Selitetty: Kuinka Pegasus-vakoiluohjelma saastuttaa laitteen; mitkä tiedot voivat vaarantua

Projekti Pegasus: Israelin vakoiluohjelmat, joita on paljastettu käytettyjen satojen puhelimien kohdistamiseen Intiassa, ovat vähentyneet napsautusten varassa. Pegasus voi tartuttaa laitteen ilman kohteen sitoutumista tai tietämättä.

Pegasus on NSO Groupin lippulaivatuote (Express-kuva)

Marraskuussa 2019 teknologiatoimittaja New Yorkista valokuvasi kuuntelulaitetta, joka oli esillä Milipolissa, Pariisin sisäisen turvallisuuden messuilla. Näytteilleasettaja, NSO Group, asetti laitteiston pakettiauton takaosaan, mikä ehkä viittaa siirrettävyyden mukavuuteen, ja sanoi, että se ei toimisi yhdysvaltalaisissa puhelinnumeroissa, mahdollisesti yrityksen itse asettaman rajoituksen vuoksi.

Sen jälkeen kun israelilainen kyberjätti perustettiin vuonna 2010, se oli luultavasti ensimmäinen kerta, kun NSO:n valmistama kannettava tukiasema (BTS) esitettiin tiedotusvälineissä.

BTS - tai 'rogue cell tower' tai 'IMSI Catcher' tai 'stingray' - esiintyy laillisina matkapuhelintorneina ja pakottaa matkapuhelimet tietyn säteen sisällä muodostamaan yhteyden siihen, jotta hyökkääjä voi manipuloida siepattua liikennettä. Vuonna 2019 kuvattu BTS koostui vaakasuoraan pinotuista korteista, jotka todennäköisesti mahdollistavat sieppauksen useilla taajuuskaistoilla.

Toinen vaihtoehto on hyödyntää pääsyä kohteen matkapuhelinoperaattoriin. Siinä skenaariossa hyökkääjä ei tarvitsisi mitään huijausta solutornia, vaan luottaisi tavalliseen verkkoinfrastruktuuriin manipuloinnissa.

Joka tapauksessa kyky käynnistää 'verkkoinjektio' -hyökkäyksiä - suoritetaan etänä ilman kohteen sitoutumista (siis myös kutsutaan nollaklikkaukseksi ) tai tietoa — antoi Pegasus , NSO Groupin lippulaivatuote, ainutlaatuinen etu kilpailijoihinsa verrattuna maailmanlaajuisilla vakoiluohjelmamarkkinoilla.

Pegasus on nyt maailmanlaajuisen tutkimusyhteistyöprojektin keskipisteessä, jossa on havaittu, että vakoiluohjelmia on käytetty muun muassa satoja matkapuhelimia Intiassa .

Miten Pegasus eroaa muista vakoiluohjelmista?

Pegasus eli Q Suite, jota NSO Group eli Q Cyber ​​Technologies markkinoi maailman johtavana kybertiedusteluratkaisuna, jonka avulla lainvalvonta- ja tiedusteluviranomaiset voivat poimia tietoja etänä ja piilossa lähes mistä tahansa mobiililaitteesta, on Israelin tiedustelupalvelujen veteraanien kehittämä.

Vuoden 2018 alkuun asti NSO Groupin asiakkaat luottivat ensisijaisesti tekstiviesteihin ja WhatsApp-viesteihin huijatakseen kohteita avaamaan haitallinen linkki, joka johtaisi heidän mobiililaitteidensa saastumiseen. Eräässä Pegasus-esitteessä tätä kuvattiin Enhanced Social Engineering Message (ESEM) -viestinä. Kun ESEM-muotoon pakattua haitallista linkkiä napsautetaan, puhelin ohjataan palvelimelle, joka tarkistaa käyttöjärjestelmän ja toimittaa sopivan etäkäytön.

Amnesty International dokumentoi lokakuussa 2019 julkaisemassaan raportissa ensimmäisen kerran 'verkkoinjektioiden' käytön, jonka avulla hyökkääjät pystyivät asentamaan vakoiluohjelmat ilman, että kohteen olisi pitänyt toimia. Pegasus voi toteuttaa tällaisia ​​nollanapsautusasennuksia eri tavoilla. Yksi over-the-air (OTA) -vaihtoehto on lähettää piiloviestin, joka saa kohdelaitteen lataamaan vakoiluohjelmat ilman, että kohde on tietoinen asennuksesta, jota hän ei kuitenkaan voi hallita.

Tämä, Pegasus-esite kehuu, on NSO:n ainutlaatuisuus, joka erottaa Pegasus-ratkaisun merkittävästi kaikista muista markkinoilla olevista vakoiluohjelmista.

Millaiset laitteet ovat haavoittuvia?

Käytännössä kaikki laitteet. iPhonet on kohdistettu laajasti Pegasuksen kanssa Applen oletusarvoisen iMessage-sovelluksen ja sen perustana olevan Push Notification Service (APNs) -protokollan kautta. Vakoiluohjelmat voivat jäljitellä iPhoneen ladattua sovellusta ja lähettää itsensä push-ilmoituksina Applen palvelimien kautta.

Elokuussa 2016 Citizen Lab, Toronton yliopistossa sijaitseva monitieteinen laboratorio, ilmoitti Pegasuksen olemassaolosta kyberturvallisuusyritykselle Lookoutille, ja he ilmoittivat uhkan Applelle. Huhtikuussa 2017 Lookout ja Google julkaisivat yksityiskohtia Pegasuksen Android-versiosta.

Lokakuussa 2019 WhatsApp syytti NSO Groupia videopuheluominaisuuden haavoittuvuuden hyödyntämisestä. Käyttäjä vastaanottaa videopuhelun, mutta tämä ei ollut tavallinen puhelu. Puhelimen soittua hyökkääjä lähetti salaa haittakoodia yrittääkseen tartuttaa uhrin puhelimen vakoiluohjelmilla. Henkilön ei tarvinnut edes vastata puheluun, WhatsAppin johtaja Will Cathcart sanoi.

Joulukuussa 2020 Citizen Lab -raportti kertoi, kuinka hallituksen toimijat käyttivät Pegasusta hakkeroidakseen 37 puhelinta, jotka kuuluivat Al Jazeeran ja Lontoon Al Araby TV:n toimittajille, tuottajille, ankkureille ja johtajille heinä-elokuussa 2020 hyödyntäen nollapäivää ( kehittäjille tuntematon haavoittuvuus) vähintään iOS 13.5.1:tä vastaan, joka voisi hakkeroida Applen silloisen uusimman iPhone 11:n. Vaikka hyökkäys ei toiminut iOS 14:ää tai uudempaa vastaan, raportin mukaan sen havaitsemat infektiot olivat luultavasti murto-osa kokonaismäärästä hyökkäykset, kun otetaan huomioon NSO Groupin asiakaskunnan yleinen leviäminen ja lähes kaikkien iPhone-laitteiden ilmeinen haavoittuvuus ennen iOS 14 -päivitystä.

Päästyykö vakoiluohjelma aina mihin tahansa laitteeseen, johon se kohdistuu?

Yleensä hyökkääjän on syötettävä Pegasus-järjestelmään vain kohdepuhelinnumero verkkoinjektiota varten. Loput tekee järjestelmä automaattisesti, Pegasus-esitteessä sanotaan, ja vakoiluohjelmat asennetaan useimmissa tapauksissa.

Joissakin tapauksissa verkkoinjektiot eivät kuitenkaan välttämättä toimi. Esimerkiksi etäasennus epäonnistuu, jos NSO-järjestelmä ei tue kohdelaitetta tai sen käyttöjärjestelmää päivitetään uusilla suojauksilla.

Ilmeisesti yksi tapa väistää Pegasusta on vaihtaa puhelimen oletusselainta. Pegasus-esitteen mukaan järjestelmä ei tue asennusta muista selaimista kuin laitteen oletusselaimista (ja myös Chromesta Android-pohjaisille laitteille).

Kaikissa tällaisissa tapauksissa asennus keskeytyy ja kohdelaitteen selain näyttää ennalta määritellyn vaarattoman verkkosivun, jotta kohteella ei ole aavistustakaan epäonnistuneesta yrityksestä. Seuraavaksi hyökkääjä todennäköisesti luopuu ESEM-napsautussyötteihin. Jos kaikki muu epäonnistuu, esitteen mukaan Pegasus voidaan pistää manuaalisesti ja asentaa alle viidessä minuutissa, jos hyökkääjä pääsee fyysisesti käsiksi kohdelaitteeseen.

Mitä tietoja voidaan vaarantaa?

Kun puhelin on saanut tartunnan, siitä tulee digitaalinen vakooja hyökkääjän täydellisessä hallinnassa.

Asennuksen yhteydessä Pegasus ottaa yhteyttä hyökkääjän komento- ja ohjauspalvelimiin vastaanottaakseen ja suorittaakseen ohjeita ja lähettääkseen takaisin kohteen yksityisiä tietoja, kuten salasanoja, yhteystietoluetteloita, kalenteritapahtumia, tekstiviestejä ja live-äänipuheluita (myös päätepuhelut). -salatut viestisovellukset). Hyökkääjä voi ohjata puhelimen kameraa ja mikrofonia sekä käyttää GPS-toimintoa kohteen jäljittämiseen.

Välttääkseen laajan kaistanleveyden kulutuksen, joka saattaa hälyttää kohteen, Pegasus lähettää vain ajoitetut päivitykset C&C-palvelimelle. Vakoiluohjelmat on suunniteltu välttämään rikostekninen analyysi, välttämään virustorjuntaohjelmiston havaitseminen, ja hyökkääjä voi tarvittaessa poistaa sen käytöstä ja poistaa sen.

Mihin varotoimiin voi ryhtyä?

Teoreettisesti viisas kyberhygienia voi suojata ESEM-syöteiltä. Mutta kun Pegasus hyödyntää puhelimen käyttöjärjestelmän haavoittuvuutta, kukaan ei voi tehdä mitään verkkoinjektion estämiseksi. Mikä pahempaa, sitä ei edes huomaa, ellei laitetta ole skannattu digitaalisessa turvalaboratoriossa.

Vaihtaminen vanhaan luuriin, joka sallii vain peruspuhelut ja -viestit, rajoittaa varmasti tietojen altistumista, mutta ei välttämättä vähennä tartuntariskiä merkittävästi. Myös kaikki sähköpostiin ja sovelluksiin käytettävät vaihtoehtoiset laitteet pysyvät haavoittuvina, ellei kyseisten olennaisten palveluiden käyttöä luovuteta kokonaan.

Siksi parasta, mitä voi tehdä, on pysyä ajan tasalla jokaisesta laitevalmistajien julkaisemasta käyttöjärjestelmäpäivityksestä ja tietoturvakorjauksesta ja toivoa, että nollapäivän hyökkäykset harvenevat. Ja jos budjetti on käytettävissä, luurin vaihtaminen määräajoin on ehkä tehokkain, jos kalliskin, parannuskeino.

Koska vakoiluohjelmat sijaitsevat laitteistossa, hyökkääjän on saastutettava uusi laite onnistuneesti aina, kun laite vaihtuu. Tämä voi aiheuttaa sekä logistisia (kustannus) että teknisiä (turvapäivitys) haasteita. Ellei joudu vastustamaan rajattomia resursseja, jotka yleensä liittyvät valtion valtaan.

Jaa Ystäviesi Kanssa: