого дня в iOS, которые позволяют по-тихому провести джейлбрейк устройства и установить шпионское ПО. Другая компания из мира кибербезопасности, Zerodium, в свое время предлагала $1 млн за уязвимость нулевого дня в iOS. Можете представить, во сколько обошлась разработка Pegasus, — их там аж три.

    Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.

    В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.

    Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.

    Железный конь для Android

    Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).

    «Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.

    Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.

    Скорее всего, вы вне опасности, но…

    Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.

    Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.

    Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:

    1. Всегда вовремя обновляйте устройства, особенно когда речь идет о заплатках безопасности.
    2. Установите надежное защитное решение на все свои устройства. К сожалению, на iOS нельзя поставить антивирус, но мы надеемся, что с появлением Pegasus Apple пересмотрит свою политику в этом отношении.
    3. Разберитесь, что такое фишинг, и научитесь на него не попадаться, даже если это целевой фишинг, как в случае Ахмеда Мансура. Если вы получили ссылку от неизвестного отправителя, не кликайте по ней сразу же. Сначала все обдумайте, а потом кликайте. Ну или не кликайте вообще.

    Источник: www.kaspersky.ru

    Рейтинг
    ( Пока оценок нет )
    Комментарии0
    Загрузка ...
    Похожие материалы
    EFT-Soft.ru