Израильская шпионская программа атакует iPhone и смартфоны на Android в 45 странах

Шпионская программа, которую израильская фирма NSO Group официально продает правительствам, распространилась на 45 стран мира. NSO утверждает, что составленный экспертами The Citizen Lab список стран, некорректен.

Вокруг света на «Пегасе»

Шпионская программа Pegasus, которую продает израильская компания NSO Group, распространилась более чем в 40 странах мира, - заявляют эксперты канадской организации The Citizens Lab. Наиболее типичный сценарий ее использования - слежка со стороны авторитарных режимов за разного рода диссидентами.

Pegasus представляет собой шпионскую программу, атакующую устройства на базе iPhones и Android. Троянец способен перехватывать текстовые сообщения, отслеживать звонки и местоположение звонившего, собирать и отправлять своим операторам пароли и различные данные из установленных приложений.

Ее разработчик - израильская фирма NSO Group - предлагает ее на коммерческих условиях правительствам разных стран. В 2016 г., по данным The Citizen Lab, программа продавалась по цене $8 млн за 300 лицензий.

Критические «нулевые дни»

Троянец Pegasus использует ряд уязвимостей (преимущественно относящихся к разряду «нулевого дня») для обхода защиты на смартфонах. Первоначальное заражение осуществляется типичным методом - через фишинг.

Pegasus удалось обнаружить после того, как в августе 2016 г. правозащитник из ОАЭ Ахмед Мансур (Ahmed Mansoor) получил SMS с неизвестного номера, со ссылкой на якобы вскрывшиеся злоупотребления. Он расценил сообщение как подозрительное, и переслал информацию об этом в организацию The Citizen Lab. В результате чего были обнаружены три критические уязвимости в iOS 9, для которых Apple экстренно выпускала исправления.

По-видимому, Pegasus использует гораздо большее количество различных ошибок и лазеек в iOS (а также в Android): если в 2016 г. The Citizen Lab насчитали 200 серверов, используемых Pegasus, то в 2018 г. их было уже почти 600. Таким образом, у NSO Group дела идут в гору.

36 отдельных систем

Между августом 2106 г. и августом 2018 г. исследователи выявили 1091 IP-адрес и 1014 доменных имен, для которых были характерно «поведение» вредоносных ссылок и командных серверов Pegasus, принадлежащих разным операторам.

Используя собственный метод выявления общих признаков серверов Pegasus, The Citizen Lab смогли идентифицировать 36 отдельных систем, каждая из которых управляется своим оператором.

Исследователи предположили, что зараженные устройства будут регулярно отправлять запросы к доменным именам Pegasus, используя DNS-серверы своих текущих провайдеров. После этого эксперты прозондировали десятки тысяч каталогов записей DNS у разных провайдеров во всем мире, и пришли к выводу, что на данный момент операции по слежке с использованием Pegasus, осуществляются в 45 странах. Шесть из них, как утверждается в докладе The Citizen Lab, ранее использовали вредоносное ПО для агрессивной слежки за гражданскими активистами, - среди них Бахрейн, Казахстан, Мексика, Морокко, Саудовская Аравия, и ОАЭ.

Интересно, что как минимум 10 операторов Pegasus занимаются слежкой и на чужой территории.

Список стран, где Pegasus активен на данный момент: Алжир, Бахрейн, Бангладеш, Бразилия, Канада, Кот д'Ивуар, Египет, Франция, Греция, Индия, Ирак, Израиль, Иордан, Казахстан, Кения, Кувейт, Кыргызстан, Латвия, Ливан, Ливия, Мексика, Морокко, Нидерланды, Оман, Пакистан, Палестина, Польша, Катар, Руанда, Саудовская Аравия, Сингапур, ЮАР, Швейцария, Таджикистан, Тайланд, Того, Тунис, Турция, ОАЭ, Уганда, Великобритания, США, Узбекистан, Йемен и Замбия.

Это не мы

The Citizen Lab представила свои выводы NSO Group, и та ответила официальным заявлением.

«В последнем исследовании Citizen Lab наблюдается множество проблем. Самая главная - список стран, в которых NSO якобы ведет деятельность, попросту неточен. NSO не работает во многих странах, которые приводятся в списке. Продукт лицензируется только тем странам, сотрудничество с которыми не нарушает наши Принципы бизнес-этики; в других странах этот продукт не будет функционировать».

The Citizen Lab, со своей стороны, считает, что этот механизм либо не работает, либо не существует вовсе: «Продолжающееся оказание услуг странам, испытывающим серьезные проблемы с соблюдением прав человека, и где злоупотребление шпионским ПО хорошо задокументировано, вызывает серьезные сомнения в эффективности этого внутреннего механизма, если он вообще существует».

«Заинтересованные стороны за последние годы вполне могли произвести реверс-инжиниринг Pegasus и создать его аналог, работающий по тем же принципам и использующий те же уязвимости. При этом лицензионные ограничений NSO Group на «клон» не будут распространяться, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Тогда в определенной степени правы и эксперты Citizen Lab, и NSO Group: первые видят следы деятельности «пиратских копий» Pegasus, в то время как NSO вполне искренне может утверждать, что их «официальная» программа работает в одних странах, и не работает в других».