Pegasus
Инструмент для кражи данных

Продукт
Разработчики: NSO Group Technologies
Дата последнего релиза: июль 2019 г
Отрасли: Информационные технологии

Содержание

Pegasus – это флагманский продукт израильской NSO Group. Технология NSO позволяет ее клиентам, которые, по словам представителей компании, всегда являются правительствами, а не частниками, выбирать определенные телефонные номера и заражать соответствующие устройства кодом Pegasus.

Но вместо того, чтобы пытаться прослушивать данные, передаваемые между двумя устройствами, которые, скорее всего, будут зашифрованы, Pegasus позволяет пользователям захватить само устройство, получив доступ ко всему, что на нем находится.

Pegasus отслеживает нажатия клавиш на зараженном устройстве – все письменные сообщения и веб-поиски, даже пароли – и возвращает их клиенту, а также предоставляет доступ к микрофону и камере телефона, превращая его в мобильное устройство слежения, которое жертва невольно носит с собой.

Когда телефон взламывается, это делается таким образом, что клиенты и специалисты NSO Group получают административные привилегии на устройстве. Это позволяет делать на телефоне практически все, что угодно.

Такой инструмент как Pegasus, позволяющий получить неограниченный доступ к коммуникациям и перемещениям абонентов заражённых устройств очень востребован правительствами. Среди клиентов NSO Group на 2023 г правительства таких стран как: Мексика, Саудовская Аравия, ОАЭ, Марокко, Испания, Индия, Панама, Того, Руанда, Азербайджан, Бахрейн, Венгрия, Казахстан, Кения.

Для сохранения возможности доступа к зараженным устройствам команда NSO Group должна постоянно обновлять свои технологии, чтобы опережать такие компании, как Apple и Google, которые выпускают патчи для устранения уязвимостей. Постепенно Pegasus превратился из относительно грубой системы, основанной на социальной инженерии, в программу, способную скомпрометировать телефон без необходимости перехода по ссылке.

2023: Использование в войне между Арменией и Азербайджаном

Шпионское программное обеспечение Pegasus, разработанное израильской компанией NSO Group, активно применялось во время крупномасштабного вооружённого конфликта между Азербайджаном и Арменией. Об этом говорится в отчёте некоммерческой организации Access Now, который был обнародован 25 мая 2023 года.

Расследование началось после того, как Apple в ноябре 2021 года разослала пользователям предупреждения о том, что они могли стать жертвами шпионского ПО, распространяемого на государственном уровне. Выяснилось, что смартфоны как минимум двенадцати общественных деятелей и официальных лиц в Армении были взломаны с применением инструмента Pegasus. В документе Access Now, в частности, говорится, что в число жертв шпионажа вошли журналисты, правозащитники, активисты, ученые и представитель ООН.

Pegasus активно применялся во время конфликта между Азербайджаном и Арменией

Авторы отчёта подчёркивают, что это первое задокументированное свидетельство использования шпионского ПО Pegasus в контексте международного вооружённого конфликта. NSO Group утверждает, что их технология продаётся исключительно правительствам: это в целом согласуется с выводами, полученными в ходе расследования. Вместе с тем эксперты не связывают данную шпионскую кампанию с какой-либо конкретной государственной структурой.

Говорится, что предоставление шпионского инструмента Pegasus властям любой страны в условиях вооружённого противостояния сопряжено с существенным риском нарушения прав граждан. Кроме того, предупреждают эксперты, это может способствовать совершению военных преступлений.

«
Контекст, в котором применялось вредоносное ПО Pegasus, особенно тревожен. Расследование говорит о том, что такое кибероружие используется против гражданского общества и гуманитарных организаций в условиях жестокого конфликта, — отмечается в документе Access Now.[1]
»

2022: Дело о взломе телефона испанского премьера через программу Pegasus зашло в тупик

Дело о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел пиренейского королевства Маргариты Роблес и Фернандо Гранде-Марласки с помощью программы Pegasus к декабрю 2022 г зашло в тупик, расследование не может сдвинуться с мертвой точки из-за молчания Израиля.

Тель-Авив проигнорировал все запросы испанского суда (а их было три штуки за последние семь месяцев), а также не дал добро на прибытие команды испанских следователей в Израиль, чтобы взять показания генерального директора компании NSO Group, которая разработала программу Pegasus. TAdviser выпустил новую Карту российского рынка информационной безопасности: 250 разработчиков и поставщиков услуг 38.4 т

Предполагается, что за взломом мобильных телефонов Санчеса, Роблес и Гранде-Марласки могло стоять Марокко. В то время, когда их устройства подверглись хакерским атакам, отношения между Испанией и Марокко были напряженными. Однако доказать это невозможно без сотрудничества с Израилем, а тот еще ни разу не помог в расследованиях, когда аналогичные скандалы возникали в других странах.

2021

Франция подозревает, что телефон президента страны мог прослушиваться с помощью ПО Pegasus

В июле 2021 г Франция изучает сообщение о том, что телефон президента страны Эммануэля Макрона мог прослушиваться с помощью шпионского программного обеспечения, разработанного израильской группой NSO. Марокканское агентство по надзору пыталось получить доступ к его частным разговорам в 2019 году.

Другие главы государств и члены правительства, в том числе бывший премьер-министр Франции Эдуар Филипп, его жена, а также действующий министр иностранных дел Жан-Ив Ле Дриан и министр финансов Бруно Ле Мэр также могли прослушиваться.

Программа Pegasus, продаваемая отдельным правительствам и правоохранительным органам, может взламывать мобильные телефоны по ссылке и тайно записывать электронные письма, звонки и текстовые сообщения.

Использование ПО для слежки за тысячами журналистов и активистов

В середине июля 2021 года стало известно о том, что шпионская программа Pegasus, которая является разработкой израильской компании NSO Group, использовалась для слежки за активистами, журналистами и чиновниками по всему миру. Результаты исследования представил проект Forbidden Stories при поддержке 16 мировых СМИ.

Авторы расследования получили доступ к базе из 50 тыс. мобильных номеров из государств, которые ведут слежку за своими гражданами и являются клиентами NSO Group. В базу попали не менее 180 журналистов со всего мира, там также обнаружены номера 65 бизнесменов, 85 правозащитников и более 600 политиков, включая президентов, премьер-министров, дипломатов, офицеров службы безопасности.

Израильское шпионское ПО используется для слежки за тысячами журналистов и активистов

Среди журналистов, которые оказались в базе, - представители таких СМИ, как CNN, The New York Times, Associated Press, The Wall Street Journal, Bloomberg, Le Monde, Financial Times, а также других. По сообщению Forbidden Stories, программное обеспечение Pegasus могло быть использовано для взлома устройств, которые принадлежат двум женщинам, близким к убитому журналисту Джамалю Хашогги.

Компания по кибербезопасности Amnesty проверила 67 смартфонов, которые могли быть взломаны: 23 устройства были заражены шпионским вирусом, а у 14 устройств обнаружены признаки попытки взлома. Pegasus - это программное обеспечение, которое активируется при нажатии на вирусную ссылку, софт также может начать действовать без каких-либо действий со стороны пользователя. Pegasus ориентирован на захват и копирование основных функций смартфона, в частности возможен сбор информации с камер и микрофона, а также сбор данных геолокации. Вирусное шпионское ПО лицензировано NSO Group как программное обеспечение против террористов.

В NSO Group отвергают обвинения в применении своего ПО для слежки и называют расследование «неподтвержденными теориями». Однако представители компании пообещали организовать расследование о неправомерном использовании софта Pegasus. В NSO Group отмечают, что их технологии позволили предотвратить террористические атаки, насилие с использованием огнестрельного оружия, взрывы автомобилей и действия террористов-смертников.[2]

2020: Сколько стоит ПО Pegasus

По данным New York Times инструмент, позволяющий мониторить 10 пользователей iPhone, обойдется в $650 тыс. и $500 тыс. за установку. Это минимальный пакет услуг. Один стандартный модуль Pegasus в течение года может отслеживать до 500 телефонов, но только 50 одновременно. Лицензия на такой модуль обходится примерно в $7-8 млн в год. Это оценочные цифры, поскольку технология постоянно совершенствуется и стоимость новых аддонов, разработанных под задачи клиентов, по понятным причинам не разглашается.

По данным NSO Group, в 2020 году ее выручка составила $243 млн. Это примерно 25-30 клиентов.

2019: Использование для кражи данных с облачных сервисов Apple, Google и Microsoft

19 июля 2019 года стало известно о расширении возможностей программного обеспечения Pegasus, разработанного израильской технологической компанией NSO Group. Теперь этот инструмент может красть данные с облачных сервисов Apple, Google, Facebook, Amazon и Microsoft.

Журналистам Financial Times попала документация, предназначенная для внутреннего использования в NSO Group. Из неё следует, что заражённые смартфоны могут передавать программе NSO ключи аутентификации для облачных сервисов, включая Google Drive, Facebook Messenger и iCloud, к которым можно получить доступ при помощи устройства.

Разработчик ПО для прослушки WhatsApp создал инструмент для кражи данных с облаков Apple, Google и Microsoft

Отмечается, передача конфиденциальных сведений, таких как полная история местоположения пользователей, архивы переписки и фотографии, происходит без «запроса на двухэтапную проверку или рассылки предупреждений по электронной почте». Кроме того у хакеров может остаться ограниченный доступ к данным, загруженным в облако, даже если удалить шпионскую программу с устройства.

В Amazon заявили, что на данный момент нет доказательств успешных атак Pegasus, однако корпорация пообещала провести расследование. Примерно то же самое сказали в Facebook.

Издание Business Insider связалось с NSO и получило следующий комментарий:

«
Лицензия на наши продукты выдаётся небольшому кругу агентств правительственной разведки и охраны правопорядка с единственной целью предотвратить и расследовать тяжкие преступления, включая терроризм.
»

Представитель NSO подчеркнула, что именно на борьбу с преступностью нацелены инструменты компании, а не на возможности сбора данных и доступа в облако.

Ранее в 2019 году стало известно о появлении в Pegasus функции прослушки разговоров WhatsApp. Она позволяет одним звонком устанавливать на устройства вредоносную программу для слежки за пользователями.[3]

Эксплойты нулевого клика

Решением проблемы снижения эффективности вредоносных ссылок стало использование так называемых эксплойтов нулевого клика. Эти уязвимости не требуют от пользователя никаких действий для того, чтобы Pegasus скомпрометировал его устройство. Именно этот метод атаки был предпочтительным для правительств, использующих Pegasus.

Эксплойты нулевого клика опираются на ошибки в таких популярных приложениях, как iMessage, WhatsApp и FaceTime, которые получают и сортируют данные, иногда из неизвестных источников.

Обнаружив уязвимость, Pegasus может проникнуть на устройство, используя протокол приложения. При этом пользователю не нужно переходить по ссылке, читать сообщение или отвечать на звонок – он может даже не увидеть пропущенный вызов или сообщение.

Эксплойты нулевого клика составляют большинство случаев компрометации устройств, зафиксированных с 2019 года. По заявлению Тимоти Саммерса, бывшего киберинженера одной из американских спецслужб, Pegasus подключается к большинству систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram и встроенные приложения Apple для обмена сообщениями и электронной почты.

2016: Заражение устройств через вредоносные ссылки

В свое время хакерские атаки Pegasus требовали активного участия жертвы. Операторы Pegasus отправляли на телефон жертвы текстовые сообщения с вредоносной ссылкой. При нажатии на нее в браузере открывалась страница, на которой загружалось и исполнялось вредоносное ПО, заражающее устройство.

Клиенты NSO Group использовали различные тактические приемы, чтобы увеличить вероятность клика.

Например, клиенты рассылали спам, чтобы расстроить цель, а затем отправляли еще одно сообщение с просьбой перейти по ссылке, чтобы прекратить получать спам.

Методы социальной инженерии помогали манипулировать целью, заставляя ее перейти по ссылке. Сами ссылки разрабатывались исходя из страхов или интересов жертвы.

Сообщения могли содержать новости, представляющие интерес для адресата, или рекламные акции, которые могли бы его заинтересовать – возможно, абонемент в спортзал или ссылки на распродажи.

Этот грубый подход быстро себя исчерпал. Цели быстро научились распознавать вредоносный спам.

Примечания



СМ. ТАКЖЕ (4)