Пегаз (спајвер)

Пегаз или Пегасус је шпијунски софтвер развијен од стране израелске компаније за сајбер оружје НСО Гроуп који је дизајниран да се тајно и даљински инсталира на мобилне телефоне који користе иОС и АндроидОС^[1]. Док НСО Група продаје Пегасус као производ за борбу против криминала и тероризма, владе широм света рутински користе шпијунски софтвер за праћење новинара, адвоката, политичких дисидената и активиста за људска права^[2]. Продају Пегасус лиценци страним владама мора да одобри израелско Министарство одбране^[3].

Од марта 2023, Пегаз оператери су били у могућности да даљински инсталирају шпијунски софтвер на иОС верзије до 16.0.3 користећи експлоатацију без клика^[4]. Иако могућности Пегасус-а могу варирати током времена због ажурирања софтвера, Пегасус је генерално способан да чита текстуалне поруке, пресреће позиве, прикупља лозинке, прати локације, приступа микрофону и камери циљног уређаја и прикупља информације из апликација^[5]. Шпијунски софтвер је добио име по Пегазу, крилатом коњу из грчке митологије^[6].

Сајбер чувар Ситизен Лаб и Локаут Секурити објавили су прве јавне техничке анализе Пегаза у августу 2016. након што су ухватили шпијунски софтвер у неуспелом покушају шпијунирања ајФона једног активисте за људска права^[7]. Накнадне истраге о Пегазу које су спровели Амнести интернешенал, Цитизен Лаб и други привукли су значајну пажњу медија у јулу 2021. објављивањем истраге пројекта Пегаз, која се усредсредила на листу од 50.000 телефонских бројева који су наводно одабрани за циљање од стране купаца Пегаза^[8].

НСО Група је развила своју прву итерацију Пегаз шпијунског софтвера 2011. године^[9]. Компанија наводи да обезбеђује „овлашћеним владама технологију која им помаже у борби против терора и криминала.“^[10] НСО Група је објавила делове уговора који захтевају од купаца да користе њене производе само за истраге о криминалу и националној безбедности и навела је да је навела да је НСО група објавила делове уговора који захтевају од купаца да користе њене производе само за истраге о криминалу и националној безбедности. да има водећи приступ људским правима у индустрији^[11].

Пегасусова експлоатација иОС-а идентификована је у августу 2016. Заштитник људских права из Уједињених Емирата Ахмед Мансур примио је текстуалну поруку у којој се обећавају „тајне“ о мучењу које се дешава у затворима у Уједињеним Арапским Емиратима путем линка. Мансур је послао везу Цитизен Лаб-у Универзитета у Торонту, која је истражила, у сарадњи са Локаут-ом, откривши да би Мансур, да је пратио везу, провалио његов ОС и уградио шпијунски софтвер у њега^[12].

Цитизен Лаб и Локаут су открили да је линк преузео софтвер да би искористио три раније непознате и нерешене рањивости нултог дана у иОС-у^[13]. Према њиховој анализи, софтвер може да направи пробој у иОС и АндроидОС када се отвори злонамерни УРЛ. Софтвер се сам инсталира и прикупља све комуникације и локације циљаних ајфон уређаја. Софтвер такође може да прикупља лозинке за Ви-Фи^[14]. Истраживачи су приметили да се софтверски код позива на производ НСО Групе под називом „Пегаз“ у процурелим маркетиншким материјалима^[15]. Пегаз је раније препознат у цурењу записа из Хакинг тима, који су указивали да је софтвер испоручен влади Панаме 2015. године^[16]. Цитизен Лаб и Локаут су обавестили Еплов безбедносни тим, који је поправио недостатке у року од десет дана и објавио ажурирање за иОСа^[17]. Закрпа за макОС је објављена шест дана касније^[18].

Што се тиче распрострањености овог проблема, Локаут је објаснио у посту на блогу: „Верујемо да је овај шпијунски софтвер био у тајности већ дуже време на основу неких индикатора у коду“ и истакао да код показује знаке „табела мапирања кернела која има вредности све до иОС7“ (објављена 2013)^[19]. Њујорк Тајмс и Тајмс оф Израел су објавили да се чинило да су Уједињени Арапски Емирати користили овај шпијунски софтвер још 2013. године^[20]. Користио га је у Панами бивши председник Рикардо Мартинели од 2012. до 2014. године, који је за његову употребу основао Цонсејо де Сегуридад Публица и Дефенса Национал (Савет за националну безбедност)^[21].

Неколико нерешених судских спорова у 2018. тврдило је да је НСО Група помагала клијентима да управљају софтвером и да је стога учествовала у бројним кршењима људских права које су иницирали њени клијенти^[22]. Два месеца након убиства новинара Вашингтон Поста Јамала Кашоггија, саудијског активисте за људска права, у конзулату Саудијске Арабије у Истанбулу, Турска, саудијски дисидент Омар Абдулазиз, становник Канаде, поднео је тужбу у Израелу против НСО групе, оптужујући фирма која је саудијској влади обезбедила софтвер за надзор да шпијунира њега и његове пријатеље, укључујући Кашогија^[23].

У децембру 2020., истраживачка емисија Ал Џазире Хадден ис Мор Именс покрила је Пегаза и његов продор на телефоне медијских професионалаца и активиста; и његову употребу од стране Израела да прислушкује и противнике и савезнике^[24].

У фебруару 2024, амерички суд је наредио НСО групи да преда код за Пегаз Вотсапу у оквиру текуће тужбе коју је покренула комуникациона апликација у власништву Мета Платформс у вези са наводном употребом Пегаза против корисника Вотсапа^[25].

Шпијунски софтвер се може инсталирати на уређаје који користе одређене верзије иОС-а, Еплов мобилни оперативни систем, као и неке Андроид уређаје^[26]. Уместо да буде посебан експлоит, Пегасус је скуп експлоита који користи многе рањивости у систему. Вектори инфекције укључују кликове на линкове, апликацију Фотографије, апликацију Епл Мјузик и иМесиџ. Неки од експлоита које Пегасус користи су нулти клик — то јест, могу да раде без икакве интеракције жртве. Једном инсталиран, Пегаз је наводно у стању да покреће произвољни код, издваја контакте, евиденције позива, поруке, фотографије, историју прегледања веба, подешавања^[27], као и да прикупља информације из апликација укључујући, али не ограничавајући се на апликације за комуникацију месинџер, Гмаил, Вибер, Фејсбук, Вотсап, Телеграм и Скајп.

У априлу 2017, након извештаја Локаут-а, Гоогле истраживачи су открили малвер за Андроид за који се верује да га је креирала НСО Гроуп Технолоџис и назвали га Хрисаор (Пегазов брат у грчкој митологији). Према Гуглу, „верује се да је Хрисаор повезан са шпијунским софтвером Пегасус“^[28]. На Самиту безбедносних аналитичара 2017. који је одржао Касперски Лаб, истраживачи су открили да је Пегаз био доступан за Андроид поред иОС-а. Његова функционалност је слична иОС верзији, али је начин напада другачији. Андроид верзија покушава да добије роот приступ (слично као код јаилбреакинг-а у иОС-у); ако не успе, тражи од корисника дозволе које му омогућавају да прикупи барем неке податке. У то време Гоогле је рекао да је само неколико Андроид уређаја заражено^[29].

Пегаз се крије колико је то могуће и самоуништава се у покушају да елиминише доказе ако не може да комуницира са својим командно-контролним сервером дуже од 60 дана, или ако је на погрешном уређају. Пегаз такође може да се самоуништи по команди^[30]. Ако није могуће компромитовати циљни уређај једноставнијим средствима, Пегаз се може инсталирати постављањем бежичног примопредајника у близини циљног уређаја, или добијањем физичког приступа уређају.

Најранија верзија Пегаза – која је идентификована 2016. – ослањала се на напад спеар-фишинга који је захтевао да циљ кликне на злонамерну везу у текстуалној поруци или е-поруци.

Од августа 2016. – према речима бившег запосленог у НСО – америчка верзија Пегасус-а имала је могућности 1 клика за све телефоне осим старих Блецкбери модела који су могли бити инфилтрирани нападом од 0 клика^[31].

У 2019. години, Вотсап је открио да је Пегаз користио рањивост у својој апликацији за покретање напада нултим кликом (шпијунски софтвер би се инсталирао на телефон циља позивањем циљног телефона; шпијунски софтвер би био инсталиран чак и ако на позив није одговорено).

Од 2019. године, Пегасус је почео да се ослања на рањивости ајфон ајмесиџа за постављање шпијунског софтвера.

До 2020. Пегаз је прешао на експлоатације без кликова и нападе засноване на мрежи. Ове методе су омогућавале клијентима да провале на циљне телефоне без потребе за интеракцијом корисника^[32].

Епл Инц у тужби против стартап компаније за сајбер безбедност, Цорелиум, са седиштем у САД, навео је да је продао своју технологију виртуелизације НСО групи и другим таквим „лошим актерима“ и активно их подстицао да пронађу 0-дневне експлоатације^[33].

Лоокоут је пружио детаље о три иОС рањивости:

• ЦВЕ-2016-4655: Цурење информација у кернелу – Рањивост мапирања базе кернела која пропушта информације нападачу омогућавајући им да израчунају локацију кернела у меморији.
• ЦВЕ-2016-4656: Оштећење меморије кернела доводи до јаилбреак-а – рањивости на нивоу 32 и 64-битног иОС кернела које омогућавају нападачу да тајно направи јаилбреак уређај и инсталира софтвер за надзор – детаљи у референци.[43]
• ЦВЕ-2016-4657: Оштећење меморије у веб комплету – Рањивост у Сафари ВебКит-у која омогућава нападачу да компромитује уређај када корисник кликне на везу.

Гоогле-ов пројекат Зеро је документовао још један експлоат, назван ФОРЦЕДЕНТРИ, у децембру 2021. Према Гугловим истраживачима, Пегасус је својим циљевима послао иМесиџ који је садржао оно што је изгледало као ГИФ слика, али које је у ствари садржало ЈБИГ2 слику. Рањивост у Кспдф имплементацији ЈБИГ2, поново коришћена у Аппле-овом оперативном софтверу за иОС телефоне, омогућила је Пегазу да конструише емулирану рачунарску архитектуру унутар ЈБИГ2 тока који је затим коришћен за имплементацију напада нултим кликом. Епл је поправио рањивост у иОС-у 14.8 у септембру 2021. као ЦВЕ-2021-30860^[34].

Од јула 2021. Пегаз вероватно користи многе експлоатације, од којих неки нису наведени у горњим ЦВЕ-овима.

Група за људска права Амнести интернешенел известила је у истрази 2021. да Пегаз користи софистицирану инфраструктуру за команду и контролу (Ц&Ц) за испоруку експлоатационог пакета и слање команди Пегазу. Постоје најмање четири познате итерације Ц&Ц инфраструктуре, које је НСО група назвала Пегаз Анонимизинг Трансмишн Нетворк (ПАТН), од којих свака обухвата до 500 имена домена, ДНС сервере и другу мрежну инфраструктуру. ПАТН наводно користи технике као што је регистровање високих бројева портова за њихову онлајн инфраструктуру како би се избегло конвенционално интернет скенирање. ПАТН такође користи до три рандомизована поддомена јединствена по покушају експлоатације, као и насумичне УРЛ путање.

Због тајне природе његове инсталације, Пегаз је раније могао да буде откривен само путем дигиталне форензике. Дана 16. јануара 2024. године, Касперски Лабс је у саопштењу за јавност најавио нови метод откривања шпијунског софтвера за иОС уређаје који је укључивао инспекцију схутдовн.лог датотеке, која бележи догађаје поновног покретања, ради показатеља компромитовања^[35]. Касперски је развио алатку која издваја, анализира и анализира датотеку схутдовн.лог да би олакшао процес лоцирања злонамерног потписа. Овај метод је ефикасан само ако се уређај поново покрене истог дана када је заражен Пегазом^[36].

Амнести Интернешнал је објавио услужни програм отвореног кода под називом Мобиле Верификејшн Тулкит који је дизајниран да открије трагове Пегаза. Софтвер ради на персоналном рачунару и анализира податке укључујући резервне датотеке извезене са ајфона или Андроид телефона^[37].

1. ^ Garfinkel, Simson (2013). „Book Review: IPhone and IOS Forensic: Investigation, Analysis and Mobile Security for Apple IPhone, IPad and IOS Devices”. Journal of Digital Forensics, Security and Law. ISSN 1558-7223. doi:10.15394/jdfsl.2013.1157. 
2. ^ „NSO Group in trouble again over spyware”. Network Security. 2021 (8): 2—3. 2021. ISSN 1353-4858. doi:10.1016/s1353-4858(21)00082-9. 
3. ^ „NSO Group in trouble again over spyware”. Network Security. 2021 (8): 2—3. 2021. ISSN 1353-4858. doi:10.1016/s1353-4858(21)00082-9. 
4. ^ Ryan, Kara; Greenway, Ryan; Landers, Jake; Arias‐Rodriguez, Lenin; Tobler, Michael; Kelley, Joanna L. (2023-08-07). „Selection on standing genetic variation mediates convergent evolution in extremophile fish”. Molecular Ecology. 32 (18): 5042—5054. ISSN 0962-1083. doi:10.1111/mec.17081. 
5. ^ Charlton, Louise, (born 25 May 1960), Co-founder, 1987, and Vice Chairman, since 2012, Brunswick Group LLP (Group Senior Partner, 2004–12), Oxford University Press, 2008-12-01, Приступљено 2024-09-20 
6. ^ Fox, Jonathan (2023-04-05), May I have a word with you? Global patterns of restrictions on proselytizing, Routledge, стр. 270—281, ISBN 978-1-003-24726-5, Приступљено 2024-09-20 
7. ^ Case of Human Rights Defender et al. v. Guatemala Judgment of August 28, 2014, Brill | Nijhoff, 2016-01-01, стр. 901—1011, ISBN 978-90-04-53050-8, Приступљено 2024-09-20 
8. ^ „A Forbidden Day to Fish”. Stories of the Sea. 2013. Приступљено 2024-09-20. 
9. ^ Padavic-Callaghan, Karmela (2022). „Plasmas could help make the world's most powerful laser”. New Scientist. 255 (3402): 16. ISSN 0262-4079. doi:10.1016/s0262-4079(22)01571-8. 
10. ^ Uzzi, Brian (2018). „Learning from different disciplines The Most Unknown”. Science. 361 (6398): 138—138. ISSN 0036-8075. doi:10.1126/science.aau1692. 
11. ^ Jones, Andy; Khan, Omera (2021-05-24), Surviving NotPetya: Global Supply Chains in the Era of the Cyber Weapon, WORLD SCIENTIFIC, стр. 133—146, ISBN 978-981-12-3156-8, Приступљено 2024-09-20 
12. ^ Brown, Benjamin Robert, (born 26 May 1960), Presenter, BBC News 24, since 2006, Oxford University Press, 2007-12-01, Приступљено 2024-09-20 
13. ^ Rudie, JD; Katz, Zach; Kuhbander, Sam; Bhunia, Suman (2021). „Technical Analysis of the NSO Group’s Pegasus Spyware”. 2021 International Conference on Computational Science and Computational Intelligence (CSCI). IEEE. doi:10.1109/csci54926.2021.00188. 
14. ^ Lupia, Arthur (2016-01-07), Political Roles: Who Needs to Know?, Oxford University Press, ISBN 978-0-19-026372-0, Приступљено 2024-09-20 
15. ^ Brown, Benjamin Robert, (born 26 May 1960), Presenter, BBC News 24, since 2006, Oxford University Press, 2007-12-01, Приступљено 2024-09-20 
16. ^ Pacheco Rosas, Juan Carlos. Régimen político y mecanismos de control de la política mediática en México: el caso de la prensa escrita en Sinaloa (2010-2016) (Теза). Universidad Autonoma Metropolitana. 
17. ^ „About the Author”. Apple Inc.: 186—186. 2008. doi:10.5040/9798400613692.0010. 
18. ^ Burden, Kit (2016). „EU update”. Computer Law & Security Review. 32 (3): 540—545. ISSN 0267-3649. doi:10.1016/j.clsr.2016.04.001. 
19. ^ Ågotnes, Knut (2016-12-02), Socrates’ Sophisticated Attack on Protagoras, Springer International Publishing, стр. 23—42, ISBN 978-3-319-45583-9, Приступљено 2024-09-20 
20. ^ Frederic, Harold, (19 Aug. 1856–19 Oct. 1898), author, journalist; London representative New York Times, Oxford University Press, 2007-12-01, Приступљено 2024-09-20 
21. ^ Garras de oro (1926) y la separación de Panamá, Fondo Editorial FCSH, Facultad de Ciencias Sociales y Humanas de la Universidad de Antioquia, 2019-05-30, стр. 19—36, Приступљено 2024-09-20 
22. ^ „US move against Israeli firm will not slow spyware use”. Emerald Expert Briefings. 2021-12-13. ISSN 2633-304X. doi:10.1108/oxan-db266088. 
23. ^ Boot, Max; Brooks, David (2019-07-04), Conservatives Assess Trump, Routledge, стр. 223—228, ISBN 978-0-429-28682-7, Приступљено 2024-09-20 
24. ^ Anthony, Ben; Anthony, Ben (2003). „Correspondent Special: Al-Jazeera Exclusive”. doi:10.4135/9781473982352. 
25. ^ „US ruling on Pegasus looms over Israeli spyware export”. Emerald Expert Briefings. 2023-01-10. ISSN 2633-304X. doi:10.1108/oxan-es275186. 
26. ^ Rudie, JD; Katz, Zach; Kuhbander, Sam; Bhunia, Suman (2021). „Technical Analysis of the NSO Group’s Pegasus Spyware”. 2021 International Conference on Computational Science and Computational Intelligence (CSCI). IEEE. doi:10.1109/csci54926.2021.00188. 
27. ^ Lupia, Arthur (2016-01-07), Political Roles: Who Needs to Know?, Oxford University Press, ISBN 978-0-19-026372-0, Приступљено 2024-09-20 
28. ^ Android Malware Evolution, Auerbach Publications, 2014-10-24, стр. 92—97, ISBN 978-0-429-09483-5, Приступљено 2024-09-20 
29. ^ Hinsen, Konrad (2012-09-07). „The ultimate calculator for Android and iOS”. dx.doi.org. Приступљено 2024-09-20. 
30. ^ Chawla, Ajay (2021). „Pegasus Spyware – 'A Privacy Killer'”. SSRN Electronic Journal. ISSN 1556-5068. doi:10.2139/ssrn.3890657. 
31. ^ „VICE - VICE is the definitive guide to enlightening information.”. VICE (на језику: енглески). Приступљено 2024-09-20. 
32. ^ Borck, Tobias (2024-01-01), Saudi Arabia, the UAE and Qatar in Comparison, Oxford University Press, стр. 181—210, ISBN 0-19-776778-8, Приступљено 2024-09-20 
33. ^ „National Security Council, Memorandum, Israeli-Syrian Military Clashes, November 21, 1972, Top Secret Codeword, NARA.”. U.S. Intelligence on the Middle East, 1945-2009. Приступљено 2024-09-20. 
34. ^ Risicoanalyse van het Zero-Base Project [Risk Analysis of the Zero-Base Project (2000-2001)]: Eindrapport. RAND Corporation. 2001. 
35. ^ „Figure 16: Kaspersky - isolated way obfuscation results.”. dx.doi.org. Приступљено 2024-09-20. 
36. ^ Grothaus, Michael; Sande, Steve; Sadun, Erica (2011), Customizing Your iPhone, Apress, стр. 457—485, ISBN 978-1-4302-3581-1, Приступљено 2024-09-20 
37. ^ Peterson, Paul E (2016-07-01). „The Social Security Primer: What Every Citizen Should Know”. doi:10.4324/9781315501970.