программа pegasus что это такое
Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить
Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.
Читайте «Хайтек» в
Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android.
Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности.
Разработчик также утверждает, что внимательно относится к правам человека.
Возможности ПО Pegasus
Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру.
Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона.
Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.
Скандал с массовой слежкой ПО Pegasus
В июле 2021 года в прессе появились сообщения о том, авторитарные режимы используют Pegasus для взлома телефонов правозащитников, оппозиционных журналистов и юристов.
В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.
Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:
В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.
По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:
По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.
NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.
В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.
Как действует ПО Pegasus
Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.
Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.
Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.
Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.
Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.
Так Pegasus проникал в большинство систем обмена сообщениями, например:
Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.
При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.
Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.
Как понять заражено ли устройство
Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.
Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.
На зараженных устройствах наблюдается четкая последовательность:
Читает WhatsApp и Telegram: что известно о скандальной Pegasus
В мире вспыхнул новый скандал с массовой слежкой за политиками, журналистами и общественниками. Взломом смартфонов занималась целая группа государств. Программу Pegasus, которая позволила получить доступ к мобильным устройствам, разработали бывшие специалисты израильской армии. Формально для борьбы с террористами, но на деле оказалось, что ее широко применяли не по прямому назначению.
На след Pegasus вышла международная группа журналистов. Оказалось, обширная слежка велась как минимум в 10 странах. Среди них Мексика, Индия, Израиль, Казахстан, Эмираты, Саудовская Аравия, Венгрия.
Сабольч Паньи, журналист Венгерской аналитической группы Direkt36: «В этой истории фигурируют 50 тысяч телефонных номеров. Среди них мы выделили номера почти 200 журналистов. К сожалению, и я был среди них. Я пишу о дипломатии, внешней политике, коррупции, о нацбезопасности Венгрии. Я занимаюсь журналистскими расследованиями, поэтому у меня есть конфиденциальные источники, которые предоставляют мне правительственные документы о взаимодействии, например, с Китаем, Россией, США. Анализ моего телефона показывает, что за мной следили дольше 7 месяцев».
Яков Кедми, эксперт, израильской спецслужбы: «Она позволяет проникнуть во все виды связи. Она читает и WhatsApp, и Viber, и Telegram. Все виды связи, которые объявлены непроницаемыми, она в считаные минуты вскрывает и позволяет прочитать все, что пишется и было написано. Даже стертые сообщения».
Pegasus был создан частной компаний NSO, бывшими сециалистами Армии обороны Израиля по радиоэлектронной разведке. Изначально программу использовали для выявления террористов и криминальных группировок, но затем израильтяне начали продавать ее за рубеж, правда, с рядом оговорок.
Яков Кедми, эксперт, израильской спецслужбы: «Как правило, по разрешению министерства обороны Израиля и под контролем министерства иностранных дел эти программы продаются государствам. Причем эти государства должны отвечать определенным стандартам и соответствовать международному положению и связям Израиля».
Так, например, программу никогда не продадут Ирану, Северной Корее, а также, по настоятельной просьбе США, Китаю и России. Вопрос сферы применения данного вида кибероружия на деле остается на совести покупателя. Во многих странах власти развернули слежку за оппозицией и независимыми СМИ. По данным журналистов, отслеживание одного человека через Pegasus обходится в десятки тысяч долларов.
Израильский шпион: Что такое Pegasus и как он работает
Шпионская вредоносная программа Pegasus является одной из самых серьезных угроз для журналистов и активистов-правозащитников, поскольку правительства, выступающие против них, могут различными способами проникнуть в их сотовые телефоны, повредить их, практически создать проблемы в их работе.
Это побудило ИТ-специалистов и экспертов по безопасности ответить на неоднократные вопросы людей о том, что делать, чтобы обезопасить себя от атак вредоносных программ: «Если мы хотим быть честными, мы должны сказать, что ничего невозможно сделать».
Газета «Гардиан» в сообщении, представляя шпионскую программу Pegasus израильской компании NSO Group, которая следила за многими известными лицами, такими как президент Франции Эммануэль Макрон, и многими демократическими и правозащитными фигурами, пытается передать информацию об этой вредоносной программе и ее функции.
Первую версию вредоносного ПО Pegasus обнаружили в 2016 году. В первой версии вредоносное ПО жертву возбуждали щелкнуть электронное письмо или телефонное сообщение. В результате этого заражался весь его мобильный телефон.
Однако с тех пор наступательные возможности компании NSO Group значительно развились. Теперь он поддерживает так называемые атаки с нулевым щелчком и не требует от владельца мобильного телефона никаких действий. В нынешних условиях это вредоносное ПО использует уязвимости в мобильных операционных системах, которые производители не успели исправить.
В 2019 году WhatsApp раскрыл, что вредоносная программа компании Group NSO отправило вредоносные ссылки на более чем 1400 мобильных телефонов, используя их слабые места в своих целях. Вредоносная программа Pegasus может легко проникнуть в сотовый телефон через звонок в WhatsApp, даже если человек не отвечает на звонок. По сути, в ходе своих шпионских операций Pegasus запускает специальный код на телефон и, таким образом, совершает вредоносные операции. К сожалению, вредоносная программа Pegasus в последнее время разрабатывает приложения, упрощающие доступ к миллионам мобильных телефонов Apple. Отреагировав на этот вопрос компания Apple заявила, что будет постоянно выпускать новые обновления с защитой от хакерских атак, таких как Pegasus.
Благодаря исследовательской работе руководителя Citizen Lab в правозащитной организации Amnesty International в Берлине Клаудио Гварнери, теперь больше, чем раньше стало ясно техническое понимание о вредоносной программе Pegasus, а также о том, какие вредоносные операции она выполняет после проникновения в мобильные телефоны. В частности, он указывает, что вредоносная программа Pegasus атакует сотовые телефоны таким образом, что жертве очень сложно понять, что против него проводится шпионская операция.
По оценкам, вредоносная программа Pegasus до сих пор успешно и активно следило за операционными системами Android и iOS. Кроме того, в исследованиях особо подчеркивалось, что компания NSO Group активно пытается найти новые уязвимости (новые слабые места), особенно в операционных системах iOS.
Следует отметить, что Pegasus также может быть установлен через беспроводной передатчик или приемник недалеко от места, где находится человек (человек, за которым следует слежка), и выполнять шпионскую операцию. А если украдут сотовый телефон жертвы, данная вредоносная программа может быть вручную установлена на его мобильный телефон и выгружена его информация.
Как только вредоносная программа Pegasus устанавливается на мобильный телефон, она может украсть всю информацию и файлы с этого телефона. Текстовые сообщения, история звонков, календари, электронные письма, а также история поисков могут быть объектами полной слежки через Pegasus.
Многие наблюдатели, эксперты по вопросам безопасности и ИТ-специалисты считают, что вредоносная программа Pegasus может делать то, что не может сделать даже владелец мобильного телефона. Это практически делает владельца мобильного телефона в абсолютную жертву для шпионского ПО Pegasus.
Юристы израильской компании NSO Group заявляют, что все, что было сказано о вредоносном ПО Pegasus, является всего лишь домыслом, а не фактом. Они описали все, что было сказано о Pegasus, как безосновательные слова. Однако до сих пор они не оспаривали никаких выводов о вредоносном ПО Pegasus.
Компания NSO Group вложила значительные средства в создание трудностей у других для обнаружения ее вредоносных программ и их действий. В нынешних условиях очень сложно выявить вредоносные операции программы Pegasus. Эксперты по безопасности отмечают, что более новые версии Pegasus, скорее всего, поместятся только в кратковременную память мобильных телефонов, и как только телефон будет выключен, их следы будут полностью удалены с мобильного телефона.
Шпионская вредоносная программа Pegasus является одной из самых серьезных угроз для журналистов и активистов-правозащитников, поскольку правительства, выступающие против них, могут различными способами проникнуть в их сотовые телефоны, повредить их, практически создать проблемы в их работе. Это побудило ИТ-специалистов и экспертов по безопасности ответить на неоднократные вопросы людей о том, что делать, чтобы обезопасить себя от атак вредоносных программ: «Если мы хотим быть честными, мы должны сказать, что ничего невозможно сделать».
Власти 11 стран используют троян Pegasus под iOS и Android для слежки за общественными активистами
Шпионская программа Pegasus от израильской компании NSO Group эксплуатирует 0day-уязвимости на iOS и Android для скрытой установки на смартфоны и дистанционного съёма информации. Например, на iOS 14.6 её можно удалённо установить через сообщение iMessage без перехода по ссылке (zero-click attack).
Pegasus официально лицензируется для правоохранительных органов с целью отслеживания преступников и террористов. Но оказывается, что власти Азербайджана, Казахстана, Венгрии и нескольких других стран используют Pegasus для прослушки членов гражданского общества — журналистов и активистов из общественных организаций.
Расследование началось после утечки 50 тысяч телефонных номеров, которые могли отслеживаться через Pegasus с 2016 года. Судя по всему, утечка произошла с серверов NSO Group. Как сообщается, первыми этот список получили в своё распоряжение французская некоммерческая медиаорганизация Forbidden Stories и правозащитная группа Amnesty International.
Получив список потенциальных целей, организации начали выборочную проверку. Например, Amnesty International смогла получить смартфоны у 67 человек, входящих в список наблюдения. Как выяснилось, 23 из них действительно были инфицированы, на 14 обнаружены попытки проникновения. На остальных 30 проверка не дала чёткого положительного результата.
Программное обеспечение Pegasus позволяет тайно и удалённо собирать данные с чужих телефонов. Компания NSO Group предоставляла право пользования Pegasus только в исключительных случаях и по специальному разрешению израильского правительства.
Pegasus, созданный для взлома телефонов преступников, использовали против журналистов и активистов
Washington Post и 16 других изданий проанализировали список из более чем 50 тысяч телефонных номеров, отобранных для ведения слежки при помощи шпионской программы Pegasus. По условиям лицензии программу можно применять только для слежки за особо опасными преступниками или террористами. Несмотря на это в списке находятся не только они, но и журналисты, правозащитники, крупные политики, бизнесмены и их родственники.
Pegasus — разработка израильской компании NSO. Она предоставляет владельцу полный доступ ко всем данным на устройствах пользователей, включая медиафайлы, контакты, встречи, GPS, почту и сообщения. Кроме того, Pegasus может прослушивать и записывать телефонные звонки и видео, управляя микрофоном и видеокамерой устройства.
NSO продаёт шпионские программы правительствам под условием, что софт будут применять только против серьёзных преступников и террористов. Журналисты почти двух десятков организаций провели расследование и обнаружили список клиентов компаний и телефонных номеров, которые они отслеживают или планируют отслеживать при помощи шпионских программ.
Расследование проводили 80 журналистов и 17 медиа-организаций из 10 стран. Руководила ими компания Forbidden Stories при технической поддержке Amnesty International, проводившей криминалистические тесты по выявлению шпионских программ на смартфонах. Forbidden Stories — некоммерческая организация, занимающаяся вопросами защиты свободы слова и деятельности журналистов. Она также помогает репортёрам, попавшим в трудную ситуацию, и продолжает расследования убитых или севших в тюрьму журналистов.
Благодаря утечке данных из NSO Forbidden Stories получила доступ к списку из 50 тысяч телефонных номеров, выбранных клиентами компании для слежки. В ходе анализа выяснилось, что как минимум десять клиентов израильской компании в качестве цели указали 189 журналистов из 20 стран. Кроме журналистов в качестве целей указаны члены арабской королевской семьи, 65 руководителей частных компаний, 85 правозащитников и более 600 политиков и правительственных чиновников, включая агентов служб безопасности, военных, несколько глав государств и премьер-министров. Журналисты заявили, что постепенно раскроют личности всех людей, указанных в списке.
Как показал анализ, около 15 тысяч номеров из списка принадлежали гражданам Мексики. Марокко и Объединённые Арабские Эмираты выбрали для отслеживания по 10 тысяч номеров каждая. Кроме них за смартфонами активно следят правительства Азербайджана, Бахрейна, Казахстана, Руанды, Саудовской Аравии, Венгрии и Индии. Около тысячи номеров из списка принадлежат жителям европейских стран.
Страны, в которых, согласно списку, через программы NGO ведётся слежка за журналистами. Источник: forbiddenstories.org
Журналисты, ведущие расследование, тоже обнаружили себя или своих родственников и друзей в списке. Среди них часть работает в крупных престижных изданиях, таких как CNN, Guardian, New York Times, Associated Press, Bloomberg, Financial Times и Reuters.
В списке находятся и уже убитые репортёры, в частности, Сесилио Пинеда Бирто. Через месяц после того, как его номер добавили в список, Бирто убили в ходе вооружённого нападения. Часть журналистов получали юридические угрозы, были арестованы или сбежали в другую страну из-за преследований. Например, азербайджанская журналистка Хадиджа Исмайлова, отсидевшая полтора года в тюрьме по обвинению в уклонении от налогов и растратах. Правозащитные организации и сама Хадиджа назвали дело сфабрикованным. За ней и её родственниками также велась слежка через Pegasus.
Amnesty International провела анализ 67 смартфонов, заподозренных в наличии Pegasus. Из них 23 устройства действительно содержали следы деятельности программы. В 14 смартфонах специалисты обнаружили признаки попыток взлома. Остальные 30 устройств не показали присутствия вредоносной программы, но специалисты связывают это с недавней заменой телефонов и особенностями работы разных операционных систем. В отличие от iOS, Android не регистрирует информацию, необходимую для экспертизы. Тем не менее, на трёх устройствах с Android специалисты нашли признаки таргетинга, связанного с Pegasus. Результаты экспертизы подтвердила канадская лаборатория Citizen Lab, занимающаяся исследованиями в области информационной безопасности.
Pegasus может попасть на устройство через уязвимости в обычных приложениях или при переходе по вредоносным ссылкам
Журналисты сделали несколько запросов NGO и правительствам стран для выяснения обстоятельств. NGO ответила, что не управляет системами, которые продаёт «проверенным государственным заказчикам», и не имеет доступа к данным целевых объектов. По словам юристов компании, заявления журналистов ложные и найденный им список не может быть списком номеров, на которые нацелены их покупатели.
Авторы расследования попросили у NGO информацию о клиентах, которая подтвердила бы или опровергла их выводы. Но компания отказалась предоставлять данные, добавив, что продолжит внутреннее расследование инцидента и самостоятельно примет все соответствующие меры.
В своих ответах страны категорически отрицают причастность к использованию Pegasus для слежки за журналистами и политическими активистами. Руанда заявила, что не использует Pegasus и не обладает для этого техническими возможностями. Правительство Венгрии также опровергло обвинения, заявив что Венгрия — демократическое государство, всегда действующее в рамках закона. Власти Марокко и Индии назвали обвинения журналистов бездоказательными. Правительства Объединенных Арабских Эмиратов, Дубая, Саудовской Аравии, Азербайджана, Бахрейна, Казахстана и Мексики не ответили на запрос журналистов.