Cледы шпионской программы Pegasus нашли в телефонах множества журналистов и активистов по всему миру. В списке потенциальных целей для слежки — более 50 тысяч человек. Как работает израильское шпионское ПО Pegasus.
Раздвоение личностей. Хакеры взяли на вооружение системы распознавания лиц. Чем это опасно для миллионов людей?
|
Мечты фантастов прошлых поколений, похоже, окончательно сбылись: все чаще от госуправленцев и глав крупных технологических корпораций можно услышать, что будущее уже наступило. Западные и отечественные фильмы начала тысячелетия приучили нас, что можно подделать документы человека, его фото, голос и даже отпечатки пальцев. Последним оплотом надежности оставалась идентификация человека по лицу. Сегодня эту технологию используют производители смартфонов, госорганы, банки и метрополитены. Технологию распознавания лиц нередко называют абсолютно безопасной, но мировые эксперты бьют тревогу: еще ни разу не случалось, чтобы хакеры не находили способа обмануть систему. Насколько на самом деле реальна угроза — разбиралась «Лента.ру».
Новые личности
Денис (имя изменено) — завсегдатай одного из форумов даркнета для профессиональных «вилочников». Так в букмекерских конторах называют игроков, которые ловят «вилки» — несоответствия в коэффициентах на спортивные события на разных площадках, что позволяет им делать беспроигрышные ставки. Для поиска «вилок» используются специальные платные программы.
«Проблемой всегда было то, что конторы ловят "вилочников", анализируя данные об их ставках, после чего блокируют их без объяснения причин. Зачастую даже не удается вывести выигрыш, — жалуется Денис. — Такие блокировки требуют регулярного создания новых личностей».
Раньше букмекеры идентифицировали нового пользователя по селфи с раскрытым паспортом в руках, но теперь практически все популярные в России конторы требуют видеоидентификации. Подделать паспорт — вполне решаемая для «вилочников» задача: заказать нарисованные документы, которые потребует букмекер, можно у специальных умельцев. Идентификация по видео всегда была для них проблемой. Теперь она, похоже, решена.
Во время звонка букмекера программа создает некритичные помехи в канале связи, которые скрывают использование дипфейка, а изображение, которое видит сотрудник компании, совпадает с фото на паспорте. Это стоит немалых денег, и пока услуга оказывается только среди своих, потому что требует частичного раскрытия цифровой личности: установки программы, создания удаленных подключений. Но перспективы — потрясающие, потому что букмекерские конторы либо пока не используют детекторы дипфейков, либо нам об этом ничего не известно
За фейковыми личностями, в которых технология превращает «вилочников» на время идентификации, стоят реальные люди, предполагает Денис: чтобы схема работала, нужно не только совпадение внешности на фотографии в паспорте и на видео, но и данные настоящих банковских карт. Эксперты по банковской безопасности давно поговаривают в непубличной обстановке, что практически во всех крупных компаниях финсектора существуют незалатанные черные дыры, дающие мошенникам доступ к персональным данным пользователей.
Искусственный интеллект, оживляющий изображения реально существующих людей, — одна из основных точек приложения усилий хакеров. Дипфейки — маски, созданные специальными программами, которые просто накладывают на реальное изображение чужое лицо. Несколько лет назад угловатость и комичность, с которой технология «оживляла» изображение, стала основой для нескольких интернет-мемов. Тогда Сильвестра Сталлоне заставили «исполнить» главную роль в «Один дома», а Арнольда Шварценеггера — все роли во «Властелине колец». Но если те подделки детекторы дипфейков (специальные программы, которые раскручивают созданную иллюзию в обратную сторону, выявляя критические несоответствия между теми самыми 80 ключевыми точками) определяли почти в 100 процентах случаев, то теперь этот показатель стал ниже.
Американский режиссер Джордан Пил совместно с изданием BuzzFeed выпустил дипфейк-видео с участием бывшего президента США Барака Обамы. В ролике, созданном с помощью программы Fakeapp и графического редактора, нарисованный Обама объяснил, что современные технологии позволяют сделать так, что кто угодно может говорить на видео что угодно. Затем фейковый президент произнес несколько фраз, которые настоящий Обама никогда не сказал бы публично: например, назвал тогдашнего президента США Дональда Трампа абсолютным придурком. В конце Пил призвал зрителей быть более бдительными и внимательнее проверять источники информации, прежде чем им доверять.
«Системы, использующие распознавание по лицу, имеют в своем составе специальные механизмы Liveness Detection. Фактически они проверяют, что с системой "общается" живой пользователь, а не его фотография. Поэтому, когда злоумышленник пытается обмануть систему распознавания лиц, он, по сути, соревнуется с механизмами Liveness Detection. Степень их надежности зависит от конкретной биометрической системы. Но стоит отметить, что лидеры российского и международного рынка технологий распознавания лиц достаточно хорошо защищают свои системы от взлома», — уверен Алексей Кузьмин, руководитель группы биометрических технологий и систем аутентификации центра прикладных систем безопасности компании «Инфосистемы Джет».
Шаблонный подход
Самые первые системы распознавания строились по эмпирическому принципу: они «думали», как человек. Например, начинали просто с определения того, есть ли на изображении хотя бы нос и глаза, исследуя характерные перепады по цветам. Так получалось понять, на что вообще «смотрит» программа. При этом желательно, чтобы рядом не было других лиц, а сам фон был равномерным и светлым, без кислотных цветов или фикусов причудливых форм. Технологически такие системы совсем просты в исполнении, но в современном мире, где на изображениях всегда много информационного шума, практически не применимы.
После этого в системах распознавания лиц начали использовать шаблонный подход, при котором лица сверялись с заданными разработчиками стандартами. Получилось в итоге хуже, чем ожидалось: такие системы требовали громоздких вычислений и оказались слишком медленными на практике.
Современные алгоритмы по мере развития компьютерного зрения научились выявлять на лицах около 80 ключевых точек и строить линии между ними. Самые банальные варианты — расстояние между глазами или места закругления скул. Сейчас на это уходит всего несколько секунд, а полученный в итоге сложный набор данных конвертируется в уникальный код — цифровой отпечаток. И уже его можно сопоставлять с базой данных, неважно — клиентов банков или самых разыскиваемых преступников. Что самое важное, такие программы сначала долго обучаются на тестовых снимках и продолжают развиваться даже в боевых условиях.
Проблемы с этичностью
Первый успешный российский стартап от компании NTechLab, связанный с распознаванием лиц, поначалу пользовался бешеной популярностью. Правда, вскоре критики обнаружили примеры нецелевого использования технологии и другие проблемы с этичностью. И все равно — теперь именно он развернут в масштабах всей страны.
Проект FindFace начинался как сервис, помогающий найти пользователей «ВКонтакте» по их фотографиям. Всего через год после его запуска департамент американского Министерства торговли, отвечающий за развитие технологий, признал использованные в разработке биометрические алгоритмы лучшими в мире.
Детище компании NTechLab завоевывало противников с такой же скоростью, как и сторонников. Дыр с безопасностью в сервисе не обнаружили, однако оказалось, что в руках обычных пользователей эта технология может быть опасным инструментом. Пока FindFace тестировали на фестивале Alfa Future People и «пилотировали» на паре тысяч столичных камер уличного наблюдения, в Петербурге приложение использовали, чтобы найти аккаунты двоих подростков, устроивших пожар в парадной. До самосуда, правда, не дошло. Как и в нашумевшей в свое время истории, когда пользователи «Двача» охотились на реальные аккаунты российских порноактрис, а потом устраивали спам-атаки с самыми изощренными угрозами. Часто — не только самим актрисам, но и их родственникам и друзьям.
В итоге проект FindFace закрыли, а NTechLab начал активно сотрудничать с властями. Сегодня компания — крупнейший подрядчик государства, сотрудничающий со многими подобными компаниями по всему миру, в том числе и с теми, которые замечены в работе на спецслужбы.
ФБР и не снилось
Самым уязвимым местом систем аутентификации по лицам долгое время были сами базы. Даркнету известны тысячи сливов персональных данных пользователей, а хакерам не принципиально, что именно воровать: номера банковских карт или цифровые отпечатки лиц.
Считается, что самой большой подобной базой в мире обладает ФБР. Речь может идти примерно о 650 миллионах изображений граждан США, мигрантов и туристов, посещавших страну в последнее десятилетие.
Но самые лучшие базы, конечно, у социальных сетей. У каждой из них есть свои собственные алгоритмы для распознавания лиц. Простор для их применения — куда более широкий, чем у ФБР, ведь условный Facebook, в отличие от спецслужб, имеет в своем распоряжении не одно портретное фото для визы, а десятки или даже сотни снимков конкретного пользователя, выполненных с разных ракурсов и в разных состояниях.
«С точки зрения обеспечения безопасности распознаванию по лицу присущи те же свойства, что и всем биометрическим способам. Человеку сложно противостоять попыткам взлома, так как отпечатки пальцев или форма лица в принципе не могут быть приватными, и их практически невозможно изменить. В этом отличие биометрических данных от, например, паролей, которые должны быть строго конфиденциальными, и пользователь может при необходимости их сменить по собственной воле или требованию системы аутентификации», — констатирует Алексей Кузьмин.
«Хакеры помогут не скатиться в тоталитаризм»
Эти примеры показывают, что безоговорочно верить в безопасность систем распознавания лиц нельзя. Именно поэтому вызывал и продолжает вызывать определенный скептицизм проект Единой биометрической системы (ЕБС), запущенный в России в 2018 году. Сейчас к ней подключены все банки страны, но пока в базу передали свои сведения лишь 200 тысяч человек. Оператор системы — «Ростелеком», который настаивает на том, что весь процесс полностью безопасен. Публичных сведений об утечках из ЕБС действительно не было, а в даркнете пометки с источником происхождения на данные ставить не принято.
200тысяч человексогласились передать свои личные данные Единой биометрической системе
«Наша система распознавания лиц создавалась около двух лет, но выкатить ее в промышленную эксплуатацию пришлось с некоторыми недоделками — поджимали конкуренты, — признается «Ленте.ру» на условиях анонимности один из ключевых разработчиков крупного российского банка. — Были ли в ней проблемы с безопасностью? На бумаге — нет. Но на моделирование всех возможных сценариев у нас просто не было времени».
Первоначальный восторг по поводу безопасности видеоидентификации сменился в мире легкой настороженностью. В ЕС готовят поправки, запрещающие применять искусственный интеллект в системах видеонаблюдения; в США есть целые города, в которых запрещено распознавание лиц; в Великобритании такой запрет коснулся даже полиции одного из регионов Уэльса.
«Вероятнее всего, массовое внедрение распознавания лиц произойдет в таких странах, как Россия и Китай, где есть соответствующая поддержка государства. В США и Европе есть сдерживающие факторы на уровне законодательства, в частности, Европейского регламента по защите данных GDPR и схожих по смыслу документов ряда штатов США», — заключает Кузьмин из компании «Инфосистемы Джет».
Обратную сторону технологии можно увидеть на примере Китая. Поначалу над ней смеялись: система видеоидентификация запрещала выдавать бумагу в уличных туалетах тем, кто уже получал ее в последние девять минут. Теперь, когда в Китае создали и запустили систему оценки граждан, которая присваивает им социальный рейтинг, видеоидентификация стала частью пугающей антиутопии — совсем как в сериале «Черное зеркало»
«Скатиться в тоталитаризм России могут помешать как раз хакеры, — шутит в разговоре с «Лентой.ру» системный инженер российского представительства одной из крупнейших глобальных компаний по защите данных. — Здесь более вероятен сценарий США, где только во второй половине 2020 года было отмечено 80 тысяч попыток обмануть госорганы на этапе видеоидентификации с помощью дипфейков. Эта цифра настолько велика, что становится понятно: дипфейки служат уже не только киберпреступникам, они пошли в народ».
Распознавание Шредингера
Эксперты кредитной компании Experian PLC выводят на повестку дня новую угрозу: хакеры уже не просто подделывают чужие лица, а создают новые цифровые личности. Их никогда не существовало, но у них могут быть все идентификационные документы, счета в банках и даже пенсионные накопления. Очевидные сферы применения таких подделок — терроризм и финансовые махинации.
В 2021 году китайские медиа описывали истории двух жителей Шанхая, которые создали фиктивную компанию для продажи кожаных сумок и отправляли поддельные налоговые счета крупным «клиентам». Систему распознавания лиц, внедренную у китайских налоговиков и использующуюся для верификации счетов-фактур, удалось обмануть как раз такими новыми дипфейками. Ущерб составил 76,2 миллиона долларов, преступников удалось поймать.
В российском экспертном сообществе мнение о безопасности систем распознавания лиц пока очень осторожное. Опрошенные «Лентой.ру» представители нескольких компаний, занимающихся информационной безопасностью, согласились говорить либо на условиях анонимности, либо отказались от комментариев вовсе.
С одной стороны, понятно, что механизмы защиты, окружающие саму технологию и базы данных, достаточно надежны. С другой — весьма вероятно, что больших взломов избежать не удастся. Явная польза систем распознавания — упрощение и повышение надежности идентификации в любой сфере, создание полностью безопасных и умных городов, даже оплата в метро по лицу — всегда будет перекрываться продвинутым инструментарием хакеров, которые, как показывает практика, почти всегда оказываются на шаг впереди. В итоге распознавание лиц — одновременно и максимально безопасный, и максимально небезопасный инструмент. Все зависит от того, покажется ли конкретное лицо привлекательным киберпреступникам.
У телефонов есть уши. Как защититься от шпионского ПО Pegasus
Программа Pegasus от NSO могла следить за 50 тысячами человек, используя уязвимости нулевого дня. Фокус расскажет, как сохранить конфиденциальность.
Скандал со шпионским софтом Pegasus ("Пегас") продолжает набирать обороты после расследования издания The Guardian и еще 16 медиа-организаций. Фокус разбирался, как работает система и можно ли защититься от слежки.
По заверениям разработчика Pegasus, компании NCО, программа предназначена для борьбы с террористами и преступными элементами, однако журналисты выяснили, что ее использовали для слежки за политиками, правозащитниками и активистами в разных странах мира. Все эти люди могли стать жертвами авторитарных режимов, сами того не подозревая.
Как работает ПО Pegasus и что грозит пользователям
По данным сайта Android Authority, компания NSO Group продает Pegasus правительственным органам за миллионы долларов. Это коммерческое шпионское программное обеспечение для смартфонов, которая считается одной из самых сложных. После заражения систем Android или iOS смартфоны превращаются в полноценные следящие устройства.
Как работает ПО Pegasus и к каким данным владельца могут получить доступ:
- журналу вызовов;
- прослушке звонков;
- фотографиям;
- электронным письмам;
- камере и микрофону;
- СМС-сообщениям;
- сообщениям в WhatsApp, Telegram, Signal и других мессенджерах.
Самые ранние версии Pegasus заметили еще в 2016 году, однако с тех пор программа значительно эволюционировала. Клиент, купивший шпионский софт, после подключения к чужому смартфону может как просто смотреть информацию, так и копировать ее. Комбинируя такие функции с возможностью доступа к данным о прошлом и актуальном местоположении, он может узнать всю подноготную своей жертвы. Журналисты уверены, что некоторые правительства использует эти возможности для преследования журналистов, бизнесменов, религиозных, общественных и политических деятелей, неугодных действующей власти.
Уязвимость нулевого дня в ПО Pegasus
Любое программное обеспечение содержит ошибки, которые называю багами. Их количество напрямую зависит от сложности программы: больше кода = больше ошибок. Подавляющее большинство ошибок проявляются в виде неправильной работы функций и вызывают лишь мелкие неудобства. Ответственные разработчики стараются быстро их исправлять (фиксить), выпуская обновления, однако часто даже известные проекты поддерживаются лишь небольшой группой энтузиастов. Недавно в ядре Linux были обнаружены три ошибки, связанные с безопасностью, которые существовали в течение 15 лет.
Самую большую угрозу представляют как раз баги в системе безопасности ПО, ведь из-за них злоумышленники могут получить доступ ко всей операционной системе. Google признала ситуацию настолько опасной, что даже запустила систему вознаграждения за сообщения о критических ошибках в Android, Chrome или Google Play, таким образом за 2020 год компания выплатила 6,7 миллиона долларов. Amazon, Apple и Microsoft разделяют такую политику.
Несмотря на все усилия, в коде Android, iOS, Windows, macOS и Linux все еще скрывается множество неизвестных багов, угрожающих безопасности устройства. Среди них выделяются "уязвимости нулевого дня", когда лазейка известна третьей стороне, но разработчик программы о ней не знает. Такое название означает, что у автора было ноль дней на исправление проблемы до ее обнаружения.
Очень сложно найти "уязвимость нулевого дня" в программном обеспечении, и использовать тоже непросто, однако именно через такие "дыры" действует "Пегас". Компания NSO собрала команду специалистов, которые исследуют и анализируют мельчайшие детали операционных систем, таких как Android и iOS в поисках уязвимых мест. Эти слабости затем превращают в механизмы для взлома смартфонов и ПК. Конечная цель заключается в получении привилегированного доступа и контроля над устройством. Как только повышение привилегий будет достигнуто, Pegasus получает возможность устанавливать приложения, менять настройки, изучать данные и активировать функции, которые обычно требуют разрешения владельца, например включение камеры.
Чтобы использовать уязвимость 0-дня, необходим вектор атаки – способ проникновения эксплойта в систему. Они часто представляют из себя ссылки в сообщениях или электронных письмах, которые запускают скачивание и установку вредоносного По. У такого софта только одна задача: попытаться использовать уязвимость нулевого дня. К сожалению, существуют эксплойты "нулевого щелчка", когда процесс выполняется без участия пользователя. Согласно исследованию, Pegasus активно использовал ошибки в iMessage и Facetime в течение 2019 года и мог устанавливать себя, просто позвонив на телефон жертвы.
Как защититься от шпионского ПО Pegasus
В этом деле очень много зависит от разработчиков: насколько быстро они найдут и исправят уязвимости, которые уже использовала программа. Android Authority отмечает, что пока у экспертов по кибербезопасности нет полного списка "лазеек", представляющих угрозу для пользователей. Android и iOS имеют собственные доли зарегистрированных уязвимостей, публично раскрытые угрозы получают номер в списке Общих уязвимостей и рисков (Common Vulnerabilities and Exposures). За 2020 год Android составил 859 отчетов о CVE, iOS, в свою очередь, опубликовал всего 304, при этом 140 из них допускали несанкционированное выполнение кода (Android таких оказалось 97). Четыре отчета касались оценки привилегий в iOS, в то время как три отчета касались оценки привилегий в Android.
Что же делать пользователям? Если правительственная структура всерьез нацелилась на человека, избежать слежки в 2021 году будет очень трудно, ведь вокруг слишком много электроники. Самым радикальным и простым решением будет отказ от смартфона – так власти точно не смогут следить за вами. В качестве безопасной альтернативы владелец может оставлять устройство дома или в машине перед тем, как отправиться на важную встречу. Следует также убедиться, что рядом нет чужих телефонов, с помощь которых власти могут вести слежку. Еще можно отдельно отключить камеру или другие элементы, что Эдвард Сноуден и продемонстрировал в 2016 году.
Еще один способ, который значительно снижает риск попасться на крючок шпионов: никогда не нажимать на ссылки, если есть хоть малейшие сомнения в ее подлинности и безопасности. От необдуманных действий могут пострадать владельцы гаджетов как на Android, так и на iPhone – нельзя быть на 100% уверенным в надежности ОС, чтобы не говорили разработчики. Как выяснили эксперты, в 2019 году Pegasus активно использовал уязвимости в Facetime, которые позволяли ему незаметно устанавливаться на iPhone и другие устройства от Apple, хотя их система безопасности считается весьма надежной.
Напоследок, пользователям стоит быть бдительными, но уравновешенными. История с Pegasus – это еще не конец света, но игнорировать ее тоже нельзя. Стоит предупредить всех знакомых, родственников и даже коллег об угрозе слежки и мерах безопасности, которые помогут ее избежать.
Ранее Фокус писал, кто шпионит за людьми при помощи Pegasus. Лидером среди клиентов NSO Group стала Мексика, из 50 тысяч номеров телефонов, которые могли стать жертвами шпионажа, около 15 тысяч зарегистрированы именно в этой стране.
Узнать все о человеке: как работает шпионское ПО Pegasus и почему его почти не отследить
Pegasus — шпионское ПО, которое можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильной операционной системы Apple iOS и Android.
Разработка израильской компании NSO Group. Разработчик заявляет, что предоставляет «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью» и опубликовал разделы контрактов, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности.
Разработчик также утверждает, что внимательно относится к правам человека.
Возможности ПО Pegasus
Pegasus заражает устройства iPhones и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру.
Pegasus позволяет пользователю управлять самим устройством и получить доступ ко всему, что на нем хранится. Pegasus отслеживает нажатие клавиш на зараженном устройстве — все письменные коммуникации и поисковые запросы, даже пароли, и передает их клиенту, а также дает доступ к микрофону и камере телефона.
Pegasus эволюционировал из относительно простой системы, где в основном использовались социотехнические атаки, до программы, для которой не обязательно даже, чтобы пользователь переходил по ссылке, чтобы взломать его телефон.
Скандал с массовой слежкой ПО Pegasus
В июле 2021 года в прессе появились сообщения о том, авторитарные режимы используют Pegasus для взлома телефонов правозащитников, оппозиционных журналистов и юристов.
- Список пострадавших
В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus.
Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся:
- Азербайджан,
- Бахрейн,
- Венгрия,
- Индия,
- Казахстан,
- Марокко,
- Мексика,
- Объединенные Арабские Эмираты,
- Руанда,
- Саудовская Аравия.
В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года. Также в списке были обнаружены номера телефонов принцессы Латифы — дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн.
- Политики
По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе:
- президент Ирака Бархам Салех,
- президент ЮАР Сирил Рамафоса,
- премьер-министры Пакистана,
- Египта,
- Марокко.
По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создает опасность заражения Pegasus’ом.
- Позиция NSO
NSO отрицает обвинения. Компания заявила, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека.
В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтвержденных теориях.
Как действует ПО Pegasus
- Вредоносные ссылки
Ранее для того, чтобы вредоносное ПО начало действовать, жертве нужно было перейти по вредоносной ссылке: операторы программы посылали текстовое сообщение ссылкой на телефон объекта слежки. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.
Например посылали спам-сообщения для того, чтобы разозлить человека, а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам.
Однако пользователи могли понять, что ссылки вредоносные и переставали реагировать на спам, а также другие провокации.
- Эксплойты без клика
Новая тактика заключалась в использовании так называемых «эксплойтов без клика»: они полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные — иногда из неизвестных источников.
Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.
Так Pegasus проникал в большинство систем обмена сообщениями, например:
- Gmail,
- Facebook,
- WhatsApp,
- Facetime,
- Viber,
- WeChat,
- Telegram,
- встроенные мессенджеры и почту Apple.
- Сетевые инъекции
Кроме эксплойтов без клика, клиенты NSO Group могут также использовать так называемые «сетевые инъекции», чтобы незаметно получить доступ к телефону. Просмотр веб-страниц может сделать устройство доступным для атаки без перехода по специально разработанной вредоносной ссылке.
При таком подходе пользователь должен перейти на незащищенный веб-сайт во время своей обычной онлайн-активности. Как только он переходит на незащищенный сайт, программное обеспечение NSO Group может получить доступ к телефону и заразить его.
Однако воспользоваться этим методом сложнее, чем атаковать телефон при помощи вредоносной ссылки или эксплойта без клика, поскольку для этого нужно мониторить использование мобильного телефона до того момента, когда интернет-трафик не будет защищен.
Как понять заражено ли устройство
Чтобы обнаружить Pegasus на устройстве, надо смотреть на наиболее очевидный признак — наличие вредоносных ссылок в текстовых сообщениях. Эти ссылки ведут к одному из нескольких доменов, используемых NSO Group для загрузки шпионских программ на телефон — это инфраструктура компании.
Также будет сходство во вредоносных процессах, выполняемых зараженным устройством. Их всего несколько десятков, и один из них, под названием Bridgehead, или BH, неоднократно появляется во всем вредоносном ПО.
На зараженных устройствах наблюдается четкая последовательность:
- «Посещался веб-сайт,
- приложение давало сбой,
- некоторые файлы были изменены.