Spyware Pegasus: Jak ochránit telefon před škodlivým softwarem?
23.08.2021
Sdílet:
Špionážní software Pegasus je známý ze zpráv, byl použit k napadení zařízení kritických osob z různých odvětví a zemí, včetně novinářů, aktivistů, politiků a vedoucích pracovníků podniků. Uvádí se, že uniklý seznam 50 000 telefonních čísel potenciálních cílů sledování získaly pařížská novinářská nezisková organizace Forbidden Stories a Amnesty International. Jak to Pegasus dokázal? A jak zjistíte, že vás sleduje?
Magazín
Špionážní software Pegasus je sledovací software vytvořený izraelskou kybernetickou zpravodajskou společností NSO Group. Pegasus je jedním z takových softwarů vyvinutých za účelem získání přístupu do telefonu bez souhlasu a shromažďování osobních a citlivých informací a jejich doručení uživateli, který vás špehuje.
Vektory útoku a dopad spywaru Pegasus
První verze spywaru byla zjištěna v roce 2016 a k infikování chytrého telefonu využívala spear-phishing. Nyní používá jiný a sofistikovanější přístup k dosažení nových cílů. Může infikovat zařízení pomocí útoku "zero-click" provedeného využitím zranitelností přítomných v zařízení oběti. K útoku "zero-click" došlo již dříve v prosinci 2020 s využitím zranitelností iMessage. V roce 2019 také s využitím zranitelností aplikace WhatsApp.
Vektory útoku spywaru Pegasus jsou zranitelnosti přítomné v zařízeních: Zranitelnosti na úrovni operačního systému (SMS) nebo v aplikaci iMessage, aplikaci WhatsApp nebo jiné zranitelnosti, které lze zneužít.
Jakmile je spyware Pegasus v zařízení nainstalován, může účinně sledovat jakoukoli činnost, kterou na něm provádíte. To zahrnuje čtení nebo kopírování zpráv, extrakci multimediálních souborů, přístup k historii prohlížeče, nahrávání hovorů a mnoho dalšího.
Jak to dokázali?
Na tom, jak spyware Pegasus infikuje telefony obětí, není nic zvlášť složitého. Počáteční hackerský útok spočívá ve zfalšované SMS nebo iMessage, která obsahuje odkaz na webovou stránku. Po kliknutí na tento odkaz se zobrazí škodlivý software, který ohrozí zařízení.
Cílem je převzít plnou kontrolu nad operačním systémem mobilního zařízení, a to buď pomocí rootování (u zařízení se systémem Android), nebo jailbreaku (u zařízení se systémem Apple iOS).
Obvykle rootování v zařízení se systémem Android provádí uživatel za účelem instalace aplikací a her z nepodporovaných obchodů s aplikacemi nebo opětovného zapnutí funkce, která byla výrobcem zakázána.
Podobně může být jailbreak nasazen na zařízeních Apple, aby umožnil instalaci aplikací, které nejsou k dispozici v obchodě Apple App Store, nebo aby odemkl telefon pro použití v alternativních mobilních sítích. Mnohé přístupy k jailbreaku vyžadují, aby byl telefon při každém zapnutí připojen k počítači.
Rootování i jailbreak odstraňují bezpečnostní kontroly zabudované v operačních systémech Android nebo iOS. Obvykle se jedná o kombinaci změn konfigurace a hacknutí základních prvků operačního systému za účelem spuštění upraveného kódu. V případě spywaru může pachatel po odemčení zařízení nasadit další software, který zajistí vzdálený přístup k datům a funkcím zařízení.
Většina mediálních zpráv o programu Pegasus se týká kompromitace zařízení Apple. Špionážní software infikuje i zařízení se systémem Android, ale není tak účinný, protože se spoléhá na techniku rootování, která není stoprocentně spolehlivá. Když se počáteční pokus o infekci nezdaří, spyware údajně vyzve uživatele k udělení příslušných oprávnění, aby mohl být účinně nasazen.
Nejsou však zařízení Apple bezpečnější?
Zařízení Apple jsou obecně považována za bezpečnější než jejich ekvivalenty se systémem Android, ale ani jeden typ zařízení není 100% bezpečný.
Společnost Apple uplatňuje vysokou úroveň kontroly kódu svého operačního systému i aplikací nabízených prostřednictvím svého obchodu s aplikacemi. To vytváří uzavřený systém, který se často označuje jako "security by obscurity". Společnost Apple také vykonává plnou kontrolu nad tím, kdy jsou vydávány aktualizace, které jsou pak rychle přijímány uživateli.
Na druhou stranu jsou zařízení se systémem Android založena na konceptu open-source, takže výrobci hardwaru mohou operační systém upravovat a přidávat do něj další funkce nebo optimalizovat výkon. Obvykle se setkáváme s velkým počtem zařízení se systémem Android, která používají různé verze - to nevyhnutelně vede k tomu, že některá zařízení jsou neopravená a nezabezpečená (což je výhodné pro kyberzločince).
V konečném důsledku jsou obě platformy zranitelné vůči kompromitaci. Klíčovými faktory jsou pohodlí a motivace. Zatímco vývoj malwarového nástroje pro iOS vyžaduje větší investice času, úsilí a peněz, existence mnoha zařízení s identickým prostředím znamená větší šanci na úspěch ve značném měřítku.
Jak zjistím, zda jsem sledován?
Ačkoli se únik více než 50 000 údajně sledovaných telefonních čísel zdá být velký, je nepravděpodobné, že by špionážní software Pegasus byl použit ke sledování někoho, kdo není veřejně známý nebo politicky aktivní.
Je v samotné podstatě spywaru, aby zůstal v zařízení skrytý a neodhalený. Přesto existují mechanismy, které ukazují, zda bylo vaše zařízení napadeno.
Relativně snadným způsobem, jak to zjistit, je použití nástroje Amnesty International Mobile Verification Toolkit (MVT). Tento nástroj lze spustit pod operačním systémem Linux nebo MacOS a dokáže prozkoumat soubory a konfiguraci mobilního zařízení analýzou zálohy pořízené z telefonu.
Analýza sice nepotvrdí ani nevyvrátí, zda je zařízení kompromitováno, ale odhalí "indikátory kompromitace", které mohou být důkazem infekce. Nástroj dokáže zjistit zejména přítomnost konkrétního softwaru (procesů) spuštěného v zařízení a také řadu domén používaných jako součást globální infrastruktury podporující síť spywaru.
Která zařízení mě ochrání?
VMDR pro mobilní zařízení pomáhá chránit před spywarem Pegasus
Qualys VMDR for Mobile Devices detekuje zařízení potenciálně náchylná ke spywaru Pegasus na základě uvedených zranitelností, což představuje proaktivní přístup. Pegasus je sofistikovaný spyware s antiforenzními a autodestrukčními funkcemi, které znesnadňují jeho odhalení. Pokud je později odinstalován, nezanechává žádné stopy. VMDR pro mobilní zařízení proto musí zjistit, zda je zařízení zranitelné vůči softwaru Pegasus, spíše než zjišťovat samotnou přítomnost spywaru Pegasus.
Tip! Útoky ransomware rostou a zločinci vítězí
Připravil: Radek Svoboda
Sdílet: