Шпигунський скандал із прослуховуванням за допомогою програми Pegasus став найбільшим від моменту одкровень Едварда Сноудена.
Дуже масове спостереження
Минулого тижня було опубліковане розслідування фактів масового стеження за журналістами та правозахисниками. Його організатори користувалися інструментами ізраїльської компанії NSO Group, відомого розробника систем кіберрозвідки. Основним інструментом стеження було програмне забезпечення Pegasus. Компанія NSO постачає на ринок свої продукти з 2016 року. Скільки років клієнти NSO використовували Pegasus, наразі невідомо.
Автори розслідування дійшли висновку, що можливими жертвами спостереження за допомогою цього шпигунського інструмента були понад 50 тис. абонентів телефонних номерів. Є й інший список: він набагато менший, на тисячу номерів, щодо яких, імовірно, застосовувалися інструменти злому. Цей список проаналізували експерти та знайшли там номери телефонів багатьох відомих людей.
Серед них — президент Франції Емманюель Макрон, засновник соцмережі «ВКонтакте» та сервісу Telegram Павло Дуров, декілька десятків топ-менеджерів, кілька міністрів та навіть прем’єр-міністрів, політики, чиновники, правозахисники, члени арабських королівських сімей. Це означає, що клієнти компанії NSO, які купували інструменти для стеження, були зацікавлені в спостереженні за цими людьми.
Вектор атаки: фішингові посилання та вразливості нульового дня
На сайті Центру дослідження корупції та організованої злочинності (Organised Crime and Corruption Reporting Project, OCCRP) журналісти опублікували матеріал, у якому детально пояснили, як саме заражалися гаджети жертв Pegasus та як діяло шпигунське програмне забезпечення.
Спочатку використовувалися заражені фішингові посилання. Жертва отримувала таке посилання, переходила по ньому, після чого на її пристрій завантажувався небезпечний застосунок. Щоб потенційні жертви з більшою ймовірністю реагували на такі листи, спершу їм надсилали спам-повідомлення, а потім — іще одне повідомлення з посиланням, яке дасть змогу відписатися від спаму. Часом використовували й інші прийоми соціальної інженерії, які мали переконати навіть обізнаних у питаннях цифрової безпеки користувачів перейти по небезпечному лінку.
Згодом організатори атак стали застосовувати більш витончені методи. Фахівці NSO використовували так звані вразливості нульового дня (0-day-вразливості). Їх особливість полягає в тому, що компанії — розробники програмного забезпечення (наприклад, операційних систем Android та iOS чи месенджерів WhatsApp) не знають про них, відповідно, щодо таких загроз іще не було захисту. Тож зловмисники за допомогою цих вразливостей могли проникнути в пристрій та заразити його небезпечним ПЗ.
У цьому випадку найчастіше використовувалися так звані експлойти без кліку (Zero-Click Exploits). Вони надто небезпечні тому, що користувачам не потрібно натискати на сумнівне посилання, щоб заразити свій пристрій. Адже жертва впевнена в тому, що вона не переходить за невідомими посиланнями, веде себе дуже обережно, а тим часом зловмисники контролюють її пристрій і вона навіть не підозрює про це.
У статті OCCRP згадано й інші методи зараження, неприклад мережеві ін’єкції через перенаправлення жертви на заражені вебсторінки.
Після зараження небезпечне ПЗ перехоплювало вміст смартфона та отримувало доступ до його мікрофона, камери, файлів на гаджеті та акаунтів, які переглядав власник пристрою. Шпигунський софт бачив геолокацію смартфона, міг непомітно вмикати камеру та мікрофон.
Тобто жертви Pegasus отримували справжнього шпигуна в кишені.
Чому ця історія дуже небезпечна
Едвард Сноуден назвав цю історію шпигунським скандалом року та закликав заборонити торгівлю такими небезпечними застосунками.
«Це схоже на індустрію, у якій єдине, що зробили розробники, — це створили спеціальні варіанти COVID, щоб уникнути вакцинації, — зазначив він. — Їхня продукція — це винятково переносники інфекції. Ці інструменти не продукти безпеки. Вони не забезпечують жодного захисту, а виробники не роблять вакцини; єдине, що вони продають, — це вірус», — цитує Сноудена видання The Guardian.
Окрім масштабу стеження та масовості використання цих інструментів проблемою стали вразливості нульового дня та експлойти без кліку. Зазвичай великі компанії платять чималі гроші за те, щоб отримати інформацію про такі вразливості та оперативно їх усунути. Це легальний заробіток фахівців із безпеки, які знаходять такі вразливості. Доступ компанії NSO до вразливостей нульового дня та експлуатація їх для зараження гаджетів — це дуже поганий прецедент, який свідчить про те, що є ринок 0-day-вразливостей, і на ньому купити «дірку» в популярному ПЗ може майже будь-хто.
А експлойти без кліку зводять нанівець усі правила цифрової безпеки, адже не потрібно переходити за посиланнями чи відвідувати вебсторінку, щоб стати жертвою Pegasus. Тому поняття захищеного гаджету на тлі цих історій поступово нівелюється.
Як перевірити, чи ви не стали жертвою прослуховування
Павло Бєлоусов, експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380), пояснив, як перевірити, чи не були ви жертвою прослуховування через Pegasus.
Щоб перевірити, чи є сліди Pegasus на вашому смартфоні, потрібно встановити на комп'ютері певне програмне забезпечення, зробити повну резервну копію смартфона та за допомогою цього встановленого ПЗ просканувати архів із вмістом телефона.
Павло Бєлоусов
експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380)
Інструмент під назвою Mobile Verification Toolkit працює на iPhone та Android, але дещо по-різному, пояснюють автори інструкції перевірки та захисту від Pegasus видання Techcrunch. Можливо, для використання цього інструменту знадобиться допомога технічного фахівця.
MVT допоможе зробити повну резервну копію iPhone та після перевірки повідомить про будь-які ідентифікатори компрометації (indicators of compromise — IOC), які використовувалися для доставлення інструментів NSO на пристрій. Серед них можуть бути, наприклад, доменні імена, що застосовувалися в інфраструктурі NSO. Журналісти Techcrunch продемонстрували, що процес сканування архіву тривав декілька хвилин.
Виявити зараження пристроїв на Android дещо складніше, але реально. MVT використовує аналогічній підхід, скануючи резервну копію вашого Android-пристрою на наявність текстових повідомлень із посиланнями на домени, які застосовувала NSO. Цей же інструмент може перевірити потенційно небезпечні застосунки, що встановлені на вашому смартфоні.
Оскільки відомі деякі методи доставлення цього шкідливого ПЗ (повідомлення, пошта, сайти тощо), то знайдені сліди (індикатори) будуть свідчити про те, що на телефоні є Pegasus або була спроба його встановити. Якщо сліди не виявлені, то це ще не означає, що не було спроби злому, оскільки користувач (потенційна жертва) міг раніше видалити повідомлення зі шкідливим посиланням, і у створеній резервної копії, яка перевірялася, цього індикатора вже немає.
Павло Бєлоусов
експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380)
Як перевірити наявність шпигунського ПЗ
Історія з NSO заставила пригадати інші небезпечні застосунки для стеження, які можуть з’явитися на вашому смартфоні. Серед них — не лише шпигунське (Spyware), але й сталкерське ПЗ (Stalkerware), жертвами якого можуть стати звичайні люди, а в стеженні за ними можуть бути зацікавлені їхні партнери, конкуренти по бізнесу чи інші зловмисники.
Ось декілька ознак наявності сталкерського ПЗ на гаджеті:
- випадкове несподіване увімкнення WiFi, мобільного інтернету чи геолокації, хоча власник пристрою вручну вимкнув ці опції. Зміна налаштувань без втручання власника пристрою — одна з головних ознак присутності на смартфоні небажаних застосунків;
- неочікувано великі обсяги трафіку, що передає ваш смартфон;
- пристрій почав працювати помітно повільніше та став швидше розряджатися;
- на гаджеті стали з’являтися несподівані сповіщення та повідомлення, зокрема про помилки в програмах.
Щоб видалити підозрілі застосунки, потрібно:
- перезавантажити пристрій у безпечному режимі;
- перевірити всі встановлені застосунки та видалити незрозумілі та підозрілі;
- змінити паролі доступу до онлайн-акаунтів, де можливо, та використовувати двофакторну аутентифікацію.
Як вберегтся від подібних зломів
Павло Бєлоусов радить таке:
«Ця атака використовує вразливості в операційній системі смартфона та доволі дорога, тому не застосовується настільки ж масово, як інші. Але, щоб знизити ризик (цієї та іншої атаки), потрібно завжди оновлювати застосунки й операційну систему своїх пристроїв, не клікати на незрозумілі та неперевірені посилання, картинки, відео. До того ж потрібно використовувати унікальні надійні паролі та двофакторну аутентифікацію, встановлювати перевірені програми з офіційних джерел».
Щоб перевірити свій пристрій, для Android-гаджетів варто виявити, у яких застосунків є доступ до спеціальних можливостей смартфона. Цей дозвіл — один із найвищих для платформи Android, і, за великим рахунком, його варто вмикати лише для антивірусу.
Щоб убезпечити себе від встановлення шпигунських програм, потрібно зробити таке:
- захистити пристрій від несанкціонованого фізичного доступу. Тобто мати екранний пароль, двофакторну аутентифікацію;
- використовувати надійний антивірус;
- регулярно перевіряти свої паролі на витік та змінювати їх за потреби.