განმარტა: როგორ აინფიცირებს მოწყობილობას Pegasus spyware; რა მონაცემები შეიძლება იყოს კომპრომეტირებული

პროექტი პეგასუსი: ისრაელის ჯაშუშური პროგრამა, რომელიც გამოიყენებოდა ინდოეთში ასობით ტელეფონის დასამიზნებლად, ნაკლებად იყო დამოკიდებული დაწკაპუნებებზე. პეგასუსს შეუძლია დააინფიციროს მოწყობილობა სამიზნის ჩართულობისა და ცოდნის გარეშე.

პეგასუსი არის NSO ჯგუფის ფლაგმანი პროდუქტი (ექსპრეს ილუსტრაცია)

2019 წლის ნოემბერში, ტექნიკურმა რეპორტიორმა ნიუ-იორკიდან გადაიღო გადაღებული მოწყობილობა, რომელიც ნაჩვენები იყო მილიპოლში, სავაჭრო გამოფენაზე პარიზში სამშობლოს უსაფრთხოების შესახებ. გამოფენის მონაწილემ, NSO Group-მა მოათავსა აპარატურა ფურგონის უკანა მხარეს, რაც შესაძლოა მიუთითებდეს პორტაბელურობის მოხერხებულობაზე და თქვა, რომ ის არ იმუშავებს აშშ-ს ტელეფონის ნომრებზე, შესაძლოა ფირმის მიერ დაწესებული შეზღუდვის გამო.

მას შემდეგ, რაც ისრაელის კიბერ გიგანტი დაარსდა 2010 წელს, ეს იყო ალბათ პირველი შემთხვევა, როდესაც NSO-ს მიერ წარმოებული პორტატული ბაზის გადამცემი სადგური (BTS) გამოჩნდა მედიის ანგარიშში.

BTS - ან 'მოტყუებული უჯრედის კოშკი' ან 'IMSI Catcher' ან 'Stingray' - განასახიერებს ლეგიტიმურ ფიჭურ კოშკებს და აიძულებს მობილურ ტელეფონებს რადიუსში დაუკავშირდნენ მას, ასე რომ, ტრაფიკის მანიპულირება შესაძლებელია თავდამსხმელის მიერ. 2019 წელს გადაღებული BTS შედგებოდა ჰორიზონტალურად დაწყობილი ბარათებისგან, რომლებიც, სავარაუდოდ, საშუალებას მისცემს ჩარევას მრავალი სიხშირის დიაპაზონში.

სხვა ვარიანტია თავად სამიზნე მობილურ ოპერატორზე წვდომის ბერკეტი. ამ სცენარში, თავდამსხმელს არ დასჭირდება რაიმე თაღლითური უჯრედის ანძა, მაგრამ მანიპულირებისთვის დაეყრდნობა რეგულარულ ქსელურ ინფრასტრუქტურას.

ნებისმიერ შემთხვევაში, 'ქსელის ინექციის' შეტევების გაშვების შესაძლებლობა - შესრულებულია დისტანციურად სამიზნის ჩართულობის გარეშე (აქედან გამომდინარე, ასევე ე.წ. zero-click ) ან ცოდნა — მისცა პეგასუსი NSO Group-ის ფლაგმანი პროდუქტი, უნიკალური უპირატესობა კონკურენტებთან შედარებით ჯაშუშური პროგრამების გლობალურ ბაზარზე.

პეგასუსი ახლა არის გლობალური ერთობლივი საგამოძიებო პროექტის ცენტრში, რომელმაც დაადგინა, რომ ჯაშუშური პროგრამა გამოიყენებოდა სამიზნე, სხვათა შორის, ასობით მობილური ტელეფონი ინდოეთში .

რით განსხვავდება Pegasus სხვა ჯაშუშური პროგრამებისგან?

Pegasus aka Q Suite, გაყიდული NSO ჯგუფის მიერ aka Q Cyber ​​Technologies, როგორც მსოფლიოში წამყვანი კიბერ დაზვერვის გადაწყვეტა, რომელიც საშუალებას აძლევს სამართალდამცავ და სადაზვერვო სააგენტოებს დისტანციურად და ფარულად ამოიღონ მონაცემები პრაქტიკულად ნებისმიერი მობილური მოწყობილობიდან, შეიმუშავეს ისრაელის სადაზვერვო სააგენტოების ვეტერანებმა.

2018 წლის დასაწყისამდე NSO ჯგუფის კლიენტები ძირითადად ეყრდნობოდნენ SMS და WhatsApp შეტყობინებებს, რათა მოატყუონ სამიზნეები მავნე ბმულის გასახსნელად, რაც გამოიწვევს მათი მობილური მოწყობილობების დაინფიცირებას. პეგასუსის ბროშურაში აღწერილია ეს, როგორც გაძლიერებული სოციალური ინჟინერიის შეტყობინება (ESEM). როდესაც დააწკაპუნებთ ESEM-ის სახით შეფუთულ მავნე ბმულზე, ტელეფონი მიმართულია სერვერზე, რომელიც ამოწმებს ოპერაციულ სისტემას და აწვდის შესაბამის დისტანციურ ექსპლოიტს.

2019 წლის ოქტომბრის ანგარიშში, Amnesty International-მა პირველად დააფიქსირა 'ქსელის ინექციების' გამოყენება, რაც საშუალებას აძლევდა თავდამსხმელებს დაეყენებინათ ჯაშუშური პროგრამა სამიზნის მხრიდან რაიმე ურთიერთქმედების მოთხოვნის გარეშე. Pegasus-ს შეუძლია მიაღწიოს ასეთ ნულოვანი დაწკაპუნების ინსტალაციას სხვადასხვა გზით. საჰაერო (OTA) ერთ-ერთი ვარიანტია გასაგზავნად დამალული ბიძგი, რომელიც აიძულებს სამიზნე მოწყობილობას ატვირთოს ჯაშუშური პროგრამა, ხოლო სამიზნე არ აცნობიერებს ინსტალაციას, რომელზეც მას მაინც არ აქვს კონტროლი.

ეს, პეგასუსის ბროშურა ტრაბახობს, არის NSO უნიკალურობა, რაც მნიშვნელოვნად განასხვავებს Pegasus-ის გადაწყვეტას ბაზარზე არსებული ნებისმიერი სხვა ჯაშუშური პროგრამისგან.

რა სახის მოწყობილობებია დაუცველი?

ყველა მოწყობილობა, პრაქტიკულად. iPhone-ები ფართოდ იყო გამიზნული Pegasus-ზე Apple-ის ნაგულისხმევი iMessage აპლიკაციისა და Push Notification Service (APNs) პროტოკოლის მეშვეობით, რომელზედაც ის დაფუძნებულია. ჯაშუშურ პროგრამას შეუძლია აისახოს iPhone-ში ჩამოტვირთული აპლიკაციის იმიტირება და გადაიცეს როგორც push-შეტყობინებები Apple-ის სერვერების მეშვეობით.

2016 წლის აგვისტოში Citizen Lab-მა, ინტერდისციპლინურმა ლაბორატორიამ, რომელიც დაფუძნებულია ტორონტოს უნივერსიტეტში, აცნობა პეგასუსის არსებობას კიბერუსაფრთხოების ფირმა Lookout-ს და ორივემ მიუთითა საფრთხე Apple-ისთვის. 2017 წლის აპრილში Lookout-მა და Google-მა გამოაქვეყნეს დეტალები Pegasus-ის Android ვერსიის შესახებ.

2019 წლის ოქტომბერში WhatsApp-მა დაადანაშაულა NSO ჯგუფი მისი ვიდეო ზარის ფუნქციის დაუცველობის გამოყენებაში. მომხმარებელი მიიღებდა, როგორც ჩანს, ვიდეო ზარს, მაგრამ ეს არ იყო ჩვეულებრივი ზარი. მას შემდეგ, რაც ტელეფონმა დარეკა, თავდამსხმელმა ფარულად გადასცა მავნე კოდი, რათა მსხვერპლის ტელეფონი ჯაშუშური პროგრამით დაეინფიცირებინა. პირს არც კი მოუწია ზარზე პასუხის გაცემა, თქვა WhatsApp-ის ხელმძღვანელმა უილ კატკარტმა.

2020 წლის დეკემბერში, Citizen Lab-ის მოხსენებამ მიუთითა, თუ როგორ გამოიყენეს სამთავრობო ოპერატორებმა პეგასუსი, რათა გაეტეხათ 37 ტელეფონი, რომლებიც ეკუთვნოდათ ჟურნალისტებს, პროდიუსერებს, წამყვანებს და აღმასრულებლებს Al Jazeera-სა და ლონდონში დაფუძნებულ Al Araby TV-ში 2020 წლის ივლის-აგვისტოში, 2020 წლის ივლის-აგვისტოში. დეველოპერებისთვის უცნობი დაუცველობა) მინიმუმ iOS 13.5.1-ის წინააღმდეგ, რომელსაც შეეძლო Apple-ის მაშინდელი უახლესი iPhone 11-ის გატეხვა. მიუხედავად იმისა, რომ თავდასხმა არ მუშაობდა iOS 14-ზე და უფრო მაღალ ვერსიებზე, მოხსენებაში ნათქვამია, რომ ინფექციები, რომლებიც მას დაფიქსირდა, იყო ალბათ სულ მცირე ნაწილი. შეტევები, NSO Group-ის მომხმარებელთა ბაზის გლობალური გავრცელების და iPhone 14-ის განახლებამდე თითქმის ყველა iPhone მოწყობილობის აშკარა დაუცველობის გათვალისწინებით.

ხვდება თუ არა ჯაშუშური პროგრამა ნებისმიერ მოწყობილობაში, რომელსაც ის მიზნად ისახავს?

ჩვეულებრივ, თავდამსხმელს სჭირდება პეგასუსის სისტემის მიწოდება მხოლოდ სამიზნე ტელეფონის ნომრით ქსელის ინექციისთვის. დანარჩენს სისტემა ავტომატურად აკეთებს, ნათქვამია პეგასუსის ბროშურაში, და spyware უმეტეს შემთხვევაში დაინსტალირებულია.

თუმცა, ზოგიერთ შემთხვევაში, ქსელის ინექციებმა შეიძლება არ იმუშაოს. მაგალითად, დისტანციური ინსტალაცია ვერ ხერხდება, როდესაც სამიზნე მოწყობილობას არ აქვს NSO სისტემა მხარდაჭერილი, ან მისი ოპერაციული სისტემა განახლებულია უსაფრთხოების ახალი დაცვით.

როგორც ჩანს, პეგასუსის თავიდან აცილების ერთ-ერთი გზა არის ტელეფონის ნაგულისხმევი ბრაუზერის შეცვლა. Pegasus-ის ბროშურის მიხედვით, ინსტალაცია სხვა ბრაუზერებიდან, გარდა მოწყობილობის ნაგულისხმევისა (და ასევე ქრომი ანდროიდზე დაფუძნებული მოწყობილობებისთვის) არ არის მხარდაჭერილი სისტემის მიერ.

ყველა ასეთ შემთხვევაში, ინსტალაცია შეწყდება და სამიზნე მოწყობილობის ბრაუზერი აჩვენებს წინასწარ განსაზღვრულ უვნებელ ვებგვერდს, რათა სამიზნეს არ ჰქონდეს წარუმატებელი მცდელობის წარმოდგენა. შემდეგი, თავდამსხმელი სავარაუდოდ დაუბრუნდება ESEM დაწკაპუნების სატყუარას. ბროშურაში ნათქვამია, რომ ყველაფერი ვერ ხერხდება, პეგასუსის ხელით ინექცია და ინსტალაცია შესაძლებელია ხუთ წუთზე ნაკლებ დროში, თუ თავდამსხმელი მიიღებს ფიზიკურ წვდომას სამიზნე მოწყობილობაზე.

რა ინფორმაცია შეიძლება იყოს კომპრომეტირებული?

ინფიცირების შემდეგ, ტელეფონი ხდება ციფრული ჯაშუში თავდამსხმელის სრული კონტროლის ქვეშ.

ინსტალაციის შემდეგ, პეგასუსი დაუკავშირდება თავდამსხმელის ბრძანებას და საკონტროლო (C&C) სერვერებს, რათა მიიღოს და შეასრულოს ინსტრუქციები და გამოაგზავნოს სამიზნის პირადი მონაცემები, მათ შორის პაროლები, კონტაქტების სიები, კალენდარული მოვლენები, ტექსტური შეტყობინებები და პირდაპირი ხმოვანი ზარები (თუნდაც ბოლოში). -ბოლოში დაშიფრული შეტყობინებების აპები). თავდამსხმელს შეუძლია აკონტროლოს ტელეფონის კამერა და მიკროფონი და გამოიყენოს GPS ფუნქცია სამიზნის თვალყურის დევნებისთვის.

გამტარუნარიანობის ფართო მოხმარების თავიდან ასაცილებლად, რამაც შეიძლება გააფრთხილოს სამიზნე, Pegasus აგზავნის მხოლოდ დაგეგმილ განახლებებს C&C სერვერზე. ჯაშუშური პროგრამა შექმნილია იმისთვის, რომ თავიდან აიცილოს სასამართლო ანალიზი, თავიდან აიცილოს ანტივირუსული პროგრამული უზრუნველყოფის აღმოჩენა და შეიძლება იყოს დეაქტივირებული და ამოღებული თავდამსხმელის მიერ, როცა და საჭიროების შემთხვევაში.

რა სიფრთხილის ზომების მიღება შეიძლება?

თეორიულად, დახვეწილ კიბერ ჰიგიენას შეუძლია დაიცვას ESEM სატყუარასგან. მაგრამ როდესაც პეგასუსი იყენებს დაუცველობას ტელეფონის ოპერაციულ სისტემაში, ვერაფერს გააკეთებს ქსელის ინექციის შესაჩერებლად. უარესი, ადამიანი ვერც კი გაიგებს ამის შესახებ, თუ მოწყობილობა არ იქნება დასკანირებული ციფრული უსაფრთხოების ლაბორატორიაში.

არქაულ ტელეფონზე გადასვლა, რომელიც მხოლოდ ძირითად ზარებსა და შეტყობინებებს იძლევა, რა თქმა უნდა შეზღუდავს მონაცემთა ზემოქმედებას, მაგრამ შესაძლოა მნიშვნელოვნად არ შეამციროს ინფექციის რისკი. ასევე, ნებისმიერი ალტერნატიული მოწყობილობა, რომელიც გამოიყენება ელ.ფოსტისა და აპებისთვის, დაუცველი დარჩება, თუ ადამიანი საერთოდ არ უარს იტყვის ამ ძირითადი სერვისების გამოყენებაზე.

აქედან გამომდინარე, ყველაზე კარგია, რომ იყოთ განახლებული ოპერაციული სისტემის ყველა განახლებისა და უსაფრთხოების პატჩის შესახებ, რომლებიც გამოშვებულია მოწყობილობის მწარმოებლების მიერ და იმედი ვიქონიოთ, რომ ნულოვანი დღის შეტევები უფრო იშვიათი გახდება. და თუ ვინმეს აქვს ბიუჯეტი, ტელეფონების პერიოდულად შეცვლა ალბათ ყველაზე ეფექტური, თუ ძვირი, წამალია.

ვინაიდან ჯაშუშური პროგრამა დგას აპარატურაში, თავდამსხმელს მოუწევს წარმატებით დააინფიციროს ახალი მოწყობილობა ყოველ ჯერზე, როცა ის შეიცვლება. ამან შეიძლება გამოიწვიოს როგორც ლოგისტიკური (ღირებულება), ასევე ტექნიკური (უსაფრთხოების განახლება) გამოწვევები. თუ ადამიანი არ ეწინააღმდეგება შეუზღუდავ რესურსებს, რომლებიც ჩვეულებრივ ასოცირდება სახელმწიფო ძალაუფლებასთან.

ᲒᲐᲣᲖᲘᲐᲠᲔᲗ ᲗᲥᲕᲔᲜᲡ ᲛᲔᲒᲝᲑᲠᲔᲑᲡ: