Съвременните средства за проследяване на терористите бяха използвани от властите на авторитарните държави за шпиониране на журналисти и опозиционери. Изданието Vlast преведе доклада на OCCRP

Следите от шпионски софтуер Pegasus са открити в телефоните на много журналисти и активисти по целия свят. Как точно Pegasus прониква в телефона, какво може да направи програмата и как експертите по сигурността определят неговото присъствие може да прочете по-долу в материала на Центъра за изследване на корупцията и организираната престъпност (OCCRP, език на оригинала - английски), който беше преведен на руски от редакцията на сп. Власт. "Новая газета" го препубликува на своя сайт.

Сензационното разследване на Едуард Сноудън за масовото следене от американското правителство накара целия свят да се разтревожи за цифровата безопасност. Шифроването от край до край, използвано преди това предимно от шпионите и ентусиастите на киберсигурността, стана повсеместно, след като комуникацията се премести към криптираните имейл услуги и месинджъри като Whatsapp и Signal.

Тези промени оставиха правителствата без възможности за следене и в отчаяното търсене на решения. беше създаден Pegasus, който им даде това решение.

Pegasus е водещият продукт на израелската компания за киберразузнаване NSO Group, която е може би най-известната от нововъзникналите шпионски компании.

Технологиите на NSO Group позволяват на клиентите, според твърденията на компанията, изключително на правителствата и никога на физическите лица или компаниите да избират в качеството си на цели конкретни телефонни номера и да заразяват свързаните с тях устройства с Pegasus.

Но вместо да се опитва да прихване криптираните данни, предавани от едно устройство на друго, Pegasus позволява на потребителя да контролира самото устройство и да получи достъп до всичко, което се съхранява в него.

Pegasus следи за натисканията на клавишите на заразеното устройство и всички писмени комуникации и търсения, дори и паролите се предават на клиента, както достъпа до микрофона и камерата на телефона, и го превръща в мобилно шпионско устройство, което ''мишената'' носи със себе си, без да се замисли.

„Хакването на телефон позволява на хакера да получи правата на администратор на устройството. Това прави възможно да се прави почти всичко с този телефон“, казва Клаудио Гуарнери от лабораторията за сигурност на Amnesty International, която разработи методологията за анализ на заразени устройства.

Правителствата по света са нетърпеливи да се докоснат до това, което Pegasus може да им предостави, тъй като това ще им даде свободен достъп до комуникациите и движението на терористите и престъпниците. Проектът Pegasus обаче показва как NSO Group почти сигурно е продала технологията на държави със съмнителен опит в областта на правата на човека и как технологията е била използвана за шпионирането на журналисти и активисти.

Доказателствата, събрани по Проекта Pegasus, показват, че правителствата от Индия до Азербайджан и от Руанда до Мексико са използвали успешно шпионския софтуер на NSO Group.

За да запази своята позиция, екипът на NSO Group трябва непрекъснато да подобрява технологията си, за да изпревари такива компании като Apple и Google, които непрекъснато пускат своите актуализации за справяне с уязвимостта на техните продукти. През последните 5 години Pegasus се превърна от сравнително проста система, която използва предимно социално техническите атаки, до програма, която дори не изисква потребителят да следва връзката на хакването на телефона си.

Експлойт без кликване

Експлойт (англ. exploit, експлоатирам) - компютърна програма, фрагмент от програмен код или последователни команди, използващи уязвимостта в програмното обезпечение и приложима за провеждане на атака на изчислителната система. Целта на атаката може да бъде завземане на контрола над системата (повишена привилегия), както и нарушаване на нейното функциониране (DoS-атака).

Преди това хакерските атаки на Pegasus изискваха активното участие на ''мишената''. Операторите на програмата изпращаха текстово съобщение със злонамерена връзка към телефона на ''мишената''. Ако ''мишената'' последва връзката, в браузъра се отваря злонамерената страница, която качва злонамерен код на устройството. NSO Group използва различни тактики, за да увеличи вероятността за връзката.

„Клиентите изпращаха спам съобщения, за да ядосат ''мишената'' и след това да изпращаха с друго съобщение връзка, която след се кликне, ще се спре получаването на спам“, казва Гуарнери. Използвани са социотехнически техники, за да се увеличи вероятността за кликване чрез вмъкване на злонамерени връзки в съобщения, които са предназначени да заинтересуват или да сплашват целите на шпионския софтуер.

„Съобщенията могат да включват новини, от които човек се интересува, или реклами за артикули, които би искал да закупи, като членство във фитнес зала или онлайн продажби“, казва Гуарнери.

С течение на времето потребителите осъзнаха тези тактики и се научиха да идентифицират по-добре злонамерения спам. Търсеше се нещо по-сложно.

Решението беше да се използват така наречените "експлойти без кликване". Тези уязвимости не изискват никакво участие на потребителя, за да може Pegasus да зарази устройство и това е тактиката, която правителствата, използващи Pegasus, предпочитат през последните години, казва Гуарнери.

Експлойтът без кликване разчита на уязвимостите в популярните приложения като iMessage, WhatsApp и Facetime. Всички те получават и обработват данните - понякога от неизвестни източници.

След като уязвимостта бъде открита, Pegasus прониква в устройството, използвайки протокола на приложението. Потребителят не е нужно да следва връзката, да чете съобщение или да отговаря на повикване.

„Експлойтът без кликване съставлява повечето случаи, които сме виждали от 2019 г. насам“, казва Гуарнери. Екипът му публикува техническия доклад за методологията на проекта Pegasus.

„Това е много гадна програма - особено гадна“, каза Тимоти Съмърс, бивш компютърен инженер от американската разузнавателна служба, пред журналисти. ''Тя прониква в повечето системи за съобщения, включително в Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, вградените месинджъри и пощата на Apple, наред с другите. С този арсенал можете да шпионирате населението на целия свят. Очевидно NSO Group предлага на разузнавателните агенции тази услуга".

Ответното съпротивление

Въпреки репутацията си на основно приложение, iMessage е известно за експертите, че е уязвимо за атаките. Мат Грийн, криптограф и експерт по сигурността в университета „Джон Хопкинс“, разказа пред журналисти, че iMessage е станал по-уязвим, след като Apple е усложнил софтуера си, и по този начин неволно е увеличил броя на начините за намирането на грешки в програмата, които могат да бъдат използвани. Apple редовно пуска своите актуализации за справяне с тези уязвимости, но шпионската индустрия винаги е с поне една крачка напред.

„Нямам никакво съмнение, че Pegasus е способен да зарази най-новите версии на iOS“, казва Гуарнери. „Много повече време и пари са инвестирани в намирането на тези уязвимости, отколкото, вероятно, в предотвратяването на тяхното създаване и премахването им. Това е игра на котка и мишка и котката винаги е напред заради икономическия стимул".

Говорителят на Apple отрече, че шпионските компании са ги изпреварили в разговор с Washington Post.
„Тези атаки срещу iPhone, като тези, създадени от NSO Group, са насочени, струват милиони за тяхното развитие и често са краткотрайни в тяхното използване, докато ние откриваме и отстраняваме уязвимостите. По този начин ние икономически обезкуражаваме мащабните атаки срещу потребителите на iPhone“, казва Айвън Кръстич, ръководител на инженеринговата система за сигурност в Apple.

Шпионският софтуер е без съмнение доходоносен бизнес. През 2016 г. New York Times съобщи, че софтуерът на NSO Group, способен да шпионира десетки потребители на iPhone, струва $650 000, плюс таксата за настройка от $500 000 и вероятно тя е била много по-малко напреднала технология от наличната днес. През 2020 г. компанията отчете печалба от $243 млн.

Изненадани в киберсигурността, IT компаниите сега се защитават в съда. През 2019 г. WhatsApp заведе дело срещу NSO Group в САЩ, твърдейки, че израелската компания е използвала тяхната уязвимост, за да зарази над 1400 устройства. WhatsApp казва, че атаките са били насочени към журналисти, адвокати, религиозни лидери и политически дисиденти. Няколко други известни компании, включително Microsoft и Google, добавиха подкрепящи тази теза доказателства към продължаващото дело.

Искът бе последван от други искове, заведени преди това от Amnesty International (срещу израелското министерство на отбраната, което трябва да координира всички продажби на NSO Group на чуждите правителства), както и от журналисти и активисти, за които се твърди, че станали ''мишени'' на технологиите на NSO Group.

Инфекция на мрежата

В допълнение към експлойтът без кликване, клиентите на NSO Group могат да използват и така наречените „инфекции на мрежите“, за да получат незабелязан достъп до телефона. Сърфирането в мрежата може да изложи устройство на атака, без да се кликва върху злонамерено създадена връзка. При този подход потребителят трябва да отиде на незащитен уебсайт по време на обичайните си онлайн дейности. След като влезе в незащитения сайт, софтуерът на NSO Group може да осъществи достъп до телефона и да го зарази.
„Не можете да направите нищо по въпроса. Закъснението между навигацията до незащитената уеб страница и заразяването с Pegasus може да бъде въпрос на милисекунди“, казва Гуарнери.

Обаче с използването на този метод е по-трудно от атакуването на телефон със злонамерена връзка или експлойт без кликване, тъй като изисква мониторинг на използването на мобилния телефон, докато интернет трафикът не бъде защитен.

Това обикновено се прави от мобилния оператор, до който някои правителства имат достъп. Но зависимостта от телефонните оператори затруднява или прави невъзможно за правителствата да проникнат в устройствата на хората, които са извън тяхната юрисдикция. Експлойтът без кликване може да преодолее подобни ограничения, и това го прави популярен.

От "нулевия пациент" до веригата с доказателства

Технологичният екип на Amnesty International анализира данните от десетки мобилни телефони, вероятно атакувани от клиентите на NSO Group.

За да се открие Pegasus на устройството, екипът първо търси най-очевидния признак - наличието на злонамерени връзки в текстовите съобщения. Тези връзки водят до един от няколкото домейна, използвани от NSO Group за изтеглянето на шпионски софтуер на вашия телефон и това е инфраструктурата на компанията.

„NSO Group допусна оперативни грешки при изграждането на своята инфраструктура, която използва за атаките“, казва Гарниери. Първият докладван случай, за ''нулевият пациент'', тази мрежова инфраструктура „съдържаше препратка към инфраструктурата на NSO Group“.

NSO Group също първоначално използваше няколко фалшиви имейл акаунта, за да изгради голяма част от своята инфраструктура. Един от тези акаунти е свързан с домейн и това потвърждава, че принадлежи на NSO Group.

''Нулевият пациент'' беше защитникът на правата на човека от Обединените арабски емирства на име Ахмед Мансур.

През 2016 г. Citizen Lab откри, че телефонът на Мансур е бил хакнат чрез злонамерени връзки, предлагащи да се узнаят „новите тайни“ за изтезанията от властите на ОАЕ. Citizen Lab успя да докаже, че съобщенията идват от Pegasus.

„Винаги ще има верига от доказателства, които ще ни свържат със самият първи нулев пациент“, казва Гуарнери.

В допълнение към откриването на връзките към мрежовата инфраструктура на NSO Group, екипът на Amnesty видя прилики в зловредните процеси, изпълнявани от заразеното устройство. Има само няколко десетки от тях и един от тях, е наречен Bridgehead или BH, който се появява многократно във всички зловредни програми, и стига и до телефона на Мансур.

Гуарнери казва, че е изтеглил всички версии на iOS, издадени от 2016 г. насам, за да провери дали процесите, които е открил на заразените устройства, са легитимни. Нито един от процесите, открити от екипа му, не е пуснат от Apple.

„Знаем, че тези процеси са незаконни и са вредни. Знаем, че това са процеси на Pegasus, защото те са свързани с мрежовата инфраструктура, която ние сме виждали“, казва Гуарнери. На заразените устройства екипът на Amnesty наблюдава ясната последователност:

- Има посещение на уебсайт,
- приложението се срива,
- някои файлове са променени,

и всичките тези процеси бяха завършени за секунди или дори за милисекунди. Процесите, които виждаме във всички анализирани случаи, са постоянни и уникални. Не се съмнявам, че си имаме работа с Pegasus".

(Превод за „Труд” – Павел Павлов)