הסבר: כיצד תוכנת ריגול פגסוס מדביקה מכשיר; אילו נתונים עלולים להיפגע

פרויקט פגסוס: תוכנת הריגול הישראלית, שהתגלתה ששימשה למיקוד למאות טלפונים בהודו, הלכה וגדלה להסתמך על קליקים. פגסוס יכולה להדביק מכשיר ללא מעורבות או ידיעת המטרה.

פגסוס הוא מוצר הדגל של קבוצת NSO (איור אקספרס)

בנובמבר 2019, כתב טכנולוגיה מניו יורק צילם מכשיר יירוט שהוצג ב-Milipol, תערוכת סחר בנושא ביטחון פנים בפריז. המציג, NSO Group, הניח את החומרה בחלק האחורי של טנדר, אולי מצביע על נוחות הניידות, ואמר שזה לא יעבוד על מספרי טלפון בארה'ב, אולי בגלל הגבלה עצמית של החברה.

מאז נוסדה ענקית הסייבר הישראלית ב-2010, זו כנראה הייתה הפעם הראשונה שתחנת מקלט בסיס ניידת מתוצרת NSO (BTS) הופיעה בדיווח בתקשורת.

BTS - או 'מגדל סלולרי נוכל' או 'IMSI Catcher' או 'סטינגריי' - מתחזה למגדלים סלולריים לגיטימיים ומאלץ טלפונים ניידים ברדיוס להתחבר אליו, כך שניתן לתמרן את התעבורה המיירטת על ידי תוקף. ה-BTS שצולם ב-2019 הורכב מכרטיסים מוערמים אופקית, ככל הנראה לאפשר יירוט על פני רצועות תדרים מרובים.

האפשרות האחרת היא למנף את הגישה למפעיל הסלולרי של היעד עצמו. בתרחיש זה, תוקף לא יזדקק לשום מגדל סלולרי נוכל אלא יסתמך על תשתית הרשת הרגילה לצורך מניפולציה.

כך או כך, היכולת לשגר התקפות 'הזרקת רשת' - מבוצעות מרחוק ללא מעורבות המטרה (ולכן, גם שנקרא אפס קליק ) או ידע -נתן פגסוס , מוצר הדגל של NSO Group, יתרון ייחודי על פני מתחרותיה בשוק תוכנות הריגול העולמי.

פגסוס נמצאת כעת במרכזו של פרויקט חקירה שיתופי עולמי שמצא כי תוכנת הריגול שימשה למטרות, בין היתר, מאות טלפונים ניידים בהודו .

במה שונה פגסוס מתוכנות ריגול אחרות?

Pegasus aka Q Suite, המשווק על ידי קבוצת NSO או Q Cyber ​​Technologies כפתרון מודיעין סייבר מוביל בעולם המאפשר לרשויות אכיפת חוק ולסוכנויות מודיעין לחלץ נתונים מרחוק וסמוי כמעט מכל מכשיר סלולרי, פותח על ידי ותיקי סוכנויות ביון ישראליות.

עד תחילת 2018, לקוחות קבוצת NSO הסתמכו בעיקר על הודעות SMS ו-WhatsApp כדי להערים על יעדים לפתוח קישור זדוני, מה שיוביל להדבקה במכשירים הניידים שלהם. עלון של פגסוס תיאר זאת כמסר של הנדסה חברתית משופרת (ESEM). כאשר לוחצים על קישור זדוני ארוז כ-ESEM, הטלפון מופנה לשרת שבודק את מערכת ההפעלה ומספק את הניצול המרוחק המתאים.

בדו'ח שלה מאוקטובר 2019, אמנסטי אינטרנשיונל תיעד לראשונה שימוש ב'הזרקות רשת' שאפשרו לתוקפים להתקין את תוכנת הריגול מבלי לדרוש כל אינטראקציה מצד המטרה. פגסוס יכולה להשיג התקנות מסוג אפס קליקים כאלה בדרכים שונות. אפשרות אחת מהאוויר (OTA) היא לשלוח הודעת דחיפה באופן סמוי שגורמת למכשיר היעד לטעון את תוכנת הריגול, כשהיעד לא מודע להתקנה שעליה ממילא אין לה שליטה.

זו, מתפארת חוברת פגסוס, היא הייחודיות של NSO, שמבדילה משמעותית את פתרון פגסוס מכל תוכנת ריגול אחרת הזמינה בשוק.

איזה סוג של מכשירים פגיעים?

כל המכשירים, למעשה. מכשירי אייפון זכו למטרה נרחבת עם פגסוס באמצעות אפליקציית ברירת המחדל של iMessage של אפל ופרוטוקול Push Notification Service (APNs) שעליו היא מבוססת. תוכנת הריגול יכולה להתחזות לאפליקציה שהורדה לאייפון ולשדר את עצמה כהתראות דחיפה דרך השרתים של אפל.

באוגוסט 2016, מעבדת Citizen, מעבדה בינתחומית שבסיסה באוניברסיטת טורונטו, דיווחה על קיומה של פגסוס לחברת אבטחת הסייבר Lookout, והשניים סימנו את האיום על אפל. באפריל 2017, Lookout וגוגל פרסמו פרטים על גרסת אנדרואיד של פגסוס.

באוקטובר 2019 האשימה WhatsApp את קבוצת NSO בניצול פגיעות בתכונת שיחות הווידאו שלה. משתמש יקבל מה שנראה כשיחת וידאו, אבל זו לא הייתה שיחה רגילה. לאחר שהטלפון צלצל, התוקף שידר בחשאי קוד זדוני במאמץ להדביק את הטלפון של הקורבן בתוכנות ריגול. האדם אפילו לא היה צריך לענות לשיחה, אמר ראש הוואטסאפ וויל קאת'קארט.

בדצמבר 2020, דו'ח Citizen Lab סימן כיצד פעילי ממשלה השתמשו בפגסוס כדי לפרוץ 37 טלפונים השייכים לעיתונאים, מפיקים, עוגנים ומנהלים באל-ג'זירה וב-Al Araby TV בלונדון במהלך יולי-אוגוסט 2020, תוך ניצול יום אפס ( נקודת תורפה שאינה ידועה למפתחים) נגד iOS 13.5.1 לפחות שעלולה לפרוץ לאייפון 11 האחרון של אפל. למרות שההתקפה לא פעלה נגד iOS 14 ומעלה, הדו'ח אמר שהזיהומים שצפתה הם ככל הנראה חלק זעיר מהכלל התקפות, לאור ההתפשטות העולמית של בסיס הלקוחות של קבוצת NSO והפגיעות לכאורה של כמעט כל מכשירי האייפון לפני עדכון iOS 14.

האם תוכנת הריגול תמיד נכנסת לכל מכשיר שהוא מכוון אליו?

בדרך כלל, תוקף צריך להזין את מערכת פגסוס רק את מספר הטלפון היעד עבור הזרקת רשת. השאר מתבצע אוטומטית על ידי המערכת, אומר חוברת פגסוס, ותוכנת הריגול מותקנת ברוב המקרים.

עם זאת, במקרים מסוימים, ייתכן שהזרקות רשת לא יעבדו. לדוגמה, התקנה מרחוק נכשלת כאשר מכשיר היעד אינו נתמך על ידי מערכת NSO, או שמערכת ההפעלה שלו משודרגת עם הגנות אבטחה חדשות.

ככל הנראה, אחת הדרכים להתחמק מפגסוס היא לשנות את דפדפן ברירת המחדל של הטלפון. לפי חוברת פגסוס, התקנה מדפדפנים שאינם ברירת המחדל של המכשיר (וגם כרום למכשירים מבוססי אנדרואיד) אינה נתמכת על ידי המערכת.

בכל המקרים הללו, ההתקנה תבוטל והדפדפן של מכשיר היעד יציג דף אינטרנט תמים שנקבע מראש כך שלמטרה אין מושג לגבי הניסיון הכושל. בשלב הבא, סביר להניח שתוקף יחזור על פיתיונות קליקים של ESEM. כל השאר נכשל, אומר החוברת, ניתן להזריק ולהתקין את פגסוס באופן ידני תוך פחות מחמש דקות אם התוקף מקבל גישה פיזית למכשיר היעד.

איזה מידע אפשר להתפשר?

ברגע שנדבק, טלפון הופך למרגל דיגיטלי בשליטה מלאה של התוקף.

עם ההתקנה, פגסוס יוצר קשר עם שרתי הפיקוד והבקרה (C&C) של התוקף כדי לקבל ולבצע הוראות ולשלוח בחזרה את הנתונים הפרטיים של היעד, כולל סיסמאות, רשימות אנשי קשר, אירועי לוח שנה, הודעות טקסט ושיחות קוליות חיות (אפילו אלה דרך מקצה לקצה אל -אפליקציות הודעות מוצפנות קצה). התוקף יכול לשלוט במצלמה ובמיקרופון של הטלפון, ולהשתמש בפונקציית ה-GPS כדי לעקוב אחר מטרה.

כדי למנוע צריכת רוחב פס נרחבת שעשויה להתריע על יעד, Pegasus שולחת רק עדכונים מתוזמנים לשרת C&C. תוכנת הריגול נועדה להתחמק מניתוח פורנזי, להימנע מגילוי על ידי תוכנת אנטי וירוס, וניתן לנטרל ולהסיר אותה על ידי התוקף, בעת הצורך.

אילו אמצעי זהירות אפשר לנקוט?

תיאורטית, היגיינת סייבר נבונה יכולה להגן מפני פיתיונות ESEM. אבל כאשר פגסוס מנצלת פגיעות במערכת ההפעלה של הטלפון, אין שום דבר שאפשר לעשות כדי לעצור הזרקת רשת. גרוע מכך, אף אחד לא יהיה מודע לכך אלא אם המכשיר ייסרק במעבדת אבטחה דיגיטלית.

מעבר למכשיר ארכאי המאפשר רק שיחות והודעות בסיסיות בהחלט יגביל את חשיפת הנתונים, אך עשוי שלא לצמצם משמעותית את הסיכון לזיהום. כמו כן, כל מכשיר חלופי המשמש לאימיילים ואפליקציות יישאר פגיע אלא אם יוותר לחלוטין על השימוש בשירותים החיוניים הללו.

לכן, הדבר הטוב ביותר שאפשר לעשות הוא להישאר מעודכן בכל עדכון מערכת הפעלה ותיקון אבטחה ששוחררו על ידי יצרני המכשירים, ולקוות שהתקפות של יום אפס יהפכו נדירות יותר. ואם יש תקציב, החלפת מכשירים מעת לעת היא אולי התרופה היעילה ביותר, אם כי יקרה.

מכיוון שתוכנת הריגול נמצאת בחומרה, התוקף יצטרך להדביק בהצלחה את המכשיר החדש בכל פעם שמשתנה. זה עשוי להציב אתגרים לוגיסטיים (עלות) וגם טכניים (שדרוג אבטחה). אלא אם כן מתנגדים למשאבים בלתי מוגבלים, הקשורים בדרך כלל לכוח המדינה.

שתף עם החברים שלך: