Новость о взломе iPhone издателя «Медузы»* Галины Тимченко с помощью шпионской программы Pegasus не стала сенсацией для специалистов, которые уже много лет следят за разработкой от израильской компании NSO Group.

И хотя сами разработчики утверждают, что создавали программу исключительно для благих целей — борьбы с террористами и опасными преступниками, как это часто случается с легитимными инструментами (например, с популярным фреймворком для пентестеров CobaltStrike, — прим. авт) их уже давно активно используют и прогосударственные хакерские группы, и спецслужбы, и киберпреступники.

Мобильные шпионы

Два года назад грянул международный скандал: вскрылось, что власти Мексики, Азербайджана, Казахстана, ОАЭ, Марокко, Саудовской Аравии, Бахрейна, Венгрии, Индии использовали Pegasus для слежки за журналистами, правозащитниками и политиками.

В списке жертв, включающий более 50 тыс. телефонных номеров, оказались более чем 600 политиков и чиновников, 189 журналистов, работающих на The Associated Press, Reuters, CNN, The Wall Street Journal, Le Monde и The Financial Times, 85 правозащитников, 65 руководителей предприятий и даже нескольких глав государств, и премьер‑министров. О размахе тайной операции говорит тот факт, что был взломан даже телефон основателя Amazon миллиардера Джеффа Безоса.

«Pegasus — один из сложных и известных штаммов мобильных шпионских программ, способных атаковать пользователей устройств iOS и Android, напоминает Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики компании F.A.C.C.T. — Многие из недавних заражений Pegasus, о которых стало известно публично, касались преимущественно устройств iOS. Не стоит забывать, что Pegasus не является единственной программой, используемой для заражения iPhone. Так, например, в начале лета этого года эксперты компании Group‑IB опубликовали отчет о выявлении ими штаммов иных шпионских программ, работающих на смартфонах компании Apple».

Список целей Pegasus серьезно расширился

Если раньше c помощью шпионских программ атаковали только политиков, правозащитников и журналистов, то сейчас список потенциальных жертв сильно расширился. К ним добавились чиновники государственных ведомств, военные, сотрудники оборонных предприятий и т. п. На территории ЕС, например, выявлены как минимум 14 стран и 22 ведомства, использующих Pegasus.

В зоне риска находятся люди, конфиденциальная информация с устройств которых представляет тот или иной интерес в связи их профессиональной деятельностью, статусом.

При этом не стоит забывать, что операция по использованию Pegasus — это дорогое удовольствие, стоимость таких атак оценивается в десятки миллионов долларов.

Есть ли защита от Pegasus?

Абсолютной защиты от подобных программ не существует. Идет постоянное противоборство между разработчиками смартфонов и их операционных систем с производителями шпионских программ.

«Разработчики шпионского ПО находят программные уязвимости в фирменных прошивках и операционной системе, применяют их для перехвата управления смартфонами, — замечает Игорь Михайлов. — В свою очередь производители смартфонов и операционных систем постоянно мониторят информационное пространство и, в случае обнаружения новых штаммов шпионских программ, блокируют выявленные уязвимости. По этой причине, чтобы уменьшить риск заражения устройства шпионской программой, мы рекомендуем своевременно обновлять программное обеспечение смартфонов».

Почему IPhone 15 тоже в группе риска?

«Новый 15-й iPhone, к сожалению, тоже подвержен риску заражения, — замечает эксперт F.A.C.C.T. — Для большей безопасности компания Apple внедрила особый режим, называемый Lockdown Mode. Использование этого режима, повышает безопасность данных владельца, но он подойдет не всем из‑за ряда вводимых им ограничений».

Если есть подозрение, что устройство заражено, его стоит проверить на предмет компрометации. Точно определить, заражено ли устройство могут только технические специалисты с помощью анализа аппаратных и программных элементов устройств. Кроме того, специалисты могут дать персональные рекомендации по безопасности, исходя из анализа конкретного смартфона и и установленных на нем программ.

Для снижения рисков связанных с программами‑шпионами следует предпринять ряд комплексных мер:

  • Не стоит хранить в смартфоне ценную и конфиденциальную информацию: копии паспорта, пароли, приватные фото или видео, ключи от криптокошельков и тому подобное.

  • Не переходить по подозрительным ссылкам, не открывать сомнительные файлы, не устанавливать приложения из непроверенных источников, ограничивать доступ приложений в т.ч. к камере, диктофону, геопозиции, спискам контактов и т. п.

  • Самым безопасным способом хранения чувствительной информации остается защищенный компьютер с включенным шифрованием носителя или зашифрованный жесткий диск.

Не только NSO

Кстати, NSO Group далеко не первая компания, которая продает свои разработки для шпионажа. О деятельности итальянской HackingTeam стало известно после того, как в сеть утекли 400 Гб с конфиденциальной информацией — договоры, переписка с клиентами, исходные коды программ.

Среди клиентов Hacking Team оказались правоохранительные органы и спецслужбы различных государств — австралийская полиция, МВД ОАЭ, Служба национальной безопасности Узбекистана, Министерство обороны США.

Ещё один яркий пример — немецкая FinFisher, который которая выпускает «легальную» шпионскую программу для Android, iOS, Windows, macOS и Linux.

Попытки навести порядок на рынке шпионский устройств пока не принесли результатов. Осенью 2019 года Facebook обратилась в суд с иском против NSO Group, когда была обнаружена уязвимость нулевого дня в WhatsApp — она была использована против 1400 мобильных устройств индийских активистов, журналистов, юристов и высокопоставленных чиновников. В ответ NSO сама обратилась в суд и заявила, что в 2017 году Facebook пыталась приобрести у них шпионский инструмент.

Спрос на «легальное» шпионское ПО всегда высок, а бизнес на кибероружии будет процветать до тех пор, пока не появятся жесткие законодательные ограничения — вплоть до моратория.

* организация признана нежелательной в России, внесена в реестр иноагентов

Комментарии (6)


  1. ZetaTetra
    14.09.2023 10:54
    +1

    Это ведь технический ресурс, может просто список CVE опубликовать, которыми пользуется эта софтика?

    Для примера:

    • CVE-2016-4655 (Пофикшен)

    • CVE-2016-4656 (Пофикшен)

    • CVE-2016-4657 (Пофикшен)

    И т.п.

    А то "подвержен риску" - ну совсем не в тему.


    1. EditorF_A_C_C_T Автор
      14.09.2023 10:54
      -2

      Несмотря на закрытые уязвимости, факты компрометации IPhone специалисты Лаборатории наблюдают и в настоящее время.


      1. ZetaTetra
        14.09.2023 10:54

        факты компрометации

        Факты - предоставляются в виде CVE, так проще следить что открыто, а чем лучше пока не пользоваться.

        А то он может как обычный троянчик ставится, тут уже сколько не латай - ничего не поможет. И это тоже факт, но уже из социальной инженерии, которая к защите техники имеет посредственное отношение.


        1. EditorF_A_C_C_T Автор
          14.09.2023 10:54
          +1

          спасибо за идею! думаем, что это будет тема отдельного технического блога


        1. BasilioCat
          14.09.2023 10:54

          Вы сейчас точно про iOS? Песочница приложений, разрешения, подпись кода, и прочие механизмы безопасности? И это не считая того, что Apple, которая просто устраняет уязвимости в очередной версии iOS, не публикует никаких подробностей про это. Уязвимости, найденные независимыми реверсерами, в лучшем случае продаются Apple в виде bug bounty, или становятся основой для джейлбрейка, а в худшем - продаются той же NSO Group, никто про них CVE не напишет


          1. ZetaTetra
            14.09.2023 10:54
            +1

            Да, я точно про Apple.
            Я верь привёл примеры пофикшенных узявимостей в первом примере именно на Apple (С ссылками на фиксы на сайте Apple'а. С публикацией этих самых узявимостей на сайте Apple'а):
            https://nvd.nist.gov/vuln/detail/CVE-2016-4657
            https://nvd.nist.gov/vuln/detail/CVE-2016-4656
            https://nvd.nist.gov/vuln/detail/CVE-2016-4655