Программа pegasus как работает

Современное средство слежки за террористами использовалось властями авторитарных стран, чтобы следить за журналистами и оппозиционерами. Издание Vlast перевело доклад OCCRP

Как работает программа-шпион Pegasus?

Cледы шпионской программы Pegasus были найдены в телефонах множества журналистов и активистов по всему миру. Как именно Pegasus проникает в телефон, что может сделать программа, и как специалисты по безопасности определяют ее наличие — в материале Центра по исследованию коррупции и организованной преступности (OCCRP, язык оригинала — англ.), перевод которого на русский сделала редакция журнала Vlast. «Новая газета» републикует его и у себя.

Нашумевшее расследование Эдварда Сноудена о массовой слежке американского правительства заставило весь мир забеспокоиться о цифровой безопасности. Сквозное шифрование, которым раньше пользовались в основном шпионы и энтузиасты кибербезопасности, стало использоваться повсеместно, после того, как общение переместилось в зашифрованные сервисы электронной почты и такие мессенджеры, как Whatsapp и Signal.

Эти перемены оставили правительства без возможности для слежки — и в отчаянных поисках решений. Pegasus был создан как раз для того, чтобы дать им это решение.

Pegasus — это основной продукт израильской компании «киберразведки» NSO Group — вероятно, наиболее известной из новых компаний, производящих шпионское программное обеспечение. Технологии NSO Group позволяют клиентам — по утверждению компании, исключительно правительствам и никогда частным лицам или компаниям — выбирать в качестве целей конкретные телефонные номера и заражать связанные с ними устройства Pegasus.

Но вместо того, чтобы пытаться перехватить зашифрованные данные, передаваемые одним устройством другому, Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится.

Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона,

превращая его в мобильное шпионское устройство, которое «мишень», не задумываясь, носит с собой.

«Взлом телефона позволяет хакеру получить права администратора на устройстве. Это дает возможность сделать на телефоне практически все что угодно», — говорит Клаудио Гуарнери из Лаборатории Безопасности Amnesty International, где разработали методологию для анализа зараженных устройств.

Правительства по всему миру желают заполучить то, что может предоставить Pegasus, так как это даст им свободный доступ к коммуникациям и перемещениям террористов и преступников. Однако

Проект Pegasus показывает, как NSO Group почти наверняка продавала свои технологии странам с сомнительной историей соблюдения прав человека, и как эти технологии использовались для слежки за журналистами и активистами.

Доказательства, собранные Проектом Pegasus, говорят о том, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионское ПО NSO Group.

Для поддержания своего положения, команда NSO Group должна постоянно совершенствовать свои технологии, чтобы обогнать такие компании, как Apple и Google, выпускающие обновления для устранения уязвимостей. За последние пять лет Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.

Эксплойт без клика

Раньше для хакерских атак Pegasus требовалось активное участие самой «мишени». Операторы программы посылали текстовое сообщение с вредоносной ссылкой на телефон объекта слежки. Если человек переходил по ссылке, в браузере открывалась вредоносная страница, скачивающая и запускающая вредоносный код на устройстве. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.

«Клиенты посылали спам-сообщения для того, чтобы разозлить «мишень», а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам», —

говорит Гуарнери. Социотехнические приемы использовались для того, чтобы увеличить вероятность клика: вредоносные ссылки вставлялись в сообщения, которые должны были были заинтересовать или напугать объектов шпионского ПО.

«Сообщения могут включать новости, которые интересуют человека, или рекламу вещей, которые он хотел бы приобрести — например, абонемент в спортивный зал, или онлайн-продажи», — говорит Гуарнери.

Со временем пользователям стало известно о таких тактиках, и они научились лучше определять вредоносный спам. Требовалось что-то более изощренное.

Решением стало использование так называемых «эксплойтов без клика». Эти уязвимости не требуют никакого участия пользователя для того, чтобы Pegasus смог заразить устройство. По словам Гуарнери, в последние годы правительства, использующие Pegasus, предпочитают именно эту тактику.

Эксплойты без клика полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.

«Экслойты без клика составляют большинство случаев, которые мы видели с 2019 года», — говорит Гуарнери. Его команда опубликовала технический отчет по методологии Проекта Pegasus.

«Это скверная программа — особо скверная, — сказал репортерам Тимоти Саммерс, бывший компьютерный инженер разведывательной службы США. — Она проникает в большинство систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, встроенные мессенджеры и почту Apple, и другие. С таким арсеналом можно шпионить за населением всего мира. Очевидно, что NSO предлагает разведывательное агентство как услугу».

Ответное сопротивление

Несмотря на репутацию мэйнстримового приложения, iMessage, как известно экспертам, уязвим для атак. Мэтт Грин, специалист по криптографии и эксперт по безопасности Университета Джонса Хопкинса, рассказал репортерам, что iMessage стал более уязвим с тех пор, как Apple усложнила свое программное обеспечение, тем самым непреднамеренно увеличив количество способов найти ошибки программирования, которыми можно воспользоваться. Apple регулярно выпускает обновления, которые должны устранять такие уязвимости, но индустрия шпионского ПО всегда оказывается как минимум на шаг впереди.

«Нет сомнения, что Pegasus способен заразить последние версии iOS, — говорит Гуарнери. — Гораздо больше времени и денег вложено в то, чтобы найти эти уязвимости, чем, вероятно, в то, чтобы предупредить их создание и избавиться от них.

Это игра в кошки-мышки, и кошка всегда впереди из-за экономического стимула».

Представитель Apple в разговоре с репортерами Washington Post отрицал, что компании-производители шпионского ПО опережают их.

«Такие атаки на iPhone, подобные тем, что создают NSO Group, целенаправленны, их разработка стоит миллионы, и часто не долговечны в использовании, так как мы их обнаруживаем и устраняем уязвимости. Тем самым мы экономически препятствуем масштабным атакам пользователей iPhone», — говорит Иван Крстич, глава по инженерной безопасности Apple.

Бизнес по производству шпионского ПО, тем не менее, без сомнения прибыльный. В 2016 году New York Times сообщила о том, что программное средство NSO, способное шпионить за десятью пользователями iPhone, стоит $650 000 плюс $500 000 плата за установку — и это, вероятно, намного менее продвинутые технологии, чем то, что доступно сегодня. В 2020 году компания отчиталась о прибыли в $243 млн.

Снесите все файлы заранее!

Как обезопасить себя, если ваш смартфон решил изъять Следственный комитет

Застигнутые врасплох в кибербезопасности, IT-компании сейчас обороняются в судах. В 2019 году WhatsApp подала в суд на NSO Group в США, заявив, что израильская компания воспользовалась уязвимостью, чтобы заразить более чем 1,400 устройств. WhatsApp заявляет, что мишенями атаки стали журналисты, юристы, религиозные лидеры и политические диссиденты. Несколько других известных компаний, включая Microsoft и Google, приобщили подкрепляющие доказательства к продолжающемуся делу.

Иск последовал за другими, которые до этого подали Amnesty International (против израильского министерства обороны, которое должно согласовывать все продажи NSO Group иностранным правительствам), а также журналисты и активисты, предположительно ставшие целями технологий NSO.

Сетевая инъекция

Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке. При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.

«Вы ничего не сможете с этим поделать, — говорит Гуарнери. — Задержка [между переходом на незащищенный веб-сайт и заражением Pegasus] может составлять считанные миллисекунды».

Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.

Обычно это делается через оператора мобильной связи, к которому некоторые правительства имеют доступ. Но зависимость от телефонных операторов затрудняет или делает невозможным для правительств взлом устройств людей, находящихся за пределами их юрисдикции. Эксплойты без клика могут преодолеть такие ограничения, что и делает их популярными.

Как работает Pegasus?

Шокирующие откровения Эдварда Сноудена о массовой слежке, которую организовало правительство США, заставили весь мир задуматься о кибербезопасности.

Сквозное шифрование, раньше интересовавшее только шпионов и гиков в сфере информационной безопасности, стало обычным делом: люди предпочитают использовать для обмена письмами и сообщениями такие приложения, как WhatsApp и Signal.

Правительства лишились возможности следить за своими гражданами, и им нужно было срочно с этим что-то делать.

Так и появилась программа Pegasus.

Pegasus – флагманский продукт израильской компании NSO Group, разрабатывающей ПО для кибер-слежки. Пожалуй, это самая известная из подобных фирм. Созданная NSO Group технология позволяет клиентам, зная лишь номер телефона потенциальной цели, внедрять Pegasus в телефон. В компании утверждают, что сотрудничают только с правительствами и не продают свой продукт частным лицам или фирмам.

Однако вместо того чтобы считывать информацию, которой обмениваются владельцы устройств (которая, вероятнее всего, зашифрована), Pegasus предоставляет пользователям возможность управлять телефоном и получить доступ ко всем данным.

Pegasus отслеживает каждое действие на зараженном смартфоне – всю переписку, поисковые запросы и даже пароли – и передает их клиенту. Помимо этого, программа предоставляет взломщикам доступ к микрофону и камере, превращая телефон в записывающее устройство, которое жертва везде носит с собой.

«Программа устроена таким образом, что взломщики, заразив устройство, получают права администратора. Благодаря этому они могут делать практически что угодно», – говорит Клаудио Гварньери из Лаборатории безопасности Amnesty International, где разработали методику анализа зараженных телефонов.

Правительствам по всему миру очень нужен Pegasus и вместе с ним полный прямой доступ к переписке, а также к данным о перемещениях террористов и преступников. Однако проект Pegasus раскрывает, что NSO Group, вероятнее всего, продает программу правительствам с сомнительной репутацией в плане соблюдения прав человека. Более того, Pegasus применяют для слежки за журналистами и активистами. Собранные в рамках проекта Pegasus доказательства указывают на то, что правительства многих стран мира – от Индии до Азербайджана, от Руанды до Мексики – используют разработанное NSO шпионское ПО.

Чтобы клиенты не лишались доступа к устройствам, сотрудникам компании необходимо постоянно обновлять программу, опережая такие компании, как Apple и Google, которые пытаются залатать дыры в системах безопасности своих устройств и программ. За последние пять лет Pegasus превратилась из относительно сырого продукта, который основывается на социальной инженерии, в программу, которую можно внедрить в телефон без участия или ведома владельца устройства.

Уязвимости нулевого клика

Раньше хакерские атаки с использованием Pegasus не обходились без активного участия владельца устройства. Операторы Pegasus отправляли на телефоны потенциальных целей слежки СМС-сообщения с вредоносными ссылками. При нажатии на ссылку открывался браузер, и программа загружалась в телефон.

Клиенты NSO Group использовали разные тактики, чтобы повысить кликабельность ссылки.

«[Клиенты] отправляют сообщения со спамом, чтобы сбить цель с толку, а потом шлют еще одно сообщение, в котором просят нажать на ссылку, чтобы больше не получать лишнюю информацию», – рассказывает Гварньери.

Методы социальной инженерии помогают повысить шансы перехода по ссылке – в сообщениях чаще всего манипулируют страхами или интересами жертвы.

«В сообщениях могут быть ссылки на интересующие [цель] новости или реклама товаров, которые человек хочет, – скажем, абонемент в спортзал или онлайн-магазин», – говорит Гварньери.

Со временем люди стали более осведомленными об этих приемах и научились распознавать вредоносный спам. Требовались более хитрые уловки.

И тогда разработчики стали использовать метод «нулевого клика». В этом случае для заражения устройства не требуется никаких действий его владельца. По словам Гварньери, именно этот метод предпочитают в последние годы правительства, использующие Pegasus.

Метод «нулевого клика» основывается на уязвимостях в популярных приложениях, например iMessage, WhatsApp и FaceTime, которые получают и сортируют данные – иногда от неизвестных источников.

Как только выявляется уязвимость, Pegasus проникает в устройство через протокол приложения. Пользователю не нужно нажимать на ссылку, открывать сообщение или отвечать на звонок, к тому же это не столь надежно.

«В большинстве случаев, зафиксированных с 2019 года, для взлома устройств использовали именно метод ’’нулевого клика’’», – рассказывает Гварньери, чья команда опубликовала технический отчет о методологии проекта Pegasus.

«Это гадкая программа, очень гадкая, – поделился с журналистами Тимоти Саммерс, бывший инженер по кибербезопасности. – Она влезает почти во все системы обмена сообщениями, в том числе Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, внутренние сервисы Apple и другие приложения. С помощью этой программы можно шпионить почти за всем населением мира. Очевидно, что NSO продает готовые услуги шпионского агентсва».

Дать отпор

Эксперты утверждают, что приложение iMessage, несмотря на надежную репутацию, уязвимо для хакерских атак. Мэтт Грин, криптограф и эксперт по безопасности в Университете Джонса Хопкинса, рассказал журналистам, что iMessage стал более уязвимым, когда Apple усложнил архитектуру операционной системы. Таким образом компания неосознанно предоставила злоумышленникам новые возможности использования ошибок в коде. Apple регулярно выпускает обновления, направленные на устранение уязвимостей, однако кажется, что представители индустрии разработки и продажи шпионского ПО всегда как минимум на шаг впереди.

«Нет никаких сомнений в том, что [Pegasus] могут внедрить в самые последние версии iOS, – говорит Гварньери. – Вероятно, на то, чтобы выявить эти уязвимости, тратят куда больше средств и времени, чем на то, чтобы не допустить их появления и устранить. Это как игра в кошки-мышки, только кошка всегда впереди, потому что у нее есть экономический стимул».

Представитель Apple в разговоре с журналистами Washington Post отверг информацию о том, что компания отстает от производителей шпионского ПО.

«Атаки на устройства iPhone, подобные тем, что организует NSO Group, нацелены на конкретных лиц, стоят миллионы долларов и зачастую ограниченны по времени, потому что мы выявляем и устраняем проблемы. Мы делаем все возможное для того, чтобы массовые атаки на пользователей устройств iPhone были экономически невыгодны», – сообщил Иван Крстич, глава службы инженерной безопасности Apple.

Очевидно, что это прибыльный бизнес. В 2016 году The New York Times сообщила, что слежка за десятью устройствами iPhone посредством разработанной NSO программы обойдется в 650 тысяч долларов, а еще 500 тысяч придется заплатить за установку – скорее всего, речь шла о менее продвинутой технологии, чем та, что доступна сейчас. По официальным данным, в 2020 году компания заработала 243 миллиона долларов.

Оказавшиеся в невыгодном положении технологические компании обратились в суд в попытке дать отпор производителю шпионского ПО. В 2019 году в США WhatsApp подала на NSO Group в суд, заявив, что израильская фирма, используя уязвимости сервиса, взломала свыше 1400 устройств. Представители WhatsApp утверждают, что среди потерпевших журналисты, юристы, религиозные лидеры и политические диссиденты. Жалобу поддержали несколько крупных компаний, в том числе Microsoft и Google.

Ранее в суд обращалась Amnesty International (организация подала иск против израильского Министерства обороны, которое одобряет все сделки компании с иностранными правительствами), а также активисты и журналисты, против которых якобы использовали разработанную ею технологию.

«Сетевое внедрение»

Помимо уязвимостей «нулевого клика», клиенты NSO Group могут использовать для доступа к устройствам так называемый метод сетевого внедрения. В этом случае владельцу смартфона ни на какие ссылки нажимать не надо. Ему достаточно открыть браузер и посетить незащищенный сайт. Как только человек переходит по ссылке, которая ведет на небезопасную страницу, разработанная NSO Group программа получает доступ к устройству и внедряется в него.

«Тут ничего не поделаешь, – говорит Гварньери. – Проходят всего миллисекунды [с момента перехода на незащищенный сайт до заражения Pegasus]».

Этот метод значительно сложнее, чем использование вредоносной ссылки или уязвимостей «нулевого клика»: необходимо отследить момент, когда владелец устройства решит перейти на незащищенный сайт. Чаще всего этим занимаются мобильные операторы, подконтрольные некоторым правительствам.

Из-за того что приходится привлекать третьих лиц, правительствам при использовании этого метода крайне сложно следить за людьми, которые находятся в других юрисдикциях. При обращении к уязвимостям «нулевого клика» таких ограничений не возникает, что делает этот метод более популярным.

«Нулевой пациент»: куда ведет след?

Специалисты Amnesty International проанализировали данные, полученные с нескольких десятков телефонов, которые проверили на предмет заражения Pegasus. Прежде всего они ищут самые очевидные следы, которые оставляет программа, – вредоносные ссылки в СМС-сообщениях. Эти ссылки ведут на один из доменов, которые NSO Group использует для загрузки шпионского ПО на устройства, – так называемой сетевой инфраструктуры компании.

«В NSO допустили ошибку, когда создали инфраструктуру для совершения атак», – сказал Гварньери. В первом случае, когда появился так называемый нулевой пациент, сетевая инфраструктура «вывела на корпоративную инфраструктуру [NSO]».

По всей видимости, NSO Group использовала несколько поддельных адресов электронной почты, чтобы создать большую часть этой инфраструктуры. Чтобы доказать ее принадлежность NSO Group, достаточно выявить связь любого из этих аккаунтов с каким-то из доменов.

«Нулевым пациентом» был правозащитник из ОАЭ по имени Ахмед Мансур. В 2016 году в Citizen Lab установили, что телефон Мансура взломали – он получил сообщение с вредоносной ссылкой на «новые секреты» о пытках, которые применяли власти ОАЭ. Эксперты Citizen Lab доказали, что сообщение отправили операторы Pegasus.

«Всегда остается след, ведущий к ’’нулевому пациенту’’», – говорит Гварньери.

Сотрудники Amnesty помимо ссылок, ведущих на связанные с NSO домены, также обнаружили сходство вредоносных системных процессов на зараженных устройствах. Их не так много, а один – BridgeНead (или BH) – постоянный спутник шпионской программы. Его использовали даже на телефоне Мансура.

Гварньери рассказал, что скачал каждую версию iOS, выпущенную с 2016 года, чтобы установить происхождение процессов, которые он выявил на зараженных устройствах. Ни один из них не выпускала компания Apple.

«Мы знаем, что эти процессы незаконны – они вредоносные. Мы уверены, что это Pegasus, потому что они выводят на уже знакомую нам инфраструктуру», – говорит Гварньери. Специалисты Amnesty выявили определенную последовательность: «владелец устройства заходит на сайт, приложение вылетает, а в некоторые файлы вносят изменения – все это происходит за секунды или миллисекунды. Во всех проанализированных случаях используются одни и те же процессы. У меня нет сомнений в том, что перед нами Pegasus».

Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить

Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.

Читайте «Хайтек» в

Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android. Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности. Разработчик также утверждает, что внимательно относится к правам человека.

Возможности ПО Pegasus

Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру. Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона. Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.

Скандал с массовой слежкой ПО Pegasus

Список пострадавших

В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.

Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:

Азербайджан,
Бахрейн,
Венгрия,
Индия,
Казахстан,
Марокко,
Мексика,
Объединенные Арабские Эмираты,
Руанда,
Саудовская Аравия.

В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.

По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:

президент Ирака Бархам Салех,
президент ЮАР Сирил Рамафоса,
премьер-министры Пакистана,
Египта,
Марокко.

По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.

NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.

В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.

Как действует ПО Pegasus

Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.

Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.

Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.

Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.

Так Pegasus проникал в большинство систем обмена сообщениями, например:

Gmail,
Facebook,
WhatsApp,
Facetime,
Viber,
WeChat,
Telegram,
встроенные мессенджеры и почту Apple.

Сетевые инъекции

При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.

Как понять заражено ли устройство

Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.

Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.

На зараженных устройствах наблюдается четкая последовательность:

«Посещался веб-сайт,
приложение давало сбой,
некоторые файлы были изменены.

Читать далее:

Может взломать любой телефон: как работает шпионская программа Pegasus и возможно ли ее использовать в войне

Шпионская программа Pegasus дает доступ к администраторским правам пользователя. Это позволяет использовать телефон без ведома владельца. Для подключения Pegasus достаточно просто знать номер телефона владельца, а саму программу практически невозможно засечь. О том, может ли Pegasus использоваться против Украины и наоборот — может ли она помочь украинцам выиграть войну — в материале журналистов телеканала «Дом».

На ваш телефон приходит MMS-сообщение, открывается и впоследствии — самоуничтожается. Теперь его отправители следят за вами без вашего ведома. Именно так работает программа Pegasus.

«Она дает доступ к администраторским правам пользователя. Что это такое? Это полностью можно пользоваться вашим телефоном без вашего ведома. Просматривать, открывать что-либо, слушать звук, включать камеру, включать микрофон в любой момент. Переключать, от вашего имени пересылать какие-либо сообщения, получать, читать. То есть полный доступ. То, что вы пользуетесь телефоном — также пользуется и другое лицо, которое находится где-то далеко, и использует его в своих целях», — говорит эксперт по кибербезопасности Сергей Денисенко.

Для подключения программы достаточно всего лишь номера телефона. Однако паниковать не стоит — ее стоимость, по последним известным данным, около 900 тыс. долл. для пяти номеров. То есть в зоне риска, в первую очередь, телефоны представителей власти и крупного бизнеса. Однако нет гарантии, что Россия не захочет применить эту технологию против Украины.

«Это очень вероятно. Так как мы знаем, что преступникам и разработчикам такого программного обеспечения безразлично, где и против кого оно будет использоваться. Им самое важное — это нажива, то есть получить какое-то финансовое вознаграждение. И таким образом они могут передавать данные и предоставлять услуги РФ», — считает Денисенко.

Однако, по словам эксперта, не исключено использование такого программного обеспечения Украиной в целях обороны. Хотя по сообщениям The Guardian, Израиль с 2019 года отказывал Украине в его покупке, страна могла получить его как по неразглашенным договоренностям, так и через посредников. В то же время успехи Вооруженных сил Украины на фронте и множество удачных операций указывают на то, что войска РФ не могут получить важную военную информацию.

«Враг не владеет и не будет владеть данной информацией. Потому что у нас на фронте используются ведущие средства связи. Также все наши воины проинформированы, что касается рисков использования телефонов, а также каких-либо приложений на линии фронта. Использование зарубежных технических средств связи, а также цифровая гигиена в этом разрезе — это очень большие наши достижения», — отмечает эксперт.

Международная организация Amnesty International в своем отчете называет шпионские программы, подобные Pegasus, одной из главных угроз демократии, и призывает ввести международный мораторий на их использование.

Похожий процесс сейчас проходит в США. Однако, по словам экспертов, этого мало, и помочь в противодействии может лишь развитие систем безопасности в мобильных устройствах. Этим активно занимаются разработчики главных мобильных операционных систем.