Только что получили неожиданное обновление iOS? Это ответ на шпионскую программу Pegasus: настоящее вредоносное ПО для iPhone. Мы объясним, что это такое, являетесь ли вы мишенью и почему вам следует обновить систему
Вы недавно получили неожиданное обновление iOS. Идите, посмотрите. К этому моменту вы уже должны были обновить свой iPhone до iOS 9. 3. 5, чтобы устранить три уязвимости нулевого дня, которые активно эксплуатируются и позволяют злоумышленникам перехватывать и красть конфиденциальную информацию из огромного количества приложений
Шпионское ПО, получившее название Pegasus, было обнаружено компанией Lookout, занимающейся исследованиями в области мобильной безопасности, при содействии лаборатории Citizen Lab Университета Торонто. По их мнению, шпионское ПО циркулировало уже некоторое время, но в основном использовалось для заражения особо важных целей, владеющих конфиденциальной информацией
Pegasus Soaring Free
Пегас был обнаружен, когда известный правозащитник Ахмед Мансур получил подозрительное SMS, обещающее ‘новые секреты’ о заключенных, которых пытают в тюрьмах Объединенных Арабских Эмиратов, если он перейдет по указанной ссылке. Вместо этого Мансур переслал сообщение в Citizen Lab для анализа
Они обнаружили особо продвинутую часть шпионского ПО, специально оборудованную для того, чтобы оставаться максимально замаскированной, с инструкциями по самоуничтожению.Citizen Lab и Lookout выпустили заявление, в котором описали потенциальный взлом как имеющий признаки теневой, но известной группы NSO, которая, как утверждается, была основана ветеранами подразделения 8200 израильской разведки
Мы распознали ссылки как принадлежащие к инфраструктуре эксплойтов, связанной с NSO Group, израильской компанией, ведущей ‘кибервойну’ и продающей Pegasus, эксклюзивный правительственный продукт для ‘законного перехвата’ шпионских программ
После заражения телефон Мансура превратился бы в цифрового шпиона в его кармане, способного использовать камеру и микрофон iPhone для слежки за активностью вблизи устройства, записывать его звонки в WhatsApp и Viber, регистрировать сообщения, отправленные в мобильных чатах, и отслеживать его перемещения
Считается, что это первый ‘случай удаленного джейлбрейка iPhone, используемого в дикой природе в рамках целенаправленной кампании атак’, что делает его обнаружение редким и важным. Коллекция из трех уязвимостей нулевого дня получила общее название Trident и состоит из:
- CVE-2016-4657 — Посещение злонамеренно созданного веб-сайта может привести к выполнению произвольного кода.
- CVE-2016-4655 — Приложение может иметь возможность раскрыть память ядра.
- CVE-2016-4656 — Приложение может иметь возможность выполнить произвольный код с привилегиями ядра.
Мифические силы Пегаса
Мы знаем о существовании так называемой шпионской программы Pegasus только потому, что Мансур переслал свое зараженное SMS исследователям безопасности в Торонто. Им удалось распаковать и изолировать шпионскую программу до того, как ссылка, отправленная Мансуру, стала неактивной. Итак, что же она делает?
В общем, почти все, что можно ожидать от современной, продвинутой шпионской программы. Она нацелена именно на мобильные телефоны, похищая историю браузера, данные электронной почты, SMS и сообщений (включая данные таких приложений, как iMessage и WhatsApp), а также списки контактов, записи календаря, историю местоположений и многое другое
iPhone имеет заслуженную репутацию в области безопасности. Поскольку платформа iPhone жестко контролируется компанией Apple, для удаленной установки и работы инструментов мониторинга iPhone часто требуются технически сложные эксплойты. Такие эксплойты редки и дороги
Исследователи безопасности были впечатлены способностью шпионской программы Pegasus оставаться обфусцированной в течение длительного времени. Вице-президент Lookout по исследованиям в области безопасности Майк Мюррей заявил Motherboard:
Программное обеспечение NSO Group и то, как оно настроено и работает, направлено на то, чтобы не быть обнаруженным, оно создано для скрытности и невидимости’
Подчеркивая возможность использования против особо ценных целей, шпионская программа предназначена для записи окружающего пространства и фотографирования, но только при выключенном экране.Pegasus также имеет определенные механизмы самоуничтожения, которые могут быть запущены при определенных обстоятельствах
Pegasus использует преимущества интеграции мобильных устройств в нашу жизнь и сочетание функций, доступных только на мобильных устройствах – постоянное подключение (WiFi, 3G/4G), голосовая связь, камера, электронная почта, обмен сообщениями, GPS, пароли и списки контактов. Благодаря своей функциональной модульности, широте охвата коммуникаций и пользовательских данных, которые он отслеживает, а также специализированным методам, которые он внедряет в другие приложения для утечки данных из них, на сегодняшний день Pegasus является самой сложной частной атакой на мобильные конечные устройства, с которой сталкивалась компания Lookout
‘Законный перехват’
NSO Group, разработчики Pegasus, лицензировали шпионское ПО в Панаме и Мексике, согласно данным, собранным активистской группой Privacy International. Панамское правительство заплатило за Pegasus 8 миллионов долларов, как сообщается в местной газете. Мы также можем окончательно добавить в этот список Объединенные Арабские Эмираты, поскольку они были непосредственно замешаны в этом разоблачении
Технология ‘законного перехвата’ не является чем-то новым, и многие страны имеют строгое законодательство, чтобы гарантировать, что этими технологиями не будут злоупотреблять. К сожалению, мы знаем, что это не всегда так. Даже единичный случай Ахмеда Мансура подчеркивает проблемы, связанные с такими мощными шпионскими программами: это уже третий инструмент ‘законного перехвата’, используемый для сбора информации, которая, предположительно, будет использована против него
Что это значит для меня?
Если вы уже обновили свой iPhone, все будет в порядке. Большинство владельцев iPhone будут взаимодействовать с Pegasus только в том случае, если заметят критическое обновление, выпущенное Apple, и установят его. Как говорится в блоге Errata Security:
Я полагаю, что для тех, кто не входит в сообщество кибербезопасности, это что-то новое, но для нас, инсайдеров, это не особенно интересно. Это просто еще одна правительственная вредоносная программа, охотящаяся за активистами. Это просто еще один набор нулевых дней
В этом случае есть небольшая разница. В то время как большинство уязвимостей нулевого дня обычно обнаруживаются исследователями безопасности или самими компаниями, эта уязвимость активно используется для кражи частной и, вероятно, очень чувствительной информации, которая может подвергнуть людей непосредственной опасности
Кроме того, контекст разработки Pegasus делает его обнаружение и использование несколько более интересным, чем обычно: потенциально опасный шпионский инструмент, разработанный в демократической стране, Израиле, продается странам с репрессивным режимом, таким как ОАЭ. Хотя инструмент разработан на законных основаниях как средство ‘законного перехвата’, этот случай показывает, как шпионское ПО используется в природе.NSO Group действует в рамках закона и, по их собственным словам, хочет ‘помочь сделать мир безопаснее, предоставляя уполномоченным правительствам технологии, которые помогают им бороться с террором и преступностью’
Как бы то ни было, он все еще используется против диссидента, защищающего права человека в стране, которая, как известно, довольно тускло относится к таким действиям, опровергая свою официальную позицию о том, что их ‘продукт может использоваться только для предотвращения и расследования преступлений’. Конечно, действия Мансура на территории ОАЭ в значительной степени приравниваются к преступной деятельности (в рамках их юрисдикции)
Найдены ошибки в OS X и Safari
Компания Apple без лишнего шума выпустила критические исправления для своей настольной платформы OS X и основного браузера Safari после того, как стало известно, что уязвимость нулевого дня Trident затронет и эти сервисы. Это неудивительно, учитывая количество общего кода между этими платформами, поэтому, если уязвимость найдена в одной из них, она с большой вероятностью затронет и другую
Патчи для El Capitan и Yosemite можно найти здесь, а патч для Safari – здесь. Эти исправления можно загрузить и установить с помощью стандартных механизмов обновления, и мы настоятельно рекомендуем вам сделать это
Безопасно. До следующего раза
Ваше устройство Apple защищено, если вы обновили его. Если вы все еще не уверены, загрузите приложение Lookout Security App и просканируйте свою систему. Если оно что-то обнаружит, вам нужно будет установить исправление. Те пользователи, которые не хотят устанавливать патч (например, если вы уже взломали устройство), могут воспользоваться этим руководством.( Отказ от ответственности: я не делал этого, и это не связано с MakeUseOf, не одобрено и не поддерживается им каким-либо образом )
Уязвимости нулевого дня обнаруживаются постоянно и исправляются без кивка в сторону исследователей безопасности или людей, которых они могут затронуть. Однако пользователям iPhone стоит успокоиться – пользователи Android открыты для любого старого хакера, у которого есть хоть капля веры в свои силы и возможность посмотреть несколько видеороликов на YouTube
Айфоны по-прежнему эксплуатируются только государственными акторами. Он остается самым защищенным телефоном, доступным для большинства потребителей, несмотря на многочисленные уязвимости нулевого дня, появляющиеся в новостях. Эксплойты нулевого дня всегда будут исследоваться и раскрываться.Apple предлагает максимум $200 000 в рамках своей программы ‘bug bounty’, а в прошлом году брокер программного обеспечения Zerodium предложил $1 млн за эксплойты, дающие злоумышленникам доступ к iPhone. Вы видите проблему
С вами и вашими данными все будет в порядке. Но это будет не последний случай, когда шпионские программы нацелены на активистов или журналистов
Вы обновили свой iPhone? Считаете ли вы, что государственные субъекты должны более ответственно подходить к продаже ‘вооруженных’ вредоносных и шпионских программ? Сообщите нам о своих мыслях ниже!
Image Credit: Законные перехваты, использованные против Мансура, через Citizen Lab
Комментировать