+48 22 439 03 20 biuro@greeneris.com

Ostatnie doniesienia medialne, które pojawiły się w kraju na temat zagrożeń na urządzenia mobilne a w szczególności wykorzystanie oprogramowania Pegasus przez organizacje w tym rządowe skłoniły nas do opracowania wprowadzenia do tego typu zagrożeń.

Wykrycie oraz raport firmy Lookout stanowi dogłębną analizę techniczną ukierunkowanego ataku szpiegowskiego, który jest aktywnie wykorzystywany wobec nieokreślonej liczby użytkowników mobilnych na całym świecie. Firma Lookout przeprowadziła głęboką analizę próbki złośliwego oprogramowania dla systemu iOS.

Pegasus oprogramowanie szpiegujące

Dochodzenie zespołu Citizen Lab połączyło oprogramowanie z infrastrukturą NSO Group, która oferuje produkt o nazwie Pegasus. System Pegasus jest profesjonalnie opracowany i bardzo zaawansowany w zakresie wykorzystywania luk tzw. „zero-day – dnia zerowego”, wykorzystującym metody zaciemniania kodu programistycznego i szyfrowania. Wykorzystuje wyrafinowane funkcje przechwytywania w celu obchodzenia zabezpieczeń warstwy systemu operacyjnego i aplikacji dla połączeń głosowych / dźwiękowych w aplikacjach, takich jak Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, wbudowane aplikacje do obsługi wiadomości i poczty e-mail firmy Apple oraz inne. Pegasus kradnie listę kontaktów ofiary oraz zczytuje lokalizację GPS, a także hasła osobiste, Wi-Fi oraz routera, które są przechowywane na urządzeniu mobilnym. Wersja ataku na iOS wykorzystuje to, co nazywamy Trident, exploit trzech powiązanych luk zero-day w iOS, które Apple załatało w iOS 9.3.5, dostępne w momencie publikacji tego raportu.

Według doniesień prasowych, NSO Group sprzedaje różnym organizacją w tym rządowym uzbrojone oprogramowanie, które atakuje telefony komórkowe i działa od 2010 rok. Oprogramowanie szpiegowskie Pegasus istnieje już od dłuższego czasu i jest reklamowane i sprzedawane do użytku w celach o wysokiej wartości, w tym do szpiegostwa na wysokim poziomie na iOS, Androidzie i Blackberry.

To oprogramowanie szpiegujące jest niezwykle wyrafinowane i modułowe, a ponadto umożliwia dalsze dostosowywanie i działanie na nowszych wersjach systemów operacyjnych. Wykorzystuje silne szyfrowanie, aby uchronić się przed wykryciem przez tradycyjne narzędzia bezpieczeństwa i ma mechanizm monitorowania i autodestrukcji. Analiza Lookout wykazała, że złośliwe oprogramowanie wykorzystuje trzy luki zero-day, Trident, w Apple iOS:

  1. CVE-2016-4657: Uszkodzenie pamięci w WebKit – Luka w Safari WebKit umożliwia atakującemu złamanie zabezpieczeń urządzenia, gdy użytkownik kliknie w łącze.
  2. CVE-2016-4655: Wyciek informacji z jądra – luka w mapowaniu bazy jądra, wyciek informacje do atakującego, która pozwala mu obliczyć lokalizację jądra w pamięci.
  3. CVE-2016-4656: Uszkodzenie pamięci jądra prowadzi do Jailbreak – 32 i 64-bitowych usterek na poziomie jądra iOS, które pozwalają atakującemu w trybie cichym jailbreak urządzenia i instalację oprogramowania do nadzoru.

Sekwencja ataku rozpoczyna się od prostego schematu phishingowego: wysyłana jest wiadomość tekstowa (lub Twitter lub inny rodzaj) z łagodnym adresem URL, użytkownik kliknie link, otworzy przeglądarkę internetową, załaduje stronę, wykorzysta lukę w przeglądarce lub systemie operacyjnym, zainstaluje oprogramowanie do gromadzenia informacji i zapewniania, że oprogramowanie pozostanie zainstalowane na urządzeniu („trwałość”). Natychmiast po tym, jak atakowana ofiara kliknie łącze, atak odbywa się w trybie cichym, bez żadnych informacji dla użytkownika lub administratorów urządzenia, że coś się wydarzyło lub że uruchomiono nowe procesy.

Oprogramowanie Pegasus jest wysoce konfigurowalne: w zależności od kraju użytkowania i zestawów funkcji zakupionych przez użytkownika oprogramowania szpiegującego, funkcje nadzoru obejmują zdalny dostęp do wiadomości tekstowych, wiadomości iMessages, połączeń, wiadomości e-mail, dzienników i innych z aplikacji, takich jak Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Kalendarz, Linia, Mail.Ru, WeChat, Surespot, Tango, Telegram i inne.

Na podstawie artefaktów zawartych w kodzie oprogramowanie szpiegujące działa w sieci od kilku lat. Exploity mają ustawienia konfiguracji, które sięgają wstecz do iOS 7, który został wydany w 2013 roku i zastąpiony w 2014 roku.

System Pegasus korzysta z tego, jak wykorzystywane są urządzenia mobilne są w naszym życiu codziennym oraz z kombinacji funkcji dostępnych tylko na urządzeniach mobilnych – zawsze połączonych (WiFi, 3G / 4G), komunikacji głosowej, aparatu, e-maila, wiadomości, GPS, haseł i list kontaktów.

Ze względu na modułową funkcjonalność, obszerność komunikacji i danych użytkowników, które monitoruje, oraz dopasowywane metody, które analizuje w innych aplikacjach w celu wyodrębnienia z nich danych, Pegasus jest jak dotąd najbardziej wyrafinowanym, prywatnie opracowanym atakiem na urządzenia mobilne. Łączy się z szeroko używanymi bezpiecznymi aplikacjami do przesyłania wiadomości, aby skopiować z nich dane tekstowe, zanim aplikacja użytkownika będzie mogła je zaszyfrować i wysłać. Z punktu widzenia użytkownika i osób, z którymi się komunikuje, ich komunikacja jest bezpieczna, podczas gdy administrator instancji Pegasus potajemnie przechwycił czysty tekst ich komunikacji.

Oprogramowanie szpiegowskie Pegasus na użytek służ specjalnych

System Pegasus ma wysoką cenę średnio ponad 25 000 USD za cel. W co najmniej jednym przypadku NSO Group sprzedała 300 licencji za 8 milionów USD. Oprogramowanie to nie jest dostępne dla każdego. Sprzedawane jest jedynie wybranym krajom dla organów ścigania. Analizy potwierdzają że Pegasus używany jest obecnie na całym świecie w 45 krajach w tym w Polsce. Ponieważ nie jest to zwyczajny program spyware ochrona przed tego typu atakiem wymaga również odpowiednich narządzi, które monitorują i w odpowiedni sposób czuwają nad bezpieczeństwem urządzeń mobilnych.

Pobierz pełny raport: Lookout Pegasus Technical Analysis

Inwigilacja urządzeń mobilnych ma tendencje wzrostową

Lookout cały czas odkrywa zaawansowane zagrożenia odkąd w 2015 roku doniósł wraz z Citizien Lab o jednym z najbardziej wyrafinowanych przypadków inwigilacji obywateli — „Pegasus”. Doniesienia firmy Lookout o narzędziach monitorowania od „Stealth Mango” aż po „Dark Caracal” świadczą nie tylko o zwiększającej się ilości takich zagrożeń, ale również o wzrastającym poziomie ich zaawansowania. Zarówno państwa jak i firmy, muszą postawić na rozwiązania chroniące przed coraz potężniejszymi zagrożeniami związanymi z inwigilacją urządzeń przenośnych.

Dowiedz się więcej o ofercie Lookout