Фото: Jan Vašek/Pixabay
Шпионский скандал с прослушиванием с помощью программы Pegasus стал крупнейшим с момента откровений Эдварда Сноудена.
Очень массовое наблюдение
На прошлой неделе было опубликовано расследование фактов массовой слежки за журналистами и правозащитниками. Его организаторы пользовались инструментами израильской компании NSO Group, которая является известным разработчиком систем киберразведки. Основным средством слежки было программное обеспечение Pegasus. Компания NSO поставляет на рынок свои продукты с 2016 года. Сколько лет клиенты NSO использовали Pegasus, пока неизвестно.
Авторы расследования пришли к выводу о том, что возможными жертвами наблюдения с помощью этого шпионского инструмента были абоненты более 50 тыс. телефонных номеров. Получен и другой список: он намного меньше, на тысячу номеров, в отношении которых, вероятно, применялись инструменты взлома. Этот список проанализировали эксперты и нашли в нем номера телефонов многих известных людей.
Среди них — президент Франции Эмманюэль Макрон, основатель соцсети «ВКонтакте» и сервиса Telegram Павел Дуров, несколько десятков топ-менеджеров, несколько министров и даже премьер-министров, политики, чиновники, правозащитники, члены арабских королевских семей. Это означает, что клиенты компании NSO, которые покупали инструменты для слежения, были заинтересованы в наблюдении за этими людьми.
Вектор атаки: фишинговые ссылки и уязвимости нулевого дня
На сайте Центра по исследованию коррупции и организованной преступности (Organised Crime and Corruption Reporting Project, OCCRP) журналисты опубликовали материал, в котором подробно объяснили, каким образом заражались гаджеты жертв Pegasus и как действовало шпионское программное обеспечение.
Сначала использовались зараженные фишинговые ссылки. Жертва получала ссылки, переходила по ним, после чего на ее устройство загружалось опасное приложение. Для того чтобы потенциальные жертвы с большей вероятностью реагировали на такие письма, сперва им присылали спам-сообщения, а затем — еще одно сообщение со ссылкой, которое позволит отписаться от спама. Иногда использовались и другие приемы социальной инженерии, которые должны были убедить даже опытных в вопросах цифровой безопасности пользователей перейти по опасной ссылке.
Впоследствии организаторы атак стали применять более изощренные методы. Специалисты NSO использовали так называемые уязвимости нулевого дня (0-day-уязвимости). Их особенность заключается в том, что компании — разработчики программного обеспечения (к примеру, операционных систем Android и iOS или мессенджеров WhatsApp) не знают о них. Соответственно, от таких угроз еще не было защиты. Так злоумышленники могли проникнуть в устройство и заразить его опасным ПО.
В этом случае чаще всего использовались так называемые эксплойты без клика (Zero-Click Exploits). Они особенно опасны потому, что пользователям не нужно нажимать на сомнительную ссылку, чтобы заразить устройство. Ведь жертва уверена в том, что она не переходит по неизвестным ссылкам, ведет себя очень осторожно, а тем временем злоумышленники контролируют устройство и она даже не подозревает об этом.
В статье OCCRP упоминаются и другие методы заражения, к примеру сетевые инъекции через перенаправление жертвы на зараженные веб-страницы
После заражения опасное ПО перехватывало содержание смартфона и получало доступ к его микрофону, камере, файлам на гаджете и аккаунтам, которые просматривал владелец устройства. Шпионский софт видел геолокацию смартфона, мог незаметно включать камеру и микрофон.
То есть жертвы Pegasus получали настоящего шпиона в кармане.
Почему эта история очень опасна
Сноуден назвал эту историю шпионским скандалом года и призвал запретить торговлю такими опасными приложениями.
«Это похоже на индустрию, в которой единственное, что сделали разработчики, — это создали специальные варианты COVID, чтобы избежать вакцинации, — отметил он. — Их единственная продукция — переносчики инфекции. Эти инструменты не являются продуктами безопасности. Они не обеспечивают никакой защиты, а производители не делают вакцины; единственное, что они продают, — это вирус», — цитирует Сноудена издание The Guardian.
Кроме масштаба слежения и массовости использования этих инструментов проблемой стали уязвимости нулевого дня и эксплойты без клика. Обычно крупные компании платят немалые деньги за то, чтобы получить информацию о таких уязвимостях и оперативно их устранять. Это легальный заработок специалистов по безопасности, которые находят такие уязвимости. Доступ компании NSO к уязвимостям нулевого дня и эксплуатация их для заражения гаджета — это очень плохой прецедент, который говорит о том, что существует рынок 0-day-уязвимостей, и купить «дыру» в популярном ПО может почти любой.
А эксплойты без клика сводят на нет все правила цифровой безопасности, ведь не нужно переходить по ссылкам, посещать веб-страницу, чтобы стать жертвой Pegasus. Поэтому понятие защищенного гаджета на фоне этих историй постепенно нивелируется.
Как проверить, не стали ли вы жертвой прослушивания
Павел Белоусов, эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380), объяснил, как проверить, не были ли вы жертвой прослушивания через Pegasus.
Чтобы проверить, есть ли следы Pegasus на вашем смартфоне, нужно установить на компьютере определенное программное обеспечение, сделать полную резервную копию смартфона и с помощью этого установленного ПО просканировать архив с содержанием телефона.
Павел Белоусов
Эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380)
Инструмент под названием Mobile Verification Toolkit работает на iPhone и Android, но несколько по-разному, объясняют авторы инструкции по проверке и защите от Pegasus в издании Techcrunch. Возможно, для использования этого инструмента понадобится помощь технического специалиста.
MVT поможет сделать полную резервную копию iPhone и после проверки сообщит о любых идентификаторах компрометации (indicators of compromise — IOC), которые использовались для доставки инструментов NSO на устройство. Среди них могут быть, например, доменные имена, применяемые в инфраструктуре NSO. Журналисты Techcrunch продемонстрировали, что процесс сканирования архива занял несколько минут.
Выявить заражение устройств на Android несколько сложнее, но реально. MVT использует аналогичный подход, сканируя резервную копию вашего Android-устройства на наличие текстовых сообщений со ссылками на домены, применяемые NSO. Этот же инструмент может проверить потенциально опасные приложения, установленные на вашем смартфоне.
Поскольку известны некоторые методы доставки вредоносного ПО (сообщения, почта, сайты и др.), то найденные следы (индикаторы) будут свидетельствовать о том, что на телефоне присутствует Pegasus или была попытка его установить. Если следы не обнаружены, то это еще не значит, что не было попытки взлома, поскольку пользователь (потенциальная жертва) мог раньше удалить сообщение с вредоносными ссылками, и в созданной резервной копии этого индикатора уже нет.
Павел Белоусов
Эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380)
Как проверить наличие шпионского ПО
История с NSO заставила вспомнить другие опасные приложения для слежки, которые могут появиться на вашем смартфоне. Среди них — не только шпионское (Spyware), но и сталкерское ПО (Stalkerware), жертвами которого могут быть обычные люди, а в слежке за ними могут оказаться заинтересованы их партнеры, конкуренты по бизнесу или другие злоумышленники.
Вот несколько признаков наличия сталкерского ПО на гаджете:
- случайное неожиданное включение WiFi, мобильного интернета или геолокации, хотя владелец устройства вручную отключил эти опции. Изменение настроек без вмешательства владельца — один из главных признаков присутствия на смартфоне нежелательных приложений;
- неожиданно большие объемы трафика, которые передает ваш смартфон;
- устройство начало работать заметно медленнее и стало быстрее разряжаться;
- на гаджете стали появляться неожиданные оповещения и сообщения, в том числе об ошибках в программах.
Чтобы удалить подозрительные приложения, нужно:
- перезагрузить устройство в безопасном режиме;
- проверить все установленные приложения и удалить непонятные и подозрительные;
- изменить пароли доступа к онлайн-аккаунтам, где это возможно, и использовать двухфакторную аутентификацию.
Как уберечься от подобных взломов
Павел Белоусов советует следующее:
«Эта атака использует уязвимости в операционной системе смартфона и довольно дорогая, поэтому не применяется так массово, как другие. Но, чтобы снизить риск (этой и другой атаки), нужно всегда обновлять приложения и операционную систему своих устройств, не кликать на непонятные и непроверенные ссылки, картинки, видео. Ко всему прочему, необходимо использовать уникальные надежные пароли и двухфакторную аутентификацию, устанавливать проверенные программы из официальных источников».
Чтобы проверить Android-гаджет, стоит выяснить, у каких приложений есть доступ к специальным возможностям смартфона. Это разрешение является одним из самых высоких для платформы Android, и, по большому счету, его следует включать только для антивируса.
Чтобы обезопасить себя от шпионских программ, нужно сделать следующее:
- защитить устройство от несанкционированного физического доступа. То есть установить экранный пароль, двухфакторную аутентификацию;
- использовать надежный антивирус;
- регулярно проверять свои пароли на утечку и менять их при необходимости.