Osławione oprogramowanie szpiegowskie Pegasus powraca w wiadomościach w tym tygodniu, ponieważ zespół badaczy bezpieczeństwa zwraca uwagę na nowe „potrójne zagrożenie” exploitów wykorzystywanych przez to złośliwe oprogramowanie do przeprowadzania ukierunkowanych cyberataków w 2022 r.
Pegasus to „przemysłowe” narzędzie spyware, które zostało opracowane przez izraelską firmę technologiczną NSO Group, rzekomo wyłącznie do użytku przez rządy w walce z terroryzmem. Chociaż Pegasus istnieje od 2014 roku, trafił na pierwsze strony gazet dwa lata temu, kiedy analiza kryminalistyczna przeprowadzona przez Amnesty International i Citizen Lab Uniwersytetu w Toronto ujawniły oprogramowanie szpiegujące był odpowiedzialny za „powszechną, uporczywą i ciągłą bezprawną inwigilację i łamanie praw człowieka”, będąc wykorzystywanym do namierzania i szpiegowania dziesiątek „obrońców praw człowieka (HRD) i dziennikarzy na całym świecie”.
W rzadkim posunięciu Apple wytoczyło następnie masowy proces sądowy przeciwko NSO Group, opisując firmę i jej pracowników jako „amoralnych najemników XXI wieku, którzy stworzyli wysoce wyrafinowaną maszynę do cyberinwigilacji, która zaprasza rutynowych i rażące nadużycie”. Utworzyła również fundusz dla organizacji takich jak Citizen Lab i Amnesty Tech, aby pomóc im w badaniach i rzecznictwie w zakresie cybernadzoru, zaszczepiając go początkowym 10 milionami dolarów i obiecując dodać do puli wszelkie szkody wynikające z pozwu przeciwko NSO Group.
Podczas gdy Apple ma nadzieję pozwać NSO Group, niestety sądy poruszają się powoli, a tymczasem Pegasus jest nadal wykorzystywany do niecnych celów. Sytuacja uspokoiła się po doniesieniu z połowy 2021 r., że oprogramowanie szpiegowskie Pegasus atakowało urzędników Departamentu Stanu USA. Jednak nowy raport ?Citizen Lab? ujawnia, że Pegasus nadal jest aktywny, ale latał pod radarem przez ostatni rok.
Potrójne zagrożenie polegające na zerowym kliknięciu
W szczególności badacze z Citizen Lab odkryli trzy nowe „łańcuchy exploitów polegające na zerowym kliknięciu” wykorzystywane przez Pegasusa w 2022 r. do nasilenia cyberataków na prawa człowieka obrońców, dziennikarzy i innych „celów społeczeństwa obywatelskiego” na całym świecie.
Wydaje się, że Pegasus nie jest używany do deklarowanego celu, jakim jest zwalczanie terroryzmu i zwalczania handlu ludźmi i innej przestępczości zorganizowanej, ale zamiast tego stał się narzędziem opresyjnych reżimów. Najnowsze cele Pegasusa zidentyfikowane przez Citizen Labs dotyczą dwóch obrońców praw człowieka z Centro PRODH, organizacji w Meksyku, która reprezentuje ofiary nadużyć wojskowych, takich jak pozasądowe zabójstwa i wymuszone zaginięcia.
Infekcje Pegasusem wśród członków Centro PRODH sięgają co najmniej 2015 roku, jak twierdzi Citizen Lab wyjaśnia w swoim raporcie:
„Jeden szeroko nagłośniony przypadek zaginięcia związany z tym przypadkiem infekcji spyware miał miejsce we wrześniu 2015 r., kiedy grupa 43 uczniów u nauczyciela kolegium szkoleniowe zostało siłą zniknięte po podróży do Iguali, aby zaprotestować przeciwko praktykom zatrudniania nauczycieli. Ich późniejsze zniknięcie jest określane jako „masowe porwanie Iguala” lub po prostu „sprawa Ayotzinapy”. W 2017 roku informowaliśmy, że trzech członków meksykańskiej organizacji zajmującej się pomocą prawną i prawami człowieka, Centro PRODH, wraz ze śledczymi zaangażowanymi w sprawę Ayotzinapa, stało się celem oprogramowania szpiegującego Pegasus. W czasie namierzania, czyli w 2016 roku, Centro PRODH reprezentowało rodziny zaginionych uczniów”.
Jednakże, ponieważ gra w kotka i myszkę między Apple a Pegasusem trwa, NSO Group musiała bądź bardziej kreatywny w znajdowaniu nowych exploitów, w tym tak zwanych luk „zero-click”, w których Pegasus może się zainstalować i zacząć szpiegować iPhone’a bez jakiejkolwiek interakcji ze strony użytkownika.
Citizen Lab znalazło trzy z nich niebezpieczne exploity na dwóch iPhone’ach z systemem iOS 15 i iOS 16, używanych przez pracowników Centro PRODH. Jeden należał do Jorge Santiago Aguirre Espinosa, dyrektora Centro PRODH, który także został zidentyfikowany jako cel Pegasusa w 2017 r.. Drugi należał do Maríi Luisy Aguilar Rodríguez, międzynarodowej koordynatorki w Centro PRODH. Podobno Pegasus był aktywny na urządzeniu pana Aguirre 22 czerwca 2022 r., w tym samym dniu, w którym meksykańska komisja prawdy zorganizowała ceremonię rozpoczynającą dochodzenie w sprawie łamania praw człowieka przez armię meksykańską. Telefon pani Rodríguez został zainfekowany następnego dnia, a następnie zainfekowany dwukrotnie we wrześniu 2022 r.
Trzy exploity, nazwane LATENTIMAGE, FINDMYPWN i PWNYOURHOME, wykorzystują luki w zabezpieczeniach systemów iOS 15 i iOS 16, w szczególności błędy w kodzie leżącym u podstaw funkcji Apple Find My, Messages i Home. Większość ataków została wykryta na urządzeniach z systemem iOS 15, ponieważ był on wówczas aktualny, chociaż PWNYOURHOME można było wdrożyć w systemie iOS 16.0.3.
Na szczęście firma Citizen Lab nie stwierdziła takich przypadków na urządzeniach z systemem iOS 16.1 lub nowszym. Sugeruje to, że Apple załatało te wady, a w przypadku PWNYOURHOME badacze udostępnili „artefakty kryminalistyczne”, które pomogły Apple wzmocnić działanie HomeKit w iOS 16.3.1.
Niestety, to prawdopodobnie tylko kwestia czasu, zanim NSO Group znajdzie nowe, które będzie można wykorzystać. Dlatego zawsze dobrze jest aktualizować iPhone’a do najnowszej wersji iOS — zwłaszcza gdy informacje o wydaniu Apple wskazują łatki na luki, które były „aktywnie wykorzystywane”.
Korzystanie z trybu blokady iOS 16
Badacze z Citizen Lab zauważyli również, że PWNYOURHOME wyzwala ostrzeżenia na urządzeniach, na których włączono nowy tryb blokady Apple o wysokim poziomie bezpieczeństwa. Początkowo exploit uruchamiał powiadomienia o próbie uzyskania dostępu do domu przez nieznanego użytkownika, demonstrując, że tryb blokady działa zgodnie z założeniami.
Chociaż wydaje się, że późniejsze wersje exploita znalazły sposób na blokowanie powiadomień, badacze nie znaleźli dowodów na to, że mógłby on faktycznie ominąć tryb blokady — wystarczy wyciszyć powiadomienia, które ostrzegały użytkownika o próbach nieautoryzowanego dostępu.
Pomimo podstępnej natury Pegasusa, dobrą wiadomością dla większości z nas jest to, że pozostaje on atakiem ukierunkowanym. Co więcej, narzędzia opracowane przez NSO Group są sprzedawane wyłącznie rządom, dlatego jest określane jako „oprogramowanie szpiegowskie sponsorowane przez państwo”. Oczywiście nie wszystkie agencje rządowe postępują etycznie, jeśli chodzi o inwigilację. Jednak nadal można bezpiecznie powiedzieć, że jest mało prawdopodobne, aby spotkać Pegaza, chyba że jesteś zaangażowany w rodzaj pracy, która może przyciągnąć uwagę skorumpowanego reżimu.
Dla tych, którzy są użytkownikami „wysokiego ryzyka”, właśnie tam pojawia się tryb blokady firmy Apple Chociaż dla większości zwykłych ludzi wiąże się to ze zbyt wieloma kompromisami w zakresie użyteczności, Citizen Lab gorąco zachęca do tego każdego, kto uważa, że może być narażony na ryzyko ataku Pegasusa lub innego sponsorowanego przez państwo oprogramowania szpiegującego.
