Pegasus: как работает и где использовали

NSO Group

NSO Group — это израильская IT-компания, специализирующаяся на производстве ПО для извлечения данных из смартфона в обход его механизмов защиты. То есть, иначе говоря, это spyware. Характерной особенностью компании являются обвинения в сотрудничестве с авторитарными режимами, которые использовали их продукты для слежки за оппозицией.

NSO Group основана выходцами из израильской разведки в 2010 года (название по именам основателей Niv Karmi, Shalev Hulio, Omri Lavie). Первичное финансирование было получено от группы инвесторов, возглавляемой Eddy Shalev, партнёром в Genesis Partners, израильском венчурном фонде.

В 2014 году NSO Group была приобретена американской инвестиционной компанией Francisco Partners, специализирующейся на инвестициях в технологический сектор. В 2019 основатели компании Hulio и Lavie совместно с европейской инвестиционной компанией Novalpina Capital выкупили контрольный пакет акций NSO Group (третий основатель компании покинул её в самом начале).

Pegasus

Главным продуктом компании является Pegasus — ПО, удалённо устанавливающееся на смартфон под iOS или Android (фокус продукта, видимо, на iOS, но также есть таргетирование на Android, однако эта информация могла устареть) без ведома владельца и собирающее данные с устройства. Другим продуктом является Circles (одноименная компания объединилась с NSO Group в 2014), который позволяет установить местоположение смартфона в любой точке мира в течение секунд. Pegasus использует ряд уязвимостей (выявленные оказались уязвимостями нулевого дня), которые позволяют ему таргетировать разные версии этих операционных систем (анализ кода позволяет заключить, что ПО применимо к iPhone, начиная с 5 версии).

«Репортёры без границ» подают в суд на лиц, ответственных за массовую слежку через шпионское ПО Pegasus израильской компании NSO Group, и призывают пострадавших по всему миру журналистов и СМИ присоединяться к иску. https://t.co/CP32HPShRe

— РосКомСвобода (@RuBlackListNET) July 19, 2021

Данное ПО лицензируется израильским министерством обороны как «вооружение» для целей экспорта, и его покупателями могут стать только другие государства, а не частные лица (однако стоит отметить, что для экспорта NSO Group также использует свои офисы на Кипре и в Болгарии).

Интересно, что компания требует оплаты в зависимости от числа целей, за которыми будет вестись слежка (помимо фиксированной цены за факт использования).

Где использовали Pegasus

Покупали Pegasus и использовали его для слежки за оппозицией следующие страны.

• Мексика

  • В частности для слежки над Carmen Aristegui, который в 2014 расследовал коррупцию жены тогдашнего президента страны, над популярным журналистом Carlos Loret de Mola, и, возможно, над журналистом Rafael Cabrera.

  • Для слежки за активистами, расследовавшими похищение и предположительное убийство наркокарателями 43 человек в 2014 году.

  • Для слежки за Juan E. Pardinas, разрабатывавшим антикоррупционное законодательство.

  • Атаки производились через текстовое сообщение с вредоносной ссылкой.

• Для поимки известного наркобарона Хоакина «Эль Чапо» Гусмана.

• С помощью коррумпированных мексиканских властей наркокартели использовали ПО для слежки за противостоящими им журналистами.

• Для слежки за журналистами и активистами, проверявшими деятельность властей:

• Саудовская Аравия (в 2018 году Amnesty International обвинила Саудовскую Аравию в том, что она использовала Pegasus для слежки за ее сотрудниками)

• В частности использовалось в рамках организации убийства диссидента Джамаля Хашогги. После данного инцидента NSO Group заморозила свое сотрудничество с саудовскими властями.

• Также утверждается, что саудовские власти внедрили ПО в телефон Джеффа Безоса, для чего наследный принц Саудовской Аравии Мухаммед ибн Салман послал ему сообщение.

• Для слежки за сотрудниками Amnesty International, занимающимися саудовской проблематикой.

• ОАЭ

• Использовалось для слежки за оппозиционерами, в частности за Ahmed Mansoor, которого неудачно попытались взломать, подослав на его iPhone вредоносную ссылку в текстовом сообщении. Именно исследование этой ссылки специалистами Citizen Lab позволило получить первые технические данные о функционировании Pegasus.

• Марокко

• Испания

• Индия

• Впервые использование Pegasus было зафиксировано исследователями Citizen Lab в 2018 году при идентификации ряда операторов ПО, один из которых, Ганг (Ganges), был активен в первую очередь в интернет-сетях Индии.

• В 2019 году атаке подверглись 121 человек, среди которых журналисты, активисты, юристы-правозащитники. Подозрение пало на правительство премьер-министра Нарендра Моди; оппозиционеры в индийском парламенте потребовали расследовать инцидент на уровне Верховного суда.

• В 2019 году было заявлено о слежке неизвестными лица над несколькими десятками высокопоставленных пакинстанских чиновников, среди которых — представители министерства обороны и разведслужб.

• В обоих случаях использовалась уязвимость в WhatsApp.

• Панама

• По данным Univision, число жертв в 2012-2014 годах могло достигать 150 человек.

• Слежка проводилась по инициативе бывшего президента страны Ricardo Martinelli, следили за его политическими противниками и другими лицами, представлявшими для него интерес.

• Того

• Руанда

• Азербайджан

• Бахрейн

• Венгрия

• Казахстан

• Кения

Возможно, ПО использовалось для слежки за неизвестными лицами.

А что в России?

Интересно отметить, что продукты NSO Group (а также других аналогичных организаций), по-видимому, не используются российскими властями. Точная причина этого неизвестна, но, по мнению Андрея Солдатова, главного редактора сайта Agentura.ru, это связано, во-первых, с производством (и экспортом) Россией своего шпионского ПО, во-вторых, с недоверием российских властей к иностранным продуктам в этой области (и утечки в отношении NSO Group это оправдывают), которые позволяют их разработчикам (и спецслужбам их стран) собирать данные клиентов.

Так, в случае Pegasus, для непосредственного управления заражённым устройством используются серверы NSO Group. В рамках утечки данных был опубликован список из 50 000 телефонных номеров, чьи владельцы представлял интерес для клиентов компании. 

Кроме того, стоит упомянуть, что в 2018 исследовательская группа в области информационной безопасности Citizen Lab обвинила NSO Group в слежке со стороны акторов, связанных с компанией. В 2019 один из этих людей был опознан как бывший израильский сотрудник служб безопасности Aharon Almog-Assouline.

После получения доступа к устройству Pegasus, предположительно, может перехватывать все коммуникации (СМС, звонки, сообщения в основных популярных мессенджерах, почтовые отправления и т.п.), собирать данные о местоположении устройства и пароли от Wi-Fi, данные других приложений, а также получает доступ к списку микрофону и камере, списку контактов, истории браузера. Это происходит за счёт получения повышенных привилегий в системе (rooting в случае Android, jailbreaking в случае продуктов Apple).

Как именно Pegasus занимается слежкой?

Технологии, используемые Pegasus для взлома устройств, не афишируются. Отчасти их можно проанализировать, опираясь на известные случаи взломов. Так, в 2019 WhatsApp обвинил NSO Group, что Pegasus использовал приложение в качестве вектора атаки уязвимость CVE-2019-3568 (позволяла удалённое выполнение кода во время аудиозвонков путём пересылки специальных RTCP-пакетов, что приводило к переполнению буфера памяти; от жертвы не требовалось ответа на звонок).

В судебном иске против NSO Group представители WhatsApp заявили, что среди целей взломов были «юристы, журналисты, правозащитники, политические диссиденты, дипломаты и другие видные чиновники».

По утверждению WhatsApp, атаки приходили с серверов NSO Group, а после внедрения вредоносного кода они использовались для коммуникации со взломанным устройством, извлечения данных из него и обновления Pegasus на устройстве.

Согласно документам, утёкшим у конкурирующего производителя ПО для слежки итальянской компании Hacking Team, фишинговая ссылка называется Enhanced Social Engineering Message (ESEM). После клика жертва будет пропущена сквозь цепочку анонимизирующих серверов NSO Group (PATN) с целью скрыть месторасположение сервера клиента компании. Сервер, который непосредственно пытается скрытно установить ПО на смартфон жертвы, называется Pegasus Installation Server (помимо этого существуют Pegasus Data Server, используется для C&C). В случае неуспеха атаки жертва будет перенаправлена на сайт, который атакующий указал в конфигурации атаки.

С целью уменьшить шанс обнаружения этой инфраструктуры атакующий сервер принимает соединения только по определённым критериям, например из определённых стран или с определёнными версиями ОС, а также, предположительно, деактивирует ссылки после короткого промежутка времени (условно 24 часа).

В 2016 исследователи из Citizen Lab наткнулись на разветвлённую онлайн-инфраструктуру неизвестной хакерской группировки, которую они назвали Stealth Falcon (некоторые из фишинговых ресурсов были замаскированы под гуманитарные организации вроде Красного Креста и сайты СМИ).

Однако у Citizen Lab не было образца вредоносного ПО, который получили после попытки взлома Ahmed Mansoor в том же году. Исследователи нашли в коде строку «PegasusProtocol» и установили, что вредоносная ссылка вела на один из серверов Stealth Falcon, IP-адрес которого также использовался сервером, зарегистрированным на имя одного из сотрудников NSO Group.

В 2018 году после обнаруженной слежки за одним из сотрудников в Amnesty International тоже провели расследование, в ходе которого идентифицировали серверы, принадлежащие NSO Group (некоторые из них ранее опознанали в Citizen Lab). Это было сделано через создание цифровых отпечатков серверов, использованных в атаке на сотрудника организации, и поиск серверов с аналогичным отпечатком. Ещё одним пересечением с серверами, выявленными Citizen Lab, были самоподписанные TSL-сертификаты.

Помимо этого Amnesty International обнаружила, что большинство фишинговых доменов было зарегистрировано в дни и часы, совпадающие с рабочей неделей в Израиле.

Ряд доменов имели в именах определенную особенность, которая может указывать на их связь с определённой географической областью (например, «zm» для Замбии, или odnoklass-profile[.]com для стран русского культурного ареала; речь не о домене верхнего уровня .zn, а о подстроке в доменном имени второго уровня вида onlineshopzm[.]com).

Другие домены притворялись существующими новостными организациями (gulf-news[.]info — https://gulfnews.com) или новостными организациями в принципе (breaking-news[.]co).

Исторически Pegasus использовал следующие уязвимости:

• CVE-2016-4655 — уязвимость в ядре iOS, позволяющая злоумышленнику получить информацию о местоположении ядра в памяти;

• CVE-2016-4656 — уязвимость в ядре iOS, позволяющая злоумышленнику незаметно провести jailbreaking устройства путем повреждения памяти (memory corruption);

• CVE-2016-4657 — уязвимость в WebKit (браузерный движок Safari), позволяющая злоумышленнику захватить контроль над устройством после того, как жертва кликнет на заражённую ссылку.

Отчет Citizen Lab от декабря 2020 свидетельствует, что фокус NSO Group сместился на использование уязвимостей zero-click и сетевых атак, что позволяет лучше скрывать факт взлома. А в их отчёте от августа 2021 сообщалось о том, что Pegasus успешно использовал уязвимость FORCEDENTRY (CVE-2021-30860) для операционных систем Apple (исправлена в обновлении от сентября 2021).

Однако логично предположить, что Pegasus использует и другие уязвимости, пока неизвестные исследователям.

Pegasus скрывает факт своего присутствия в заражённой системе. Если он не способен связаться с C&C в течение 60 дней, то самоуничтожается из системы (альтернативно он может это сделать по команде от C&C).

Сам C&C (названный исследователями Pegasus Anonymizing Transmission Network, PATN), предположительно, представляет собой систему из 500 доменов, DNS серверов и другой сетевой инфраструктуры. Один из методов PATN — это оперирование на портах с большими номерами, что позволяет избегать внимания стандартных сканеров портов. Для каждой попытки внедрения PATN генерирует уникальные поддомены и URL, не переиспользуя их в дальнейшем, что затрудняет его обнаружение.

Что касается взаимодействия между серверами NSO и клиентами, то, по данным Juan Andrés Guerrero-Saade (исследователь в области кибербезопасности), система устанавливается на сервера клиента, после чего для инициации атаки оператору достаточно ввести номер телефона жертвы. После этого происходит тестирование введенного номера и генерация одноразового механизма доставки уязвимости на устройство жертвы. Предположительно, каждый клиент получает в доступ «некий непересекающийся сегмент инфраструктуры NSO» (в первую очередь набор фишинговых доменов; домены могут быть зарегистрированы как самими представителями NSO, так и оператором со стороны клиента).

Исходя из имеющихся данных, невозможно точно установить, имеет ли NSO доступ к списку жертв (сама компания это отрицает).

По данным Citizen Lab, существовало три итерации инфраструктуры NSO Group:

1. Version 1 — выявлена по историческим данным;

2. Version 2 — выявлена во время изучения Stealth Falcon, IP-адреса частично пересекаются с Version 1, предположительно, деактивирована NSO Group после публикации отчёта Citizen Lab в 2016;

3. Version 3 — выявлена в 2018, IP-адреса и доменные имена частично пересекаются с Version 2.

Как защититься? 

В данном случае единственный способ защититься — не кликать на подозрительные ссылки. Кроме того, полезно делать бэкапы и включать двухфакторную аутентификацию.

Кроме того, можно ознакомиться с инструкцией TechCrunch о том, как обнаружить малварь Pegasus на самих устройствах. Для этого нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International.

С другой стороны, если человек не политический активист, то против него Pegasus использовать вряд ли будут.