Как работает Pegasus?

Проект Pegasus
Расследование

Следы активности Pegasus – программы израильской NSO Group – обнаружили в мобильных телефонах журналистов и гражданских активистов по всему миру. Что может программа?

Изображение: Эдди Джеральд / Alamy

18 июля 2021 г.

Шокирующие откровения Эдварда Сноудена о массовой слежке, которую организовало правительство США, заставили весь мир задуматься о кибербезопасности.

Сквозное шифрование, раньше интересовавшее только шпионов и гиков в сфере информационной безопасности, стало обычным делом: люди предпочитают использовать для обмена письмами и сообщениями такие приложения, как WhatsApp и Signal.

Правительства лишились возможности следить за своими гражданами, и им нужно было срочно с этим что-то делать.

Так и появилась программа Pegasus.

Pegasus – флагманский продукт израильской компании NSO Group, разрабатывающей ПО для кибер-слежки. Пожалуй, это самая известная из подобных фирм. Созданная NSO Group технология позволяет клиентам, зная лишь номер телефона потенциальной цели, внедрять Pegasus в телефон. В компании утверждают, что сотрудничают только с правительствами и не продают свой продукт частным лицам или фирмам.

Однако вместо того чтобы считывать информацию, которой обмениваются владельцы устройств (которая, вероятнее всего, зашифрована), Pegasus предоставляет пользователям возможность управлять телефоном и получить доступ ко всем данным.

Pegasus отслеживает каждое действие на зараженном смартфоне – всю переписку, поисковые запросы и даже пароли – и передает их клиенту. Помимо этого, программа предоставляет взломщикам доступ к микрофону и камере, превращая телефон в записывающее устройство, которое жертва везде носит с собой.

«Программа устроена таким образом, что взломщики, заразив устройство, получают права администратора. Благодаря этому они могут делать практически что угодно», – говорит Клаудио Гварньери из Лаборатории безопасности Amnesty International, где разработали методику анализа зараженных телефонов.

Правительствам по всему миру очень нужен Pegasus и вместе с ним полный прямой доступ к переписке, а также к данным о перемещениях террористов и преступников. Однако проект Pegasus раскрывает, что NSO Group, вероятнее всего, продает программу правительствам с сомнительной репутацией в плане соблюдения прав человека. Более того, Pegasus применяют для слежки за журналистами и активистами. Собранные в рамках проекта Pegasus доказательства указывают на то, что правительства многих стран мира – от Индии до Азербайджана, от Руанды до Мексики – используют разработанное NSO шпионское ПО.

Чтобы клиенты не лишались доступа к устройствам, сотрудникам компании необходимо постоянно обновлять программу, опережая такие компании, как Apple и Google, которые пытаются залатать дыры в системах безопасности своих устройств и программ. За последние пять лет Pegasus превратилась из относительно сырого продукта, который основывается на социальной инженерии, в программу, которую можно внедрить в телефон без участия или ведома владельца устройства.

Уязвимости нулевого клика

Раньше хакерские атаки с использованием Pegasus не обходились без активного участия владельца устройства. Операторы Pegasus отправляли на телефоны потенциальных целей слежки СМС-сообщения с вредоносными ссылками. При нажатии на ссылку открывался браузер, и программа загружалась в телефон.

Клиенты NSO Group использовали разные тактики, чтобы повысить кликабельность ссылки.

«[Клиенты] отправляют сообщения со спамом, чтобы сбить цель с толку, а потом шлют еще одно сообщение, в котором просят нажать на ссылку, чтобы больше не получать лишнюю информацию», – рассказывает Гварньери.

Методы социальной инженерии помогают повысить шансы перехода по ссылке – в сообщениях чаще всего манипулируют страхами или интересами жертвы.

«В сообщениях могут быть ссылки на интересующие [цель] новости или реклама товаров, которые человек хочет, – скажем, абонемент в спортзал или онлайн-магазин», – говорит Гварньери.

Со временем люди стали более осведомленными об этих приемах и научились распознавать вредоносный спам. Требовались более хитрые уловки.

И тогда разработчики стали использовать метод «нулевого клика». В этом случае для заражения устройства не требуется никаких действий его владельца. По словам Гварньери, именно этот метод предпочитают в последние годы правительства, использующие Pegasus.

Метод «нулевого клика» основывается на уязвимостях в популярных приложениях, например iMessage, WhatsApp и FaceTime, которые получают и сортируют данные – иногда от неизвестных источников.

Как только выявляется уязвимость, Pegasus проникает в устройство через протокол приложения. Пользователю не нужно нажимать на ссылку, открывать сообщение или отвечать на звонок, к тому же это не столь надежно.

«В большинстве случаев, зафиксированных с 2019 года, для взлома устройств использовали именно метод ’’нулевого клика’’», – рассказывает Гварньери, чья команда опубликовала технический отчет о методологии проекта Pegasus.

«Это гадкая программа, очень гадкая, – поделился с журналистами Тимоти Саммерс, бывший инженер по кибербезопасности. – Она влезает почти во все системы обмена сообщениями, в том числе Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, внутренние сервисы Apple и другие приложения. С помощью этой программы можно шпионить почти за всем населением мира. Очевидно, что NSO продает готовые услуги шпионского агентсва».

Дать отпор

Эксперты утверждают, что приложение iMessage, несмотря на надежную репутацию, уязвимо для хакерских атак. Мэтт Грин, криптограф и эксперт по безопасности в Университете Джонса Хопкинса, рассказал журналистам, что iMessage стал более уязвимым, когда Apple усложнил архитектуру операционной системы. Таким образом компания неосознанно предоставила злоумышленникам новые возможности использования ошибок в коде. Apple регулярно выпускает обновления, направленные на устранение уязвимостей, однако кажется, что представители индустрии разработки и продажи шпионского ПО всегда как минимум на шаг впереди.

«Нет никаких сомнений в том, что [Pegasus] могут внедрить в самые последние версии iOS, – говорит Гварньери. – Вероятно, на то, чтобы выявить эти уязвимости, тратят куда больше средств и времени, чем на то, чтобы не допустить их появления и устранить. Это как игра в кошки-мышки, только кошка всегда впереди, потому что у нее есть экономический стимул».

Представитель Apple в разговоре с журналистами Washington Post отверг информацию о том, что компания отстает от производителей шпионского ПО.

«Атаки на устройства iPhone, подобные тем, что организует NSO Group, нацелены на конкретных лиц, стоят миллионы долларов и зачастую ограниченны по времени, потому что мы выявляем и устраняем проблемы. Мы делаем все возможное для того, чтобы массовые атаки на пользователей устройств iPhone были экономически невыгодны», – сообщил Иван Крстич, глава службы инженерной безопасности Apple.

Очевидно, что это прибыльный бизнес. В 2016 году The New York Times сообщила, что слежка за десятью устройствами iPhone посредством разработанной NSO программы обойдется в 650 тысяч долларов, а еще 500 тысяч придется заплатить за установку – скорее всего, речь шла о менее продвинутой технологии, чем та, что доступна сейчас. По официальным данным, в 2020 году компания заработала 243 миллиона долларов.

Оказавшиеся в невыгодном положении технологические компании обратились в суд в попытке дать отпор производителю шпионского ПО. В 2019 году в США WhatsApp подала на NSO Group в суд, заявив, что израильская фирма, используя уязвимости сервиса, взломала свыше 1400 устройств. Представители WhatsApp утверждают, что среди потерпевших журналисты, юристы, религиозные лидеры и политические диссиденты. Жалобу поддержали несколько крупных компаний, в том числе Microsoft и Google.

Ранее в суд обращалась Amnesty International (организация подала иск против израильского Министерства обороны, которое одобряет все сделки компании с иностранными правительствами), а также активисты и журналисты, против которых якобы использовали разработанную ею технологию.

«Сетевое внедрение»

Помимо уязвимостей «нулевого клика», клиенты NSO Group могут использовать для доступа к устройствам так называемый метод сетевого внедрения. В этом случае владельцу смартфона ни на какие ссылки нажимать не надо. Ему достаточно открыть браузер и посетить незащищенный сайт. Как только человек переходит по ссылке, которая ведет на небезопасную страницу, разработанная NSO Group программа получает доступ к устройству и внедряется в него.

«Тут ничего не поделаешь, – говорит Гварньери. – Проходят всего миллисекунды [с момента перехода на незащищенный сайт до заражения Pegasus]».

Этот метод значительно сложнее, чем использование вредоносной ссылки или уязвимостей «нулевого клика»: необходимо отследить момент, когда владелец устройства решит перейти на незащищенный сайт. Чаще всего этим занимаются мобильные операторы, подконтрольные некоторым правительствам.

Из-за того что приходится привлекать третьих лиц, правительствам при использовании этого метода крайне сложно следить за людьми, которые находятся в других юрисдикциях. При обращении к уязвимостям «нулевого клика» таких ограничений не возникает, что делает этот метод более популярным.

«Нулевой пациент»: куда ведет след?

Специалисты Amnesty International проанализировали данные, полученные с нескольких десятков телефонов, которые проверили на предмет заражения Pegasus. Прежде всего они ищут самые очевидные следы, которые оставляет программа, – вредоносные ссылки в СМС-сообщениях. Эти ссылки ведут на один из доменов, которые NSO Group использует для загрузки шпионского ПО на устройства, – так называемой сетевой инфраструктуры компании.

«В NSO допустили ошибку, когда создали инфраструктуру для совершения атак», – сказал Гварньери. В первом случае, когда появился так называемый нулевой пациент, сетевая инфраструктура «вывела на корпоративную инфраструктуру [NSO]».

По всей видимости, NSO Group использовала несколько поддельных адресов электронной почты, чтобы создать большую часть этой инфраструктуры. Чтобы доказать ее принадлежность NSO Group, достаточно выявить связь любого из этих аккаунтов с каким-то из доменов.

«Нулевым пациентом» был правозащитник из ОАЭ по имени Ахмед Мансур. В 2016 году в Citizen Lab установили, что телефон Мансура взломали – он получил сообщение с вредоносной ссылкой на «новые секреты» о пытках, которые применяли власти ОАЭ. Эксперты Citizen Lab доказали, что сообщение отправили операторы Pegasus.

«Всегда остается след, ведущий к ’’нулевому пациенту’’», – говорит Гварньери.

Сотрудники Amnesty помимо ссылок, ведущих на связанные с NSO домены, также обнаружили сходство вредоносных системных процессов на зараженных устройствах. Их не так много, а один – BridgeНead (или BH) – постоянный спутник шпионской программы. Его использовали даже на телефоне Мансура.

Гварньери рассказал, что скачал каждую версию iOS, выпущенную с 2016 года, чтобы установить происхождение процессов, которые он выявил на зараженных устройствах. Ни один из них не выпускала компания Apple.

«Мы знаем, что эти процессы незаконны – они вредоносные. Мы уверены, что это Pegasus, потому что они выводят на уже знакомую нам инфраструктуру», – говорит Гварньери. Специалисты Amnesty выявили определенную последовательность: «владелец устройства заходит на сайт, приложение вылетает, а в некоторые файлы вносят изменения – все это происходит за секунды или миллисекунды. Во всех проанализированных случаях используются одни и те же процессы. У меня нет сомнений в том, что перед нами Pegasus».