Cледы шпионской программы Pegasus были найдены в телефонах множества журналистов и активистов по всему миру. Как именно Pegasus проникает в телефон, что может сделать программа, и как специалисты по безопасности определяют ее наличие - в материале Центра по исследованию коррупции и организованной преступности.

Нашумевшее расследование Эдварда Сноудена о массовой слежке американского правительства заставило весь мир забеспокоиться о цифровой безопасности. Сквозное шифрование, которым раньше пользовались в основном шпионы и энтузиасты кибербезопасности, стало использоваться повсеместно, после того, как общение переместилось в зашифрованные сервисы электронной почты и такие мессенджеры, как Whatsapp и Signal.

Эти перемены оставили правительства без возможности для слежки – и в отчаянных поисках решений. Pegasus был создан как раз для того, чтобы дать им это решение.

Pegasus – это основной продукт израильской компании “киберразведки” NSO Group – вероятно, наиболее известной из новых компаний, производящих шпионское программное обеспечение. Технологии NSO Group позволяют клиентам – по утверждению компании, исключительно правительствам и никогда частным лицам или компаниям – выбирать в качестве целей конкретные телефонные номера и заражать связанные с ними устройства Pegasus.

Но вместо того, чтобы пытаться перехватить зашифрованные данные, передаваемые одним устройством другому, Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится.

Pegasus отслеживает нажатие клавиш на зараженном устройстве – все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона, превращая его в мобильное шпионское устройство, которое «мишень», не задумываясь, носит с собой.

«Взлом телефона позволяет хакеру получить права администратора на устройстве. Это дает возможность сделать на телефоне практически все что угодно», – говорит Клаудио Гуарнери из Лаборатории Безопасности Amnesty International, где разработали методологию для анализа зараженных устройств.

Правительства по всему миру желают заполучить то, что может предоставить Pegasus, так как это даст им свободный доступ к коммуникациям и перемещениям террористов и преступников. Однако Проект Pegasus также показывает, как NSO Group почти наверняка продавала свои технологии странам с сомнительной историей соблюдения прав человека, и как эти технологии использовались для слежки за журналистами и активистами. Доказательства, собранные Проектом Pegasus, говорят о том, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионское ПО NSO Group.

Для поддержания своего положения, команда NSO Group должна постоянно совершенствовать свои технологии, чтобы обогнать такие компании, как Apple и Google, выпускающие обновления для устранения уязвимостей. За последние пять лет Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.

Эксплойт без клика

Раньше для хакерских атак Pegasus требовалось активное участие самой «мишени». Операторы программы посылали текстовое сообщение с вредоносной ссылкой на телефон объекта слежки. Если человек переходил по ссылке, в браузере открывалась вредоносная страница, скачивающая и запускающая вредоносный код на устройстве. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке. «Клиенты посылали спам-сообщения для того, чтобы разозлить «мишень», а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам», – говорит Гуарнери. Социотехнические приемы использовались для того, чтобы увеличить вероятность клика: вредоносные ссылки вставлялись в сообщения, которые должны были были заинтересовать или напугать объектов шпионского ПО.

«Сообщения могут включать новости, которые интересуют человека, или рекламу вещей, которые он хотел бы приобрести – например, абонемент в спортивный зал, или онлайн-продажи», – говорит Гуарнери.

Со временем пользователям стало известно о таких тактиках, и они научились лучше определять вредоносный спам. Требовалось что-то более изощренное.

Решением стало использование так называемых «эксплойтов без клика». Эти уязвимости не требуют никакого участия пользователя для того, чтобы Pegasus смог заразить устройство. По словам Гуарнери, в последние годы правительства, использующие Pegasus, предпочитают именно эту тактику. Эксплойты без клика полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные – иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.

«Экслойты без клика составляют большинство случаев, которые мы видели с 2019 года», – говорит Гуарнери. Его команда опубликовала технический отчет по методологии Проекта Pegasus.

«Это скверная программа – особо скверная, – сказал репортерам Тимоти Саммерс, бывший компьютерный инженер разведывательной службы США. – Она проникает в большинство систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, встроенные мессенджеры и почту Apple, и другие. С таким арсеналом можно шпионить за населением всего мира. Очевидно, что NSO предлагает разведывательное агентство как услугу».

Ответное сопротивление

Несмотря на репутацию мэйнстримового приложения, iMessage, как известно экспертам, уязвим для атак. Мэтт Грин, специалист по криптографии и эксперт по безопасности Университета Джонса Хопкинса, рассказал репортерам, что iMessage стал более уязвим с тех пор, как Apple усложнила свое программное обеспечение, тем самым непреднамеренно увеличив количество способов найти ошибки программирования, которыми можно воспользоваться. Apple регулярно выпускает обновления, которые должны устранять такие уязвимости, но индустрия шпионского ПО всегда оказывается как минимум на шаг впереди.

«Нет сомнения, что Pegasus способен заразить последние версии iOS, – говорит Гуарнери. – Гораздо больше времени и денег вложено в то, чтобы найти эти уязвимости, чем, вероятно, в то, чтобы предупредить их создание и избавиться от них. Это игра в кошки-мышки, и кошка всегда впереди из-за экономического стимула».

Представитель Apple в разговоре с репортерами Washington Post отрицал, что компании-производители шпионского ПО опережают их.

«Такие атаки на iPhone, подобные тем, что создают NSO Group, целенаправленны, их разработка стоит миллионы, и часто не долговечны в использовании, так как мы их обнаруживаем и устраняем уязвимости. Тем самым мы экономически препятствуем масштабным атакам пользователей iPhone», – говорит Иван Крстич, глава по инженерной безопасности Apple.

Бизнес по производству шпионского ПО, тем не менее, без сомнения прибыльный. В 2016 году New York Times сообщила о том, что программное средство NSO, способное шпионить за десятью пользователями iPhone, стоит $650 000 плюс $500 000 плата за установку – и это, вероятно, намного менее продвинутые технологии, чем то, что доступно сегодня. В 2020 году компания отчиталась о прибыли в $243 млн.

Застигнутые врасплох в кибербезопасности, IT-компании сейчас обороняются в судах. В 2019 году WhatsApp подала в суд на NSO Group в США, заявив, что израильская компания воспользовалась уязвимостью, чтобы заразить более чем 1,400 устройств. WhatsApp заявляет, что мишенями атаки стали журналисты, юристы, религиозные лидеры и политические диссиденты. Несколько других известных компаний, включая Microsoft и Google, приобщили подкрепляющие доказательства к продолжающемуся делу.

Иск последовал за другими, которые до этого подали Amnesty International (против израильского министерства обороны, которое должно согласовывать все продажи NSO Group иностранным правительствам), а также журналисты и активисты, предположительно ставшие целями технологий NSO.

Сетевая инъекция

Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке. При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.

«Вы ничего не сможете с этим поделать, – говорит Гуарнери. – Задержка [между переходом на незащищенный веб-сайт и заражением Pegasus] может составлять считанные миллисекунды».

Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.

Обычно это делается через оператора мобильной связи, к которому некоторые правительства имеют доступ. Но зависимость от телефонных операторов затрудняет или делает невозможным для правительств взлом устройств людей, находящихся за пределами их юрисдикции. Эксплойты без клика могут преодолеть такие ограничения, что и делает их популярными.

От «нулевого пациента» к цепочке доказательств

Технологическая команда Amnesty International проанализировала данные с десятков мобильных телефонов, вероятно, атакованных клиентами NSO Group.

Чтобы обнаружить Pegasus на устройстве, команда сначала смотрит на наиболее очевидный признак – наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон – это инфраструктура компании.

«NSO допустила операционные ошибки при создании инфраструктуры, которую они используют для проведения атак, – говорит Гарниери. В первом зарегистрированном случае – у «нулевого пациента» – эта сетевая инфраструктура „содержала ссылку на инфраструктуру [NSO]”».

NSO Group также первоначально использовала несколько поддельных аккаунтов электронной почты для создания большей части своей инфраструктуры. Один из этих аккаунтов связан с доменом – это подтверждает, что он принадлежит NSO Group.

«Нулевым пациентом» был правозащитник из Объединенных Арабских Эмиратов по имени Ахмед Мансур. В 2016 году Citizen Lab обнаружила, что телефон Мансура был взломан при помощи вредоносных ссылок, предлагающих узнать „новые секреты” о пытках, проводимых властями ОАЭ. Citizen Lab смогла доказать, что сообщения пришли от Pegasus.

«Всегда будет прослеживаться цепочка доказательств, которые свяжут нас с самым первым нулевым пациентом», - говорит Гуарнери.

Помимо обнаружения ссылок на сетевую инфраструктуру NSO, команда Amnesty увидела сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО, вплоть до телефона Мансура.

Гуарнери говорит, что он скачал все версии iOS, выпущенные с 2016 года, чтобы проверить, были ли процессы, которые он находил на зараженных устройствах, легитимны. Ни один из процессов, обнаруженных его командой, не был выпущен Apple.

«Мы знаем, что эти процессы нелегитимны – они вредоносны. Мы знаем, что это процессы Pegasus, потому что они связаны с сетевой инфраструктурой, которую мы видели», – говорит Гуарнери. На зараженных устройствах команда Amnesty наблюдала четкую последовательность: «Посещался веб-сайт, приложение давало сбой, некоторые файлы были изменены, и все эти процессы выполнялись за считанные секунды или даже миллисекунды. Процессы, которые мы видим во всех проанализированных случаях, постоянны и уникальны. У меня нет никаких сомнений в том, что мы имеем дело с Pegasus».

Перевела и подготовила Ольга Логинова