Pegasus od kilku tygodni znajduje się na czołówkach głównych mediów, ponownie pojawiając się na tak palących kwestiach, jak wolność słowa i obawy o prywatność. Szum związany z Pegasusem jest całkiem rozsądny: jest to jedno z najpotężniejszych i najbardziej potajemnie działających programów w swojej niszy. Ponieważ coraz więcej świadków przyznaje się do swoich doświadczeń z Pegasusem, ludzie chcą teraz wiedzieć, jak sprawdzić, czy nie ma oprogramowania szpiegującego Pegasus i jakie środki bezpieczeństwa należy podjąć, aby zachować swoje prywatne dane w nienaruszonym stanie.
Jak wykryć oprogramowanie szpiegujące Pegasus na iOS i Androidzie?
Jak działa Pegasus?
Zgodnie z oficjalną dokumentacją produktu Pegasus , oprogramowanie można zainstalować zdalnie lub wstrzyknąć bezpośrednio do telefonu docelowego.
Instalacja zdalna
Ta metoda wstrzykiwania Pegasusa wymaga numeru telefonu lub adresu e-mail osoby docelowej; jednak do uruchomienia instalacji nie jest wymagana żadna lub minimalna aktywność użytkownika. Te ostatnie można wykonać poprzez:
- Bezprzewodowe (OTA). Nazwa tej techniki jest dość metaforyczna, nawiązując do podobieństwa trybu transmisji oprogramowania szpiegującego do łatwego lotu skrzydlatego konia starożytnej Grecji. Dokładna realizacja techniczna to tajemnica handlowa, jednak właśnie ta cecha wyróżnia Pegasusa spośród wielu podobnych rozwiązań. Metoda OTA najprawdopodobniej opiera się na lukach zero-day i zero-click. Dzieje się tak, gdy agent zagrożenia używa numeru telefonu lub adresu e-mail ofiary, aby wysłać wiadomość push, która uruchamia urządzenie do zainstalowania Pegasusa. Cały proces odbywa się potajemnie przy zerowym zaangażowaniu użytkownika, którego to dotyczy. Instalacja jest zakończona bez żadnych powiadomień przeszkadzających celowi, pozostawiając go nieświadomym włamania.
- Komunikat inżynierii społecznej. Ta technika jest dobrze znana ekspertom ds. cyberbezpieczeństwa i opinii publicznej. Starannie spreparowany SMS lub e-mail jest wysyłany do celu. Jego zawartość skłania osobę do jej otwarcia i kliknięcia złośliwego linku. Po udanym kliknięciu, przypadkowym lub celowym, Pegasus ponownie uruchomi instalację w całkowitej ciszy.
Instalacja fizyczna pegasusa
Pegasus można również zainstalować ręcznie, a cała procedura trwa około pięciu minut. Oczywiście ta metoda jest niemożliwa bez fizycznego dostępu do telefonu celu. Po zakończeniu instalacji urządzenie można nadzorować zdalnie, tak jak w powyższych przypadkach.
Zarządzanie danymi
Wszystkie dane zbierane przez Pegasusa trafiają do zaszyfrowanego i dobrze ukrytego bufora. Aby zamaskować proces tymczasowego przechowywania danych, bufor zajmuje nie więcej niż 5% pamięci telefonu – dość niewielki procent, co raczej nie wzbudzi podejrzeń użytkownika. Co więcej, po pomyślnym przesłaniu danych na serwer bufor jest czyszczony.
Jakie dane może zbierać Pegasus?
Pegasus jest niewątpliwie bardzo potężnym i wysoce inwazyjnym oprogramowaniem szpiegującym. W przypadku ataków typu zero-click, czy to nieotwartych wiadomości iMessage, nieodebranych połączeń FaceTime czy WhatsApp, może penetrować docelowe urządzenia w najbardziej ukradkowy sposób.
Po wejściu Pegasus może natychmiast wyodrębnić i monitorować w czasie rzeczywistym wszystkie dostępne dane, takie jak:
- SMS
- E-maile
- Czaty na komunikatorach internetowych (w tym szyfrowane, takie jak Signal lub Telegram)
- Zapisy kalendarza
- Historia przeglądania i zapisane ulubione
- Śledzenie lokalizacji (GPS i Cell-ID)
- Informacje o urządzeniu (model, sieć, połączenie, poziom naładowania baterii itp.)
Pegasus może również poprosić urządzenie o wykonanie szeregu innych działań, takich jak:
- Włącza GPS do próbkowania danych i wyłącza go zaraz po
- Włącza mikrofon i rozpoczyna nagrywanie (w trybie bezczynności)
- Nagrywa rozmowy
- Odzyskuje pliki i foldery
- Robi zdjęcia z przedniej i tylnej kamery (w trybie bezczynności, bez latarki, jakość obrazu można dostosować w celu szybszej transmisji)
- Wykonuje zrzuty ekranu
Masz podejrzenia, że Twój telefon jest zainfekowany?
Napisz na adres:
cyberpoczta@gmail.com
Opisz symptomy / markę / model urządzenia
Jak wykryć oprogramowanie szpiegujące Pegasus na iOS i Androidzie?
Chociaż Pegasus nie stanowi zagrożenia dla przeciętnego użytkownika mobilnego – na przykład tego rodzaju kampania kosztuje sporo – zawsze dobrze jest być na bieżąco z najnowszymi rozwiązaniami bezpieczeństwa.
Jeśli chodzi o oprogramowanie stalkerware, zwykle sprawia, że telefon zachowuje się w dziwny sposób. Jeśli będziesz wystarczająco uważny, dostrzeżesz kilka sygnałów ostrzegawczych, takich jak:
- Nieoczekiwane powiadomienia lub połączenia
- Rozładowanie baterii w o wiele krótszym czasie
- Zwiększone zużycie pamięci
- Nieuzasadnione przegrzanie
- Losowe wyłączenia i restarty
- Przedłużony czas wyłączenia lub trudności z ponownym uruchomieniem urządzenia
- Powolna wydajność
- Pliki z nietypowymi rozszerzeniami
- Dziwne odgłosy podczas połączeń
- Podświetlanie ekranu w trybie czuwania
- Podejrzane aplikacje, których instalowania i używania nigdy nie pamiętasz
Problem polega jednak na tym, że twórcy oprogramowania szpiegującego doskonale zdają sobie sprawę z tych znaków i stale opracowują swoje strategie ataków, aby zamaskować wszelkie ślady złośliwego oprogramowania na Twoim urządzeniu. Na przykład Pegasus powoduje minimalne zużycie baterii i przestanie przesyłać dane, gdy poziom naładowania spadnie poniżej 5% .
Pojawia się więc pytanie, jak wykryć oprogramowanie szpiegujące Pegasus. Łatwo się pomylić i ostatecznie utonąć w mnóstwie nowoczesnych aplikacji zabezpieczających. Zrobimy to dla Ciebie i skupimy się tylko na aplikacjach, które są specjalnie zaprojektowane do identyfikowania śladów oprogramowania szpiegującego Pegasus na telefonach komórkowych.
Zestaw narzędzi do weryfikacji mobilnej
Ta aplikacja została wydana przez Amnesty International, organizację zajmującą się prawami człowieka z ponad dziesięcioma milionami członków na całym świecie. Organizacja zbierała informacje na temat oprogramowania szpiegującego Pegasus od kilku lat i wykorzystała wyniki swojego dochodzenia do zbudowania aplikacji zabezpieczającej, która przeprowadza analizę kryminalistyczną urządzeń z systemem iOS i Android.
Kod źródłowy MVT jest dostępny dla ogółu społeczeństwa, więc można go uznać za open source. Oznacza to, że z narzędzia można korzystać tylko wtedy, gdy osoba, której telefon zostanie zeskanowany, wyraziła na to zgodę.
Obecnie MVT nie ma GUI, co oznacza, że wymaga znajomości narzędzi wiersza poleceń. Co więcej, jest on przeznaczony przede wszystkim dla ekspertów ds. analizy kryminalistycznej i śledczych, więc użytkownicy nietechniczni nadal musieliby zwrócić się o pomoc do profesjonalistów.
Niemniej jednak, jeśli jesteś doświadczonym technicznie użytkownikiem i chcesz poznać narzędzie, tutaj możesz znaleźć dokumentację MVT, jak ją zainstalować i uruchomić.
Funkcje MVT
MVT może działać tylko na systemach Linux i Mac, więc użytkownicy systemu Windows musieliby również zainstalować podsystem Windows dla systemu Linux, aby móc z niego korzystać.
Chociaż MVT może być używany do skanowania zarówno telefonów z systemem iOS, jak i Android, wykazuje lepsze wyniki na urządzeniach Apple, a jego funkcjonalność w systemie Android jest dość ograniczona.
Oto główne rzeczy, które możesz zrobić za pomocą MVT, aby ułatwić analizę kryminalistyczną:
- Dekoduje zaszyfrowane dane iOS
- Przetwarza i analizuje dane z wielu aplikacji iOS i bazy danych systemu
- Pobiera informacje o zainstalowanych aplikacjach na Androida
- Używa protokołu adb, aby pobrać informacje diagnostyczne z urządzenia z systemem Android
- Skanduje wyodrębnione rekordy pod kątem obecności złośliwych wskaźników w formacie STIX2
- Pozwala tworzyć chronologiczną oś czasu wszystkich pobranych rekordów
- Pozwala tworzyć chronologiczną oś czasu podejrzanych artefaktów i potencjalnie niebezpiecznych śladów
Wyzwania MVT
Po raz kolejny MVT nie jest narzędziem, z którym należy się bawić, ponieważ niewłaściwe użycie może spowodować utratę danych lub pogorszenie wydajności urządzenia. Na przykład, jeśli tworzenie kopii zapasowej iTunes lub Findera nie przyniosło pożądanych rezultatów, kolejnym krokiem do wykonania będzie jailbreak telefonu. Ten ostatni nie jest jednak zalecany, jeśli zamierzasz ponownie użyć tego iPhone’a.
Podsumowując, oto czynniki, które należy wziąć pod uwagę przed użyciem MVT:
- Fałszywe alarmy są powszechne (tutaj porady ekspertów są potrzebne do filtrowania alertów)
- Dostęp do pełnego systemu plików wymaga jailbreak
- Nie każda wersja na iPhone’a lub iOS jest odpowiednia do jailbreak
- Jailbreaking może zanieczyścić niektóre zapisy lub spowodować awarię urządzenia
- Kontrole Androida ograniczają się do analizy pakietów APK i SMS-ów
- Narzędzie jest trudne w użyciu dla osób nie posiadających wiedzy technicznej
Inne programy szpiegujące, takie jak Pegasus
Pegasus nie jest jedynym oprogramowaniem szpiegującym, które znalazło się w oku burzy. Jeśli zwrócimy się do Google i zagłębimy się w alternatywy Pegasusa, będziemy w stanie odkryć kilka dodatkowych opcji w krótkim czasie. I nie mówimy o „masowym” oprogramowaniu szpiegującym, takim jak Spyera , XNSPY lub FlexiSPY . Te ostatnie rozwiązania są przeznaczone przede wszystkim do kontroli rodzicielskiej, monitorowania pracowników lub paranoidalnych małżonków. Co więcej, nie można ich zainstalować zdalnie, ponieważ wymagają ręcznej instalacji, a niektóre funkcje mogą wymagać jailbreak lub dostępu root.
Mówiąc o narzędziach nadzoru o zasięgu ogólnokrajowym lub globalnym, możemy wymienić tylko kilka.
FinFisher
FinFisher , znany również jako FinSpy, to oprogramowanie do wykrywania cyberprzestępców opracowane przez niemiecką firmę informatyczną w 2008 roku. Według oficjalnej strony internetowej firma świadczy swoje usługi wyłącznie organom ścigania i agencjom wywiadowczym, a jej misją jest zwalczanie przestępczości zorganizowanej .
FinSpy to wieloplatformowe rozwiązanie, które infekuje systemy Windows, macOS, Linux, iOS i Android. Aby wszczepić FinSpy w urządzenie z systemem iOS, agent zagrożeń musiałby najpierw ręcznie złamać jailbreak systemu operacyjnego, a dopiero potem mógł zainstalować oprogramowanie szpiegujące. Zdalna infekcja odbywa się za pośrednictwem wiadomości SMS, e-mail lub WAP push. Jeśli chodzi o Androida, FinSpy umożliwia również wykorzystanie uprawnień roota na niezrootowanym urządzeniu, wykorzystując znane luki w zabezpieczeniach.
FinSpy przypomina Pegasusa, ponieważ może również zbierać informacje z komunikatorów internetowych, w tym tych uważanych za najbezpieczniejsze – Telegram, Signal i Threema. Ponadto FinSpy może nagrywać połączenia VoIP, czy to WhatsApp, Skype, WeChat, LINE, Signal czy Viber.
Candiru
Candiru to oprogramowanie szpiegujące opracowane przez izraelską firmę zarejestrowaną obecnie pod nazwą Saito Tech Ltd. Klienci oprogramowania szpiegującego składają się głównie z organizacji rządowych i autorytarnych przywódców. Candiru może infekować użytkowników komputerów stacjonarnych, mobilnych i chmurowych.
W przeciwieństwie do FinFisher, Candiru nie jest otwarcie sprzedawany, a jego infrastruktura pozostaje dobrze ukryta. Biorąc pod uwagę ujawnioną przez TheMarker propozycję opisującą Candiru, oprogramowanie szpiegujące może wydobywać i aktywnie monitorować wiele prywatnych danych – od kontaktów, SMS-ów i historii przeglądarki po zawartość Dropbox, Dysk Google i komunikatory internetowe. Candiru potrafi także przechwytywać rozmowy, nagrywać otoczenie, robić zrzuty ekranu oraz wyświetlać sieć Wi-Fi i jej zmiany.
Intellexa
Wyobraź sobie, że nie masz jednego rozwiązania do oprogramowania szpiegującego, ale cały zestaw narzędzi do nadzoru — kompleksową obsługę ofensywnego cyberbezpieczeństwa. Dokładnie to oferuje Intellexa.
Intellexa pozycjonuje się jako sojusz organizacji cyberwywiadowczych zaspokajający potrzeby służb wywiadowczych i organów ścigania. Łączy doświadczenie trzech firm technologicznych – Nexa, WiSpear i Cytrox – specjalizujących się odpowiednio w przechwytywaniu czujników i analizie dużych zbiorów danych, rozwiązaniach nadzoru Wi-Fi oraz zbieraniu danych z urządzeń końcowych i usług w chmurze.
Jak chronić się przed oprogramowaniem szpiegującym?
Chociaż Pegasus nadal pozostaje tajemnicą pod wieloma względami, zwłaszcza jeśli chodzi o jego techniczną realizację, stosowanie wypróbowanych środków bezpieczeństwa i zaleceń może znacznie pomóc w ochronie prywatności i integralności danych.
Oto proste kroki, które można podjąć, aby zmniejszyć szkody wyrządzone przez samego Pegasusa i podobne do Pegasusa oprogramowanie szpiegujące:
- Odetnij w urządzeniu łączność z Internetem, przejdź natychmiast na tryb offline np. tryb samolotowy
- Uruchom ponownie telefon. W ten sposób możesz zatrzymać Pegasusa na jakiś czas. Ten hack dotyczy tylko urządzeń z systemem iOS.
- Wróć do ustawień domyślnych. Przed wykonaniem tego kroku należy pamiętać, że przywrócenie ustawień fabrycznych wyczyści wszystkie dane osobowe wraz z potencjalnymi śladami złośliwego oprogramowania. Reset do ustawień fabrycznych nie gwarantuje usunięcia Pegasusa, zwłaszcza biorąc pod uwagę, że odzyskiwanie danych jest nadal możliwe.
- Zaktualizuj oprogramowanie. Aktualizuj swój system operacyjny i wszystkie zainstalowane aplikacje na bieżąco, aby zmniejszyć ryzyko wykorzystania luk zero-day.
- Usuń podejrzane urządzenia. Sprawdź, czy Twoje komunikatory internetowe i konta online są połączone z nieznanymi urządzeniami.
- Zmień hasła. Zapisz wszystkie hasła zapisane w smartfonie i zresetuj je wszystkie
- Skontaktuj się ze specjalistą, który szczegółowo zbada Twoje urządzenie oraz w razie potrzeby fachowo zabezpieczy ślady programu szpiegującego / artefakty.
Programy szpiegujące – Podsumowanie
Niedawne odkrycia dotyczące natrętności i subtelności Pegasusa skłoniły wielu z nas do ponownego rozważenia naszego podejścia do bezpieczeństwa osobistego i korporacyjnego. Chociaż Pegasus jest kwestią o zasięgu międzynarodowym, wszyscy jesteśmy odpowiedzialni za edukację siebie i wdrażanie niezbędnych środków bezpieczeństwa w celu ochrony naszej tożsamości i integralności danych. Pegasus jest wyjątkowy pod wieloma względami, ale nie jest jedynym oprogramowaniem szpiegującym na rynku; mnóstwo innych aplikacji mogło zostać nadużytych. Jeśli obawiasz się, że ktoś Cię szpieguje lub ochrona Twojej firmy pozostaje w tyle, skontaktuj się z profesjonalnym ekspertem ds. bezpieczeństwa, zanim intruz podsłucha każdy Twój ruch.
Masz podejrzenia, że Twój telefon jest zainfekowany?
Napisz na adres:
cyberpoczta@gmail.com
Opisz symptomy / markę / model urządzenia