Добавь сайт в закладки нажми CTRL+D
На фоне очередного витка арабо-израильского противостояния, и особенно после внезапного нападения ХАМАС 7 октября, вопросы оперативного доступа к устройствам противника, получения конфиденциальной информации стали еще более актуальными.
В нашем материале разбираем как работает и какими возможностями обладает Pegasus – самая известная израильская разработка в области кибер-шпионажа.
Кто создал Pegasus?
Содатель Pegasus – компания NSO Group, занимающаяся кибершпионажем, была основана в 2010 бывшими сотрудниками израильской разведки: Niv Karmi, Shalev Hulio, Omri Lavie. Первые буквы их имен – в названии NSO.
Руководству NSO Group удалось привлечь венчурное финансирование в 2014 от американской инвесткомпании Francisco Partners. Контрольный пакет на тот момент оценивался в $120 млн. В 2019 году инвестфонд Novalpina Capital, совместно с Shalev Hulio и Omri Lavie выкупил контрольный пакет акций. Niv Karmi вышел из проекта на ранней стадии.
Pegasus – это флагманский продукт израильской NSO Group. Технология NSO позволяет ее клиентам, которые, по словам представителей компании, всегда являются правительствами, а не частниками, выбирать определенные телефонные номера и заражать соответствующие устройства кодом Pegasus.
Но вместо того, чтобы пытаться прослушивать данные, передаваемые между двумя устройствами, которые, скорее всего, будут зашифрованы, Pegasus позволяет пользователям захватить само устройство, получив доступ ко всему, что на нем находится.
Pegasus отслеживает нажатия клавиш на зараженном устройстве – все письменные сообщения и веб-поиски, даже пароли – и возвращает их клиенту, а также предоставляет доступ к микрофону и камере телефона, превращая его в мобильное устройство слежения, которое жертва невольно носит с собой.
Когда телефон взламывается, это делается таким образом, что клиенты и специалисты NSO Group получают административные привилегии на устройстве. Это позволяет делать на телефоне практически все, что угодно.
Такой инструмент как Pegasus, позволяющий получить неограниченный доступ к коммуникациям и перемещениям абонентов заражённых устройств очень востребован правительствами. Среди клиентов NSO Group правительства таких стран как: Мексика, Саудовская Аравия, ОАЭ, Марокко, Испания, Индия, Панама, Того, Руанда, Азербайджан, Бахрейн, Венгрия, Казахстан, Кения.
И список клиентов постоянно пополняется. Вопросами использования Pegasus озаботился даже Европарламент и выпустил отчет, в котором указано какие правительства в ЕС покупали Pegasus и против кого эти технологии были использованы. Для сохранения возможности доступа к зараженным устройствам команда NSO Group должна постоянно обновлять свои технологии, чтобы опережать такие компании, как Apple и Google, которые выпускают патчи для устранения уязвимостей. За последние годы Pegasus превратился из относительно грубой системы, основанной на социальной инженерии, в программу, способную скомпрометировать телефон без необходимости перехода по ссылке.
От социальной инженерии до современных эксплойтов
В свое время хакерские атаки Pegasus требовали активного участия жертвы. Операторы Pegasus отправляли на телефон жертвы текстовые сообщения с вредоносной ссылкой. При нажатии на нее в браузере открывалась страница, на которой загружалось и исполнялось вредоносное ПО, заражающее устройство.
Клиенты NSO Group использовали различные тактические приемы, чтобы увеличить вероятность клика.
Например, клиенты рассылали спам, чтобы расстроить цель, а затем отправляли еще одно сообщение с просьбой перейти по ссылке, чтобы прекратить получать спам.
Методы социальной инженерии помогали манипулировать целью, заставляя ее перейти по ссылке. Сами ссылки разрабатывались исходя из страхов или интересов жертвы.
Сообщения могли содержать новости, представляющие интерес для адресата, или рекламные акции, которые могли бы его заинтересовать – возможно, абонемент в спортзал или ссылки на распродажи.
Этот грубый подход быстро себя исчерпал. Цели быстро научились распознавать вредоносный спам. Требовалось что-то более тонкое.
В поисках уязвимостей
В числе прочих ПО Pegasus позволяло использовать следующие уязвимости:
CVE-2016-4655 — уязвимость ядра iOS;
CVE-2016-4656 — уязвимость ядра iOS (memory corruption);
CVE-2016-4657 — уязвимость в WebKit;
FORCEDENTRY (CVE-2021-30860) для iOS (патч вышел в сентябре 2021).
iMessage от Apple, как известно, тоже можно взломать. Мэтт Грин, криптограф и эксперт по безопасности из Университета Джона Хопкинса, заявил журналистам, что уязвимость iMessage возросла после того, как компания Apple усложнила программное обеспечение. Это привело к появлению новых возможностей для поиска ошибок в коде. Apple регулярно выпускает обновления, призванные устранить подобные уязвимости, однако индустрия шпионских программ всегда оказывается как минимум на шаг впереди.
Pegasus способен заражать самые последние версии iOS. На поиск этих ошибок в коде тратится гораздо больше времени и денег, чем на предотвращение их появления и искоренение.
Тестировка ПО – это работа, поставленная на поток. Для тестировки часто привлекают узких специалистов, не обладающих глубокими навыками программирования и креативом. А для поиска уязвимостей привлекают наиболее талантливых и креативных программистов. Атакующие всегда впереди, потому что у них есть серьезный материальный стимул.
Представители Apple, естественно отрицают преимущества шпионских программ. По их заявлениям эксплойты от NSO Group, являются узконаправленными, их разработка обходится в миллионы долларов и часто они имеют ограниченный срок годности. Якобы эти финансовые ограничения являются запретительными для разработки новых эксплойтов.
Эксплойты нулевого клика
Решением стало использование так называемых эксплойтов нулевого клика. Эти уязвимости не требуют от пользователя никаких действий для того, чтобы Pegasus скомпрометировал его устройство. Именно этот метод атаки был предпочтительным для правительств, использующих Pegasus, в течение последних нескольких лет.
Эксплойты нулевого клика опираются на ошибки в таких популярных приложениях, как iMessage, WhatsApp и FaceTime, которые получают и сортируют данные, иногда из неизвестных источников.
Обнаружив уязвимость, Pegasus может проникнуть на устройство, используя протокол приложения. При этом пользователю не нужно переходить по ссылке, читать сообщение или отвечать на звонок – он может даже не увидеть пропущенный вызов или сообщение.
Эксплойты нулевого клика составляют большинство случаев компрометации устройств, зафиксированных с 2019 года. По заявлению Тимоти Саммерса, бывшего киберинженера одной из американских спецслужб, Pegasus подключается к большинству систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram и встроенные приложения Apple для обмена сообщениями и электронной почты.
Сетевые атаки
Помимо эксплойтов нулевого клика, клиенты NSO Group могут использовать сетевые атаки для незаметного доступа к устройству объекта. При таком способе жертва может быть открыта для атаки в момент просмотра веб-страниц без необходимости перехода по специально разработанной вредоносной ссылке. Этот подход заключается в том, что во время обычной работы в Интернете необходимо дождаться, пока цель посетит не полностью защищенный сайт. После перехода по ссылке на незащищенный сайт программа NSO Group получает доступ к телефону и запускает процесс заражения.
Это крайне эффективный способ перехватить контроль над устройством. Задержка между переходом на незащищенный сайт и заражением Pegasus может составлять считанные миллисекунды. Заражение устройств происходит через сеть подставных сайтов, которую специалисты по кибербезопасности назвали Stealth Falcon.
Однако реализовать этот метод сложнее, чем атаку на телефон с помощью вредоносного URL или эксплойта нулевого клика, поскольку необходимо отслеживать использование мобильного телефона жертвы до того момента, когда ее интернет-трафик станет незащищенным. Обычно это делается через оператора мобильной связи, к которому некоторые государства имеют доступ или контролируют его. Однако такая зависимость затрудняет или делает невозможным для правительств атаковать людей, находящихся вне их юрисдикции. Эксплойты нулевого клика не имеют таких ограничений, что и обусловливает их популярность.
Сколько стоит подписка на Pegasus?
По данным New York Times инструмент, позволяющий мониторить 10 пользователей iPhone, обойдется в $650 тыс. и $500 тыс. за установку. Это минимальный пакет услуг. Один стандартный модуль Pegasus в течение года может отслеживать до 500 телефонов, но только 50 одновременно. Лицензия на такой модуль обходится примерно в $7-8 млн в год. Это оценочные цифры, поскольку технология постоянно совершенствуется и стоимость новых аддонов, разработанных под задачи клиентов, по понятным причинам не разглашается. По данным NSO Group, в 2020 году ее выручка составила $243 млн. Это примерно 25-30 клиентов.
Что скажет официальное правосудие?
Естественно, продажа инструмента цензуры и тотального контроля правительствам по всему миру не могла остаться без внимания правоохранительных органов.
Еще в 2019 году компания WhatsApp подала в суд на NSO Group в США, утверждая, что израильская компания использовала уязвимость для заражения более 1400 устройств. WhatsApp утверждает, что среди жертв были журналисты, юристы, религиозные лидеры и политические диссиденты. Ряд других известных компаний, в том числе Microsoft и Google, представили свои аргументы в поддержку рассматриваемого дела.
Недавно Верховный суд США разрешил компании WhatsApp, принадлежащей Meta Platforms Inc, продолжить рассмотрение иска, обвиняющего израильскую компанию NSO Group в использовании ошибки в приложении WhatsApp для установки шпионского программного обеспечения, позволяющего следить за 1400 человек, включая журналистов, правозащитников и диссидентов.
Судьи отклонили апелляцию NSO Group на решение суда низшей инстанции о том, что иск может быть продолжен. Представители NSO Group утверждали, что она имеет иммунитет от судебного преследования, поскольку при установке шпионской программы Pegasus компания действовала как агент неизвестных иностранных правительств.
Администрация Джо Байдена призвала судей отклонить апелляцию NSO Group, отметив, что госдепартамент США никогда ранее не признавал за частной организацией, действующей в качестве агента иностранного государства, права на иммунитет. Meta, материнская компания WhatsApp и Facebook, в своем заявлении приветствовала решение суда отклонить “необоснованную” апелляцию NSO Group.
Судя по тому, что за 4 года был только рассмотрен иск и отклонена апелляция, дело движется крайне неторопливо. Скорее это напоминает обсуждение в “теплой дружеской обстановке”. Суд идет, продажи ПО Pegasus не заблокированы, правительства по всему миру его активно используют, а беспристрастная американская Фемида наблюдает.
Борьба за контроль над NSO Group
В 2021 году NSO Group стала объектом масштабного журналистского расследования. Представителей компании обвинили в продаже шпионского ПО авторитарным правительствам, слежке за журналистами и общественными деятелями. Вследствие этого Администрация Байдена внесла NSO Group в черный список [Entity list] компаний, которым запрещено поставлять [экспортировать] американские технологии. Это был больше имиджевый ход, направленный на создание финансовых проблем у NSO Group с целью ее дальнейшей покупки.
Вскоре после расследования представители одной из основных подрядных организаций Пентагона, компании L3Harris, сообщили своим коллегам из NSO Group, что они получили благословение и поддержку правительства и американской разведки на приобретение компании, если исходный код Pegasus и кэш обнаруженных уязвимостей, будут переданы другим спецслужбам англосаксонского разведсообщества Five Eyes.
Формально, внесение компании в Entity list накладывает запрет только на экспортные операции, связанные с поставками технологий. Но не касается импортных операций или поглощений. Именно на это и рассчитывали представители L3Harris.
Но в процесс включились другие игроки. Кредиторы, включая Credit Suisse и Senator Investment Group, в начале 2023 обратили взыскание на материнскую компанию NSO Group. В результате поглощения была произведена смена владельцев NSO, включая фонд прямых инвестиций, основанный Novalpina Capital, который приобрел компанию в ходе сделки, оценив ее примерно в $ 1 млрд. в 2019 году.
Сейчас компания Dufresne Holdings, контролируемая соучредителем NSO Group Omri Lavie, в корпоративных документах указана в качестве единственного акционера материнской компании NSO Group. Представители этой компании принимают активное участие в управлении NSO Group. По их инициативе были уволены некоторые сотрудники. Тем временем кредиторы NSO Group сотрудничают с Lavie и договорились не добиваться от NSO дефолта по долгам.
По словам представителя компании, NSO Group управляется непосредственно генеральным директором Яроном Шохатом, а ее кредиторы в настоящее время занимаются реструктуризацией долей акционеров.
Сейчас идет, по сути, переоформление активов на новое юрлицо и оптимизация компании, что необходимо для привлечения новых инвестиций и получения чистых регистрационных документов без упоминаний про внесение в черный список. В любом случае NSO Group, даже в новой оболочке, останется под контролем крупных банков.
Роль Pegasus в текущем противостоянии с арабским миром
Продукт Pegasus это удобный инструмент мониторинга и контроля, который доказал свою эффективность и очень востребован правительствами многих стран. С началом активной фазы текущего арабо-израильского конфликта в медиа появилось много критики израильской разведки, которая якобы оказалась не в состоянии заранее определить подготовку к атаке со стороны палестинских группировок. Появлялись даже, ничем не подкрепленные сообщения о том, что палестинские группировки два года пользовались проводными телефонами и поэтому стали “невидимыми” для спецслужб Израиля.
На наш взгляд, это не соответствует действительности. Связка Моссада и NSO Group позволяет эффективно комбинировать технические и агентурные методы разведки. На базе ПО Pegasus уже создана закрытая экосистема, в которую включены сотовые операторы. Поэтому доводы относительно “неожиданного нападения” выглядят крайне сомнительно.
Текущий конфликт может быть использован для легализации методов контроля абонентов со стороны правительств. Естественно “из соображений безопасности”. Это очень хорошо укладывается в повестку глобалистов. Причем война, с большим количеством жертв, особенно среди гражданского населения Газы, является отличными прикрытием. Внимание общественности естественно приковано к этой гуманитарной катастрофе, что может существенно облегчить принятие соответствующих законов.
Усиление влияния радикальных группировок в ближневосточном регионе может подтолкнуть к сотрудничеству с Израилем даже некоторые мусульманские страны. Например Азерайджан, в рамках военно-технического сотрудничества с Израилем получил доступ к системе Pegasus. Напомним, именно Азербайджан на сегодня покрывает около 40% потребностей Израиля в нефти и нефтепродуктах. Взамен власти Азербайджана получили доступ не только к Pegasus, но и к высокотехнологичным видам вооружений, а также данным спутниковой разведки, что явилось определяющим фактором в Нагорно-Карабахском конфликте.
Не сомневаемся, что Израиль не оставит попыток выстроить диалог с другими мусульманскими странами региона в подобном ключе. Правительства стран, не пользующиеся большим доверием у населения, могут пойти на компромисс и стать клиентами NSO Group ради того, чтобы остаться у власти.
Представители Моссада и АОИ неплохо представляют ситуацию в регионе, и вероятно рассчитывают не столько на мощь американских АУГ, сколько на возможность внести раскол в блок арабских государств, используя самые различные инструменты и методы.
ПО Pegasus является одним наиболее эффективных средств ведения современной многодоменной войны, и требует внимательного изучения в целях обороны и противодействия.
тг канал Рыбарь
Поделись видео:
