Strona główna/Bezpieczeństwo, Mobilność/Pegasus – analiza oprogramowania szpiegującego

Pegasus – analiza oprogramowania szpiegującego

Ostatnie doniesienia medialne, które pojawiły się w kraju na temat zagrożeń na urządzenia mobilne a w szczególności wykorzystanie oprogramowania Pegasus przez organizacje w tym rządowe skłoniły nas do opracowania wprowadzenia do tego typu zagrożeń.

Wykrycie oraz raport firmy Lookout stanowi dogłębną analizę techniczną ukierunkowanego ataku szpiegowskiego, który jest aktywnie wykorzystywany wobec nieokreślonej liczby użytkowników mobilnych na całym świecie. Firma Lookout przeprowadziła głęboką analizę próbki złośliwego oprogramowania dla systemu iOS.

Pegasus oprogramowanie szpiegujące

Dochodzenie zespołu Citizen Lab połączyło oprogramowanie z infrastrukturą NSO Group, która oferuje produkt o nazwie Pegasus. System Pegasus jest profesjonalnie opracowany i bardzo zaawansowany w zakresie wykorzystywania luk tzw. „zero-day – dnia zerowego”, wykorzystującym metody zaciemniania kodu programistycznego i szyfrowania. Wykorzystuje wyrafinowane funkcje przechwytywania w celu obchodzenia zabezpieczeń warstwy systemu operacyjnego i aplikacji dla połączeń głosowych / dźwiękowych w aplikacjach, takich jak Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, wbudowane aplikacje do obsługi wiadomości i poczty e-mail firmy Apple oraz inne. Pegasus kradnie listę kontaktów ofiary oraz zczytuje lokalizację GPS, a także hasła osobiste, Wi-Fi oraz routera, które są przechowywane na urządzeniu mobilnym. Wersja ataku na iOS wykorzystuje to, co nazywamy Trident, exploit trzech powiązanych luk zero-day w iOS, które Apple załatało w iOS 9.3.5, dostępne w momencie publikacji tego raportu.

Według doniesień prasowych, NSO Group sprzedaje różnym organizacją w tym rządowym uzbrojone oprogramowanie, które atakuje telefony komórkowe i działa od 2010 rok. Oprogramowanie szpiegowskie Pegasus istnieje już od dłuższego czasu i jest reklamowane i sprzedawane do użytku w celach o wysokiej wartości, w tym do szpiegostwa na wysokim poziomie na iOS, Androidzie i Blackberry.

To oprogramowanie szpiegujące jest niezwykle wyrafinowane i modułowe, a ponadto umożliwia dalsze dostosowywanie i działanie na nowszych wersjach systemów operacyjnych. Wykorzystuje silne szyfrowanie, aby uchronić się przed wykryciem przez tradycyjne narzędzia bezpieczeństwa i ma mechanizm monitorowania i autodestrukcji. Analiza Lookout wykazała, że złośliwe oprogramowanie wykorzystuje trzy luki zero-day, Trident, w Apple iOS:

  1. CVE-2016-4657: Uszkodzenie pamięci w WebKit – Luka w Safari WebKit umożliwia atakującemu złamanie zabezpieczeń urządzenia, gdy użytkownik kliknie w łącze.
  2. CVE-2016-4655: Wyciek informacji z jądra – luka w mapowaniu bazy jądra, wyciek informacje do atakującego, która pozwala mu obliczyć lokalizację jądra w pamięci.
  3. CVE-2016-4656: Uszkodzenie pamięci jądra prowadzi do Jailbreak – 32 i 64-bitowych usterek na poziomie jądra iOS, które pozwalają atakującemu w trybie cichym jailbreak urządzenia i instalację oprogramowania do nadzoru.

Sekwencja ataku rozpoczyna się od prostego schematu phishingowego: wysyłana jest wiadomość tekstowa (lub Twitter lub inny rodzaj) z łagodnym adresem URL, użytkownik kliknie link, otworzy przeglądarkę internetową, załaduje stronę, wykorzysta lukę w przeglądarce lub systemie operacyjnym, zainstaluje oprogramowanie do gromadzenia informacji i zapewniania, że oprogramowanie pozostanie zainstalowane na urządzeniu („trwałość”). Natychmiast po tym, jak atakowana ofiara kliknie łącze, atak odbywa się w trybie cichym, bez żadnych informacji dla użytkownika lub administratorów urządzenia, że coś się wydarzyło lub że uruchomiono nowe procesy.

Oprogramowanie Pegasus jest wysoce konfigurowalne: w zależności od kraju użytkowania i zestawów funkcji zakupionych przez użytkownika oprogramowania szpiegującego, funkcje nadzoru obejmują zdalny dostęp do wiadomości tekstowych, wiadomości iMessages, połączeń, wiadomości e-mail, dzienników i innych z aplikacji, takich jak Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Kalendarz, Linia, Mail.Ru, WeChat, Surespot, Tango, Telegram i inne.

Na podstawie artefaktów zawartych w kodzie oprogramowanie szpiegujące działa w sieci od kilku lat. Exploity mają ustawienia konfiguracji, które sięgają wstecz do iOS 7, który został wydany w 2013 roku i zastąpiony w 2014 roku.

System Pegasus korzysta z tego, jak wykorzystywane są urządzenia mobilne są w naszym życiu codziennym oraz z kombinacji funkcji dostępnych tylko na urządzeniach mobilnych – zawsze połączonych (WiFi, 3G / 4G), komunikacji głosowej, aparatu, e-maila, wiadomości, GPS, haseł i list kontaktów.

Ze względu na modułową funkcjonalność, obszerność komunikacji i danych użytkowników, które monitoruje, oraz dopasowywane metody, które analizuje w innych aplikacjach w celu wyodrębnienia z nich danych, Pegasus jest jak dotąd najbardziej wyrafinowanym, prywatnie opracowanym atakiem na urządzenia mobilne. Łączy się z szeroko używanymi bezpiecznymi aplikacjami do przesyłania wiadomości, aby skopiować z nich dane tekstowe, zanim aplikacja użytkownika będzie mogła je zaszyfrować i wysłać. Z punktu widzenia użytkownika i osób, z którymi się komunikuje, ich komunikacja jest bezpieczna, podczas gdy administrator instancji Pegasus potajemnie przechwycił czysty tekst ich komunikacji.

Oprogramowanie szpiegowskie Pegasus na użytek służ specjalnych

System Pegasus ma wysoką cenę średnio ponad 25 000 USD za cel. W co najmniej jednym przypadku NSO Group sprzedała 300 licencji za 8 milionów USD. Oprogramowanie to nie jest dostępne dla każdego. Sprzedawane jest jedynie wybranym krajom dla organów ścigania. Analizy potwierdzają że Pegasus używany jest obecnie na całym świecie w 45 krajach w tym w Polsce. Ponieważ nie jest to zwyczajny program spyware ochrona przed tego typu atakiem wymaga również odpowiednich narządzi, które monitorują i w odpowiedni sposób czuwają nad bezpieczeństwem urządzeń mobilnych.

Inwigilacja urządzeń mobilnych ma tendencje wzrostową

Lookout cały czas odkrywa zaawansowane zagrożenia odkąd w 2015 roku doniósł wraz z Citizien Lab o jednym z najbardziej wyrafinowanych przypadków inwigilacji obywateli — „Pegasus”. Doniesienia firmy Lookout o narzędziach monitorowania od „Stealth Mango” aż po „Dark Caracal” świadczą nie tylko o zwiększającej się ilości takich zagrożeń, ale również o wzrastającym poziomie ich zaawansowania. Zarówno państwa jak i firmy, muszą postawić na rozwiązania chroniące przed coraz potężniejszymi zagrożeniami związanymi z inwigilacją urządzeń przenośnych.

Subskrybuj
Powiadom o
5 komentarzy
najstarszy
najnowszy
Inline Feedbacks
View all comments
Adam
3 października 2019 08:05

z tego wniosek że trzeba często zmieniać smartfony i nie klikać w przesyłane łącza 🙂 szpieg sam się nie zainstaluje trzeba mu w tym pomóc

OneBlackLider
4 grudnia 2019 20:43
Reply to  Adam

Najprościej jednak i dla każdej osoby, jest wyłącznie funkcji automatycznego oczyszczania dysku oraz co wiąże się z uciążliwością ale skutecznie uniemożliwia zapis programu to utrzymanie maksymalnej pełnej ilosci miejsca na dysku (chodź to 100% was nie UCHRONI jesli jestes zorganizowanym łobuzem kradniesz miliony bądź gwałcisz księżniczki wiejda z RAMU prędzej czy później ale wejdą )

Miłosz
5 grudnia 2019 10:36

Mam 3 wiadomości MMS od ,, orange.pl,, co wyglądają podejrzanie.

Jazon Breslau
6 lutego 2020 09:05

Dość elokfentny artykuł. Dzięki.

Raf
27 lipca 2020 07:45

Czyli stara poczciwa nokia 3310 lub nokia 6110 tego nie dadzą rady podsłuchać

ZAPISZ SIĘ NA NEWSLETTER
Bądź na bieżąco z aktualnościami, ciekawostkami i poradami ze świata bezpieczeństwa IT.
Zapisz
Administratorem podanych przez Ciebie w formularzu kontaktowym danych osobowych będzie Greeneris Sp. z o.o. ul. Nad Rzeczką 21B, 03-257 Warszawa, KRS: 0000435724, NIP: 524-275-35-56. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. b RODO w celu odpowiedzi na zapytanie przesłane przez formularz zamieszczony na stronie. Dane będą przechowywane w bazie administratora. Będziesz mieć prawo do żądania od administratora dostępu do swoich danych osobowych oraz do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych – na zasadach określonych w art. 16 – 21 RODO. Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z przepisami prawa, będziesz mógł wnieść skargę do organu nadzorczego. Podanie danych jest dobrowolne, ale niezbędne do otrzymania odpowiedzi.
close-link