Pegasus, softul de spionaj prin care au fost urmăriţi lideri politici, ziarişti incomozi, activişti şi avocaţi specializaţi pe drepturile omului, este unul dintre cele mai sofisticate, atacatorul obţinând controlul total asupra aparatului.
„Dacă în primele versiuni ale softului, acesta infecta telefoane cu ajutorul unor linkuri periculoase trimise prin SMS sau e-mail, acum nu necesită nicio acţiune din partea utilizatorilor, exploatând vulnerabilităţi din sistemul de operare al dispozitivului”, a explicat, pentru adevarul.ro, Dan Buştean – specialist cyber-security al Helion Group. Practic, explică Dan, utilizatorul poate primi un conţinut gif fără să sesizeze măcar, telefonul procesează fişierul şi se blochează, în acest timp permite atacatorului să preia controlul total asupra telefonului. Poate fi programat softul în aşa fel încât mesajul primit iniţial să dispară automat. Pe româneşte, nici nu ştii că ai fost virusat.
Acum şi pentru Android
Vulnerabilitatea a fost descoperită initial pe dispozitivele Apple iar compania a şi lansat lansat o actualizare software critică, luni, 13 septembrie însă telefoanele iPhone, laptopurile MacBooks şi ceasurile Apple cu o versiune de software anterioară 14.8 sunt vulnerabile. „Le recomand tuturor să îşi facă actualizarea. Dacă din diferite motive nu pot face up-date-ul – au un dispozitiv prea vechi, care nu suportă ultima versiune de IOS, le sugerez să îşi dezactiveze funcţia imessage”, spune Dan, arătând că această funcţie este „vinovată” pentru intrarea virusului-spion în sistem. Pe de altă parte, spune tot el, vulnerabilităţi similare au fost sesizate şi la dispozitivele Android. “În 2019, de pildă, WhatsApp a dezvăluit că soft-ul a fost folosit pentru a trimite malware către 1400 de telefoane prin folosirea unei astfel de vulnerabilităţi.
Printr-un simplu ataşament tip .gif (CVE-2019-11932) telefonul ţintă putea fi infectat, pentru că aplicaţia whatsapp descarcă automat documentele în telefon. Când victima primea un mesaj cu un gif modificat de hackeri, aplicaţia îl descărca în telefon. Când victima urma să trimită un fişier media către cineva, whatsapp procesa şi acel fişier modificat special pentru a executa comenzi direct în sistemul de operare al telefonului. Iar hackerii instalau viruşii şi luau acces total la telefon ”, spune specialistul.
Odată infectat, un telefon devine un spion digital sub controlul complet al atacatorului, extrăgând date precum parole, liste de contacte, evenimente din calendar, mesaje text şi apeluri vocale live (chiar şi cele prin intermediul aplicaţiilor de mesagerie criptate de la un capăt la altul). De asemenea, oferă atacatorului controlul asupra camerei şi microfonului telefonului şi permite funcţiei GPS să urmărească o ţintă.
„Problema cea mai mare pentru utilizatori a fost că acest exploit (o secvenţă de cod ce determină un comportament nedorit sau neprevazut al software-ului, hardware-ului) era gratuit pe internet şi putea oricine să se joace cu el. O vulnerabilitate de acest gen a fost reparată prin update-ul din 10 august de cei de la Whatsapp, dar cu siguranţă mai sunt şi altele care aşteaptă să fie descoperite”, declară Dan Buştean (foto).
Cum “prinzi” spionul?
Pentru a verifica dacă dispozitivul a fost infectat cu Pegasus ori vreun alt virus, există un software gratuity – Mobile Verification Toolkit. MVT este un software mobil de criminalistică dezvoltat pentru a simplifica şi automatiza procesul de colectare a urmelor utile şi pentru a identifica datele compromise ale dispozitivelor Android şi iOS folosind indicatori de compromis (IOC).
“Orice virus lasă o urmă, ca un hoţ, iar acest soft verifică urmele lăsate. Acest soft poate identifica orice virus, nu numai Pegasus”, zice Dan.
Ce sunt IOC? Sunt bucăţi de date criminalistice, cum ar fi datele găsite în intrările sau fişierele jurnalului de sistem, şi care identifică activitatea potenţial rău intenţionată a unui sistem sau a unei reţele, ajutând la detectarea încălcărilor de date, infecţiilor malware sau a altor activităţi de ameninţare. “Prin monitorizarea indicatorilor de compromis, se pot detecta atacurile şi se poate acţiona rapid”, susţine specialistul, care recomandă scanarea periodică a dispozitivelor cu acest soft, deoarece IOC-urile sunt actualizate constant şi astfel vă asigură că nu sunteţi infectaţi. Softwaterul este gratuit şi poate fi accesat la această adresă, unde se găsesc şi informaţiile necesare pentru a descărca şi folosi soft-ul. Link util cu indicatori de compromis pentru diferiţi viruşi au fost puşi la dispoziţie gratuit de către AmnestyTech şi pot fi găsiţi aici.
Problema în cazul Pegasus este, însă, că odată detectat, este aproape imposibil de eliminat. “Este atât de “infecţios” încât poate să-şi lase găuri, un vector, iar după un timp să se reactiveze. În acest caz, singura soluţie e să vă schimbaţi aparatul, pentru că e compromis”. Scandal internaţional Printre liderii politici care au ajuns victime ale softului Pegasus se numără Emmanuel Macron, care ar fi fost urmărit de serviciile de informaţii ale Marocului, alături de fostul premier al Franţei, Edouard Philippe dar şi alţi 14 membri ai Guvernului. Forbidden Stories, o organizaţie media nonprofit din Paris, şi Amnesty International au avut iniţial acces la lista filtrată şi au distribuit-o către publicaţii partenere unite în „proiectul Pegasus”, printre care şi publicaţia Le Monde. Autenticitatea acestei liste şi legătura sa cu programul de spionaj Pegasus au fost stabilite analizând zeci de telefoane care figurează pe listă. În marea majoritate a cazurilor, au fost găsite urme lăsate de Pegasus, adesea la câteva secunde după apariţia telefonului corespunzător pe listă.
În Ungaria, Parchetul General a anunţat declanşarea unei anchete după dezvăluirile din presă conform cărora 300 de numere de telefon ar fi fost ţinta unor ample acţiuni de spionaj a Guvernului lui Viktor Orban, printre cei spionaţi numărându-se şi Szabolcs Panyi, un cunoscut reporter cu surse importante în cercuri diplomatice şi de securitate naţională. Analiza dispozitivului realizată cu softul Amnesty International a arătat clar că acesta a fost infectat în mod repetat cu Pegasus pe parcursul unei perioade de şapte luni în 2019, softul fiind activat de fiecare dată când Panyi pregătea articole sensibile şi solicita puncte de vedere de la oficiali guvernamentali ungari. Guvernul ungar a negat implicarea, purtătorul de cuvânt al lui Viktor Orban, Zoltan Kovacs, atacându-l public pe Panyi, pe care l-a acuzat de „orbanofobie şi ungarofobie”, potrivit digi24.ro
Un alt lider care a folosit spyware-ul Pegasus este prim-ministrul Indiei, Narendra Modi, care l-a utilizat împotriva principalului său rival politic, Rahul Gandhi. Acesta a fost selectat de două ori ca potenţială ţintă de supraveghere. El este doar unul dintre zecile de politicieni, jurnalişti, activişti şi critici ai guvernului supravegheat cu ajutorul soft-ului, scrie The Guardian. Ţintit a fost şi Prashant Kishor, strateg politic care a lucrat pentru partidul care l-a învins pe Modi în alegerile din Bengalul de Vest la începutul anului. Analiza a arătat că telefonul fusese „ascultat” inclusiv în ziua în care fusese analizat.