Pegasus este numele pentru cea mai puternică piesă de spyware dezvoltată vreodată de o companie privată. Acest spyware este acum in mijlocul unui scandal diplomatic de proporții după ce s-a dezvăluit că a fost folosit într-un amplu proces de spionaj.
Odată ce Pegasus pătrunde în telefon, fără să vă dați seama, îl poate transforma într-un dispozitiv de supraveghere permanent. Poate copia mesajele pe care le trimiteți sau le primiți, vă poate recolta fotografiile și vă poate înregistra apelurile. S-ar putea să vă filmeze în secret prin camera telefonului sau să activeze microfonul pentru a vă înregistra conversațiile. Poate identifica unde ești, unde ai fost și pe cine ai cunoscut.
Pegasus este software-ul de hacking – sau spyware – dezvoltat, comercializat și autorizat guvernelor din întreaga lume de către compania israeliană NSO Group. Are capacitatea de a infecta miliarde de telefoane care rulează fie sisteme de operare iOS, fie Android.
Cea mai veche versiune a lui Pegasus descoperită, care a fost capturată de cercetători în 2016, a infectat telefoanele prin ceea ce se numește spear-phishing – mesaje text sau e-mailuri care păcălesc o țintă să facă clic pe un link rău intenționat.
De atunci, însă, capacitățile de atac ale NSO au devenit mai avansate. Infecțiile cu Pegasus pot fi realizate prin așa-numitele atacuri „zero-click”, care nu necesită nicio interacțiune de la proprietarul telefonului pentru a avea succes. Acestea vor exploata deseori vulnerabilitățile „zero-day”, care sunt defecte sau erori într-un sistem de operare pe care producătorul telefonului mobil nu le cunoaște încă și, prin urmare, nu a putut să le remedieze.
În 2019, WhatsApp a dezvăluit că software-ul NSO a fost folosit pentru a trimite programe malware la mai mult de 1.400 de telefoane prin exploatarea unei vulnerabilități de tip zero-day. Pur și simplu prin efectuarea unui apel WhatsApp către un dispozitiv țintă, codul Pegasus rău intenționat ar putea fi instalat pe telefon, chiar dacă ținta nu a răspuns niciodată la apel. Mai recent, NSO a început să exploateze vulnerabilitățile din software-ul iMessage de la Apple, oferindu-i acces din spate la sute de milioane de iPhone-uri. Apple spune că își actualizează continuu software-ul pentru a preveni astfel de atacuri.
Înțelegerea tehnică a lui Pegasus și modul de găsire a urmelor evidente pe care le lasă pe telefon după o infecție reușită a fost îmbunătățită de cercetările efectuate de Claudio Guarnieri, care conduce laboratorul de securitate din Berlin al Amnesty International.
„Lucrurile devin mult mai complicate pentru observarea țintelor”, a spus Guarnieri, care a explicat că clienții NSO au abandonat în mare măsură mesajele SMS suspecte pentru atacuri mai subtile de tip zero click.
Pentru companii precum NSO, exploatarea software-ului care este instalat în mod implicit pe dispozitive, cum ar fi iMessage, sau este foarte utilizat pe scară largă, cum ar fi în WhatsApp, este deosebit de activ, deoarece crește dramatic numărul de telefoane mobile pe care Pegasus le poate ataca cu succes.
Laboratorul Amnesty a descoperit urme ale atacurilor de succes ale clienților Pegasus pe iPhone-uri care rulează versiuni actualizate ale iOS de la Apple.
Analiza criminalistică a telefoanelor victimelor a identificat, de asemenea, dovezi care sugerează că căutarea constantă a punctelor slabe ale NSO s-ar fi putut extinde la alte aplicații obișnuite. În unele dintre cazurile analizate de Guarnieri și de echipa sa, traficul de rețea specific legat de aplicații Apple pentru fotografii și muzică poate fi văzut în momentul de față, sugerând că NSO ar fi putut începe să valorifice noi vulnerabilități.
În cazul în care nici atacurile de tip spear-phishing, nici atacurile de tip zero click nu reușesc, Pegasus poate fi instalat și pe un transceiver fără fir situat lângă țintă sau, conform unei broșuri NSO, pur și simplu instalat manual dacă un agent poate fura telefonul țintei.
Odată instalat pe un telefon, Pegasus poate culege mai mult sau mai puțin orice informație sau poate extrage orice fișier. Mesajele SMS, agendele, istoricul apelurilor, calendarele, e-mailurile și istoricul navigării pe internet pot fi exfiltrate.
„Când un iPhone este compromis, se face în așa fel încât să permită atacatorului să obțină așa-numitele privilegii de root, sau privilegii administrative, pe dispozitiv”, a spus Guarnieri. „Pegasus poate face mai mult decât poate face proprietarul dispozitivului.”
Avocații NSO au susținut că raportul tehnic al Amnesty International este o presupunere, descriindu-l ca „o compilație de ipoteze speculative și nefondate”. Cu toate acestea, ei nu au contestat niciuna dintre descoperiri sau concluziile sale specifice.
NSO a investit eforturi substanțiale în a face software-ul său dificil de detectat, iar infecțiile cu Pegas sunt acum foarte greu de identificat. Cercetătorii în materie de securitate suspectează că versiunile mai recente ale Pegasus sunt stocate în memoria temporară a telefonului, mai degrabă decât pe hard diskul său, ceea ce înseamnă că, odată ce telefonul este oprit, practic toate urmele software-ului dispar.
Una dintre cele mai semnificative provocări pe care Pegasus le prezintă jurnaliștilor și apărătorilor drepturilor omului este faptul că software-ul exploatează vulnerabilități nedescoperite, ceea ce înseamnă că nici cel mai sensibil utilizator al telefonului mobil nu poate preveni un atac.
„O întrebare care mi se pune cam de fiecare dată când facem o analiză criminalistică este ce se poate face pentru a nu mai trece prin aceasta situatie ? Adevăratul răspuns este ca sincer nu se poate face nimic”, a spus Guarnieri.
