Artykuły | 13 lipiec, 2022

System Pegasus. Zawód: szpieg

W 2022 r. rozgorzała dyskusja na temat wykorzystywania systemu Pegasus do inwigilacji telefonów, także tych działających na systemie operacyjnym iOS. Do tej pory urządzenia z logo nadgryzionego jabłka były uważane za najsolidniej zabezpieczone. Oczywiście w porównaniu do innych platform ich poziom bezpieczeństwa jest wysoki. Jednak, w miarę jak rośnie ich popularność (i liczba użytkowników!) sytuacja się komplikuje. Jak Pegasus działa? Jak wykryć obecność Pegasusa i zabezpieczyć swoje urządzenia Apple przed oprogramowaniem szpiegującym? Zachęcam do lektury!

System Pegasus. Zawód: szpieg

Co to jest system Pegasus?

System Pegasus jest programem szpiegującym stworzonym i dystrybuowanym przez izraelską firmę NSO Group. Założyli ją byli członkowie izraelskich służb wywiadowczych, specjalizujący się w inwigilacji cyfrowej. Program Pegasus przeznaczony jest do automatycznego instalowania na systemach iOS i Android. Według niedawnego śledztwa Amnesty International za pośrednictwem Pegasusa atakujący uzyskuje pełny dostęp do wiadomości, e-maili, multimediów, mikrofonu, kamery, połączeń i kontaktów urządzenia.

Jak dowiedzieliśmy się o systemie Pegasus?

O istnieniu Pegasusa dowiedzieliśmy się w 2016 r., gdy Ahmed Mansur, aktywista działający na rzecz ochrony praw człowieka w Zjednoczonych Emiratach Arabskich, otrzymał wiadomość SMS z linkiem. Przed jego otwarciem Mansur poprosił o sprawdzenie podejrzanego linka organizację Citizen Lab.

Śledztwo prowadzone we współpracy z Lookout, prywatną firmą zajmującą się cyberbezpieczeństwem, ujawniło, że kliknięcie w link spowodowałoby zainfekowanie telefonu Mansura oprogramowaniem szpiegującym oraz wskazało jako producenta izraelską firmę.

Inną głośną sprawą z wątkiem Pegasusa w tle było zabójstwo Dżamala Chaszukdżiego, saudyjskiego dziennikarza publikującego m.in. na łamach „The Washington Post”. Edward Snowden wykazał, że Chaszukdżi przez kilka miesięcy przed zamordowaniem był śledzony przy wykorzystaniu tego właśnie złośliwego oprogramowania.

Oprogramowanie szpiegujące Pegasus kiedyś i dziś

Najwcześniejsza wersja Pegasusa, z 2016 roku, infekowała telefony za pomocą ataku typu spearphishing (ukierunkowany atak), który wymagał od użytkowników kliknięcia złośliwego łącza wysłanego mailowo lub SMS-em.

Od tamtego czasu system Pegasus stawał się coraz bardziej zaawansowany i dziś może być dostarczany za pomocą ataków typu „zero-click”, w których użytkownik nie musi nawet nic klikać. Tego typu ataki zazwyczaj wykorzystują luki tzw. dnia zerowego (czyli w momencie opublikowania aktualizacji systemu) lub błędy w systemie operacyjnym, które nie zostały jeszcze naprawione przez producenta.

Możliwe działania Pegasusa

W 2019 roku WhatsApp ujawnił, że Pegasus został wykorzystany do zaatakowania ponad 1400 urządzeń, korzystając z luki zero-day i skutecznie zamieniając smartfony w urządzenia do monitoringu.

Z pomocą Pegasusa można kopiować wysyłane lub odbierane wiadomości, zbierać zdjęcia i nagrywać rozmowy. Program może nawet aktywować mikrofon, aby podsłuchiwać rozmowy, lub po cichu włączyć kamerę, aby nagrywać to, co dzieje się wokół ciebie.

system pegasus może monitorować wiadomości SMS

Oprogramowanie szpiegowskie – potężne narzędzie

Korzystając z ogromnych ilości danych gromadzonych przez urządzenia, program może również potencjalnie wskazać twoją aktualną lokalizację, a także to, gdzie byłeś i z kim. Może to być bardzo niebezpieczne dla posiadacza takiego urządzenia i zostać wykorzystane przeciwko niemu w dowolnym momencie.

Na domiar złego dana osoba nie ma w ogóle świadomości, że może być inwigilowana, a także nie wiadomo, w jaki sposób zostaną wykorzystane przejęte przez program szpiegujący dane i zasoby. System Pegasus stanowi szczególne zagrożenie dla osób mających dostęp do poufnych informacji czy wrażliwych danych, np. osób publicznych, urzędników państwowych lub pełniących istotne funkcje biznesowe.

W jaki sposób instalowany jest system inwigilacji Pegasus?

Telefon użytkownika może być zainfekowany na trzy sposoby:

  • Kliknięcie w link wysłany za pomocą wiadomości SMS lub poczty – co ciekawe, aby uśpić naszą czujność, wiadomości mogą być tematycznie związane z bieżącą aktywnością (np. zakupami czy podróżami)
  • Popularne komunikatory internetowe – nie ma potrzeby interakcji, klikania w linki czy stosowania innej metody aktywacji, wystarczy samo wyświetlenie
  • Połączenie telefoniczne – sposób szczególnie niebezpieczny, bo trudno się przed nim uchronić, kiedy zostaniemy obrani za cel ataku. Połączenia nie musimy nawet odebrać. Wystarczy, że sygnał zostanie przesłany. W przypadku smartfonów z systemem iOS program Pegasus wykorzystywał proces tzw. jailbreakingu (jailbreak umożliwia uzyskanie pełnego dostępu do urządzenia i wgrywanie aplikacji i rozszerzeń, które nie są dostępne poprzez oficjalne źródła dystrybucji Apple). Jak zapewnia Apple – od aktualizacji 9.3.5 systemu iOS luka została załatana
instalacja oprogramowania - wykorzystywane sposoby

Jakie dane można pozyskać ze smartfona zainfekowanego Pegasusem?

Złośliwe oprogramowanie otrzymuje dostęp do wszystkich funkcji telefonu. Począwszy od lokalizacji, przez rejestr połączeń, zapisanych haseł, nagrywanie dźwięku (w pełni umożliwiając podsłuchiwanie), kończąc na danych przesyłanych za pomocą innych aplikacji (np. komunikatorów). Oprogramowanie może zatem także z inwigilowanych smartfonów pobierać wiadomości, zdjęcia i kontakty.

System Pegasus – znane ofiary

Pegasus w zamyśle miał służyć walce z terroryzmem poprzez inwigilowanie wybranych jednostek, które korzystają ze smartfonów. W praktyce ofiarami Pegasusa padali dziennikarze takich redakcji jak: Bloomberg, France 24, „New York Times”, „Economist”, „Reuters” czy nawet „Wall Street”. Z ponad 50 000 osób inwigilowanych blisko aż 1000 z nich pochodzi z Europy, z czego niemal 180 przypadków to dziennikarze wyżej wymienionych redakcji. Na liście poszkodowanych byli również duchowni, ministrowie, rodziny polityków, a także aktywiści. Jak nietrudno się domyślić, uzyskane przez Pegasusa dane nie łączą się w żaden sposób z walką z terroryzmem.

centralne biuro antykorupcyjne - polskie służby specjalne już nie korzystają z systemu pegasus

Czy iOS jest odporny na działanie Pegasusa?

Powszechnie wiadomo, że urządzenia iOS są odporne na ataki. Ciągle jednak poprzeczka w zakresie bezpieczeństwa jest podnoszona coraz wyżej. Badacze Amnesty International twierdzą, że w rzeczywistości łatwiej im było znaleźć i zbadać oznaki włamania za pomocą Pegasusa na urządzeniach Apple niż na urządzeniach z systemem Android.

„Z doświadczenia Amnesty International wynika, że śledczy mają znacznie więcej śladów ryminalistycznych dostępnych na urządzeniach Apple iOS niż na standardowych urządzeniach z Androidem, dlatego nasza metodologia koncentruje się na tych pierwszych”

 – napisała grupa w długiej analizie technicznej swoich ustaleń dotyczących Pegasusa.

Skupienie się na Apple wynika również z nacisku firmy z Cupertino na prywatność i bezpieczeństwo podczas projektowania produktów – dzięki solidnym zabezpieczeniom urządzenia Apple pozwalają na lepszą diagnostykę. Klienci biznesowi, którzy wybierają urządzenia Apple dla swoich pracowników, a następnie szukają właściwego MDM (jak np. Jamf Pro), pytają właśnie o kwestię prywatności. W jednym z kontraktów, jakie podpisałem w obszarze MDM, kluczowym wymogiem było zapewnienie maksymalnej prywatności i bezpieczeństwa. Odpowiedzią na te potrzeby są produkty z grupy bezpieczeństwa oferowane przez Jamf na urządzenia mobilne – Jamf Threat Defense.

Co na to Apple?

W listopadzie 2021 r. Apple pozwało izraelską firmę NSO Group Technologies (oraz ich firmę matkę – Q Cyber Technologies).

Celem toczącej się sprawy sądowej jest zakazanie NSO Group wykorzystywania Pegasusa do włamywania się do telefonów. Co ciekawe, Apple będzie dowodziło, że aby przeprowadzić ataki, NSO Group musiało stworzyć kilkaset kont Apple ID, a tym samym zgodzić się na warunki użytkowania m.in. iClouda i jednocześnie podleganie kalifornijskim prawom. Z tego też powodu sprawa została założona właśnie w tym stanie USA. Apple żąda również bliżej nieokreślonego odszkodowania, które ma zostać przekazane organizacjom walczącym o wykrywanie złośliwego i szpiegującego oprogramowania.

Jak sprawdzić, czy mam Pegasusa na swoim urządzeniu?

Aby pomóc użytkownikom upewnić się, czy nie padli ofiarą Pegasusa, powstało narzędzie Mobile Verification Toolkit, w skrócie MVT. Obsługuje ono zarówno iPhone’y, jak i smartfony z Androidem. Cały proces odbywa się jednak za pomocą komputera (Windows, Mac lub Linux), gdzie po podłączeniu urządzenia mobilnego można wykonać kopię zapasową, którą następnie skanuje MVT.

Narzędzie można pobrać z zaufanych witryn – wymaga znajomości obsługi wiersza poleceń i jest oparte na interfejsie tekstowym. Aby mogło wykonać swoje zadanie, należy najpierw pobrać specjalne pliki badaczy Amnesty International, którzy udostępnili je na GitHubie. Jak podaje portal TechCrunch, uruchomienie narzędzia po pobraniu wszystkich niezbędnych składników trwa do 10 minut, a zweryfikowanie kopii zapasowej – około 2 minut.

Czy Pegasus infekuje także system operacyjny Apple?

Tak, Pegasus szpieguje urządzenia firmy Apple. Każdy system operacyjny dostępny na rynku, niezależnie od producenta, ma zarówno nieodkryte, jak i odkryte, ale nieupublicznione błędy (zero-day). Właśnie z tych drugich korzysta Pegasus i co gorsza, pewne kombinacje błędów pozwalają mu tak mocno osadzić się na przejętym smartfonie, że może on przetrwać nawet aktualizację systemu operacyjnego – a zatem do pewnego stopnia może nawet ochronić się przed wymierzoną w niego łatką producenta. Jest to jednak dość trudne i dlatego telefony ofiar atakujący często (tj. po aktualizacji) potrzebują ponownie zainfekować.

Jak się chronić przed Pegasusem?

Główna zasada: podczas korzystania z urządzenia należy otwierać tylko linki ze znanych i zaufanych źródeł. Dotyczy to zarówno wiadomości wysyłanych za pośrednictwem poczty e-mail, jak i innych komunikatorów.

Należy też dbać o aktualizowanie urządzeń i instalować odpowiednie poprawki oraz aktualizacje. Tu z pomocą może przyjść taki system jak Jamf Pro. To zaawansowane narzędzie do zarządzania komputerami z systemami macOS iOS, które umożliwia połączenie wielu różnych systemów, m.in. do zarządzania urządzeniami, tożsamością, aplikacjami czy wirtualizacją, w celu stworzenia jednego cyfrowego miejsca pracy.

Lepsze zarządzanie aktualizacjami

Za pomocą Jamf Pro możemy zadbać o aktualność systemu operacyjnego macOS oraz iOS. Odbywa się to np. w usłudze Patch Management, jaką oferuje zespół Apple for Business w Inetum. W skrócie – polega na przygotowaniu i dystrybucji paczek z aktualizacjami i wysłaniu ich do części użytkowników (tzw. early adopters), których zadaniem jest przetestowanie zaktualizowanej aplikacji w środowisku produkcyjnym. Jeżeli nie ma informacji zwrotnej o błędzie – aplikacja jest dystrybuowana do całej organizacji. Usługa Patch Management może być rozbudowana o utrzymanie środowiska Apple po stronie klienta, co pozwala znacznie zredukować koszty.

Dedykowane narzędzia

Innymi narzędziami ograniczającymi ryzyko ataku na urządzenie Apple są dedykowane systemy tj. Jamf Protect lub Jamf Connect. Przykładowo, ta druga aplikacja umożliwia jednokrotne logowanie (SSO) do wszystkich zasobów na komputerze z systemem operacyjnym macOS. Jamf Connect w znacznym stopniu podnosi bezpieczeństwo logowania i ogranicza ryzyko przejęcia hasła.

Dobre praktyki

Każdy z nas może (i powinien) stosować dobre praktyki, które pozwolą ograniczyć fizyczny dostęp do telefonu. Ustawienie blokady za pomocą kodu PIN, odcisku palca lub rozpoznawania twarzy utrudni zadanie potencjalnym włamywaczom. W miarę możliwości należy unikać korzystania z publicznych hotspotów, a jeśli nie ma innego wyboru – korzystać z sieci VPN.

Podsumowanie

Dla większości obywateli ryzyko infekcji Pegasusem jest mało prawdopodobne, jeśli nie bliskie zera. Nie brakuje jednak innych zagrożeń, takich jak phishing, a cyberprzestępcy w ostatnich latach wynajdują coraz bardziej wymyślne sposoby umożliwiające ataki i przejęcie danych. Starajmy się być czujni, unikajmy ryzykownych zachowa – to najlepsze, co można zrobić dla swojego bezpieczeństwa.

Business Development Manager z ponad 20-letnim doświadczeniem - pomagał klientom w wyborze profesjonalnych usług i szkoleń. Entuzjasta zwinnego podejścia w sprzedaży i rozwoju biznesu. Odpowiada za rozwój rynku usług zarządzania urządzeniami Apple w regionach CEE i EMEA. Prywatnie lubi czytać kryminały, a w wolnym czasie jeździ na motocyklach.

Zapisz się do newslettera, ekskluzywna zawartość czeka

Bądź na bieżąco z najnowszymi artykułami i wydarzeniami IT

Informacje dotyczące przetwarzania danych osobowych

Zapisz się do newslettera, ekskluzywna zawartość czeka

Bądź na bieżąco z najnowszymi artykułami i wydarzeniami IT

Informacje dotyczące przetwarzania danych osobowych

Zapisz się do newslettera, aby pobrać plik

Bądź na bieżąco z najnowszymi artykułami i wydarzeniami IT

Informacje dotyczące przetwarzania danych osobowych

Dziękujemy za zapis na newsletter — został ostatni krok do aktywacji

Potwierdź poprawność adresu e-mail klikając link wiadomości, która została do Ciebie wysłana w tej chwili.

 

Jeśli w czasie do 5 minut w Twojej skrzynce odbiorczej nie będzie wiadomości to sprawdź również folder *spam*.

Twój adres e-mail znajduje się już na liście odbiorców newslettera

Wystąpił nieoczekiwany błąd

Spróbuj ponownie za chwilę.

    Get notified about new articles

    Be a part of something more than just newsletter

    I hereby agree that Inetum Polska Sp. z o.o. shall process my personal data (hereinafter ‘personal data’), such as: my full name, e-mail address, telephone number and Skype ID/name for commercial purposes.

    I hereby agree that Inetum Polska Sp. z o.o. shall process my personal data (hereinafter ‘personal data’), such as: my full name, e-mail address and telephone number for marketing purposes.

    Read more

    Just one click away!

    We've sent you an email containing a confirmation link. Please open your inbox and finalize your subscription there to receive your e-book copy.

    Note: If you don't see that email in your inbox shortly, check your spam folder.