Nový únik odhaľuje zneužívanie spywaru Pegasus na zacielenie na novinárov po celom svete

Rozsiahle vyšetrovanie úniku údajov z viac ako 50 000 telefónnych čísel odhalilo rozsiahle zneužívanie „špionážneho softvéru vojenskej kvality“ Pegasus izraelskej spoločnosti NSO Group na uľahčenie porušovania ľudských práv zo strany hláv štátov, aktivistov, novinárov a právnikov na celom svete. .

Vyšetrovanie s názvom „Projekt Pegasus“ je výsledkom spolupráce viac ako 80 novinárov z konzorcia 17 mediálnych organizácií v 10 krajinách, ktoré koordinuje nezisková mediálna organizácia Forbidden Stories so sídlom v Paríži, spolu s technickou podporou Amnesty International.

“Projekt Pegasus odhaľuje, ako je spyware NSO zbraňou, ktorú si vyberajú represívne vlády, ktoré sa snažia umlčať novinárov, útočiť na aktivistov a rozdrviť disent, čím ohrozujú nespočetné množstvo životov,” povedala generálna tajomníčka Amnesty International Agnès Callamard.

“Tieto odhalenia rozvracajú akékoľvek tvrdenia NSO, že takéto útoky sú zriedkavé a majú za následok nečestné používanie ich technológie. Hoci spoločnosť tvrdí, že jej spyware sa používa iba na legitímne vyšetrovanie trestných činov a terorizmu, je jasné, že jej technológia uľahčuje systémové zneužívanie. obraz legitimity a zároveň profitovať z rozsiahleho porušovania ľudských práv,“ dodal Callamard.

NSO Group je výrobcom kybernetickej sledovacej zbrane s názvom „Pegasus“, ktorá, keď je tajne nainštalovaná na zariadeniach iPhone a Android obetí, umožňuje útočníkovi získavať e-maily, SMS správy, médiá, kalendáre, hovory a kontaktné informácie. ako aj obsah chatu z aplikácií na odosielanie správ, ako sú WhatsApp, Telegram a Signal, a tajne aktivujte mikrofón a kameru telefónu.

Nástroj, ktorý predáva dodávateľ dohľadu na celom svete, sa zvyčajne inštaluje buď využitím predtým neznámych bezpečnostných zraniteľností v bežných aplikáciách, alebo oklamaním potenciálneho cieľa, aby klikol na škodlivý odkaz. NSO Group sa nazýva „svetovým lídrom v presných riešeniach kybernetického spravodajstva pre výhradné použitie preverených a schválených, štátom spravovaných spravodajských služieb a orgánov činných v trestnom konaní“.

Zoznam telefónnych čísel, hoci neobsahuje mená, údajne obsahuje stovky obchodných manažérov, náboženských osobností, akademikov, zamestnancov mimovládnych organizácií, odborových úradníkov a vládnych úradníkov, pričom vyšetrovanie odhalilo klientov skupiny NSO v najmenej 11 krajinách vrátane Azerbajdžan, Bahrajn, Maďarsko, India, Kazachstan, Mexiko, Maroko, Rwanda, Saudská Arábia, Togo a Spojené arabské emiráty

Vyšetrovanie doteraz identifikovalo 180 novinárov a viac ako 600 politikov a vládnych úradníkov vo viac ako 50 krajinách, aj keď časový plán útokov sa rozprestieral na sedemročné obdobie od roku 2014 až do júla 2021. Rwanda, Maroko, India a Maďarsko popreli, že by použili Pegasus na hacknutie telefónov osôb uvedených v zozname.

Forenzná analýza 67 mobilných zariadení, čo je znepokojujúce, ukázala, že prieniky zahŕňali pokračujúce používanie takzvaných „zero-click“ exploitov – ktoré nevyžadujú žiadnu interakciu zo strany cieľa – siahajúce až do mája 2018. V jednom prípade zdôraznené od Amnesty International sa predpokladá, že kompromis využil niekoľko nultých dní v iMessage na útok na plne opravený iPhone 12 so systémom iOS 14.6 v júli 2021.

“Toto všetko naznačuje, že NSO Group môže preniknúť do najnovších telefónov iPhone,” uviedol Bill Marczak z Citizen Lab v sérii tweetov. „Aj to naznačuje Apple má VEĽKÝ blikajúci červený problém s piatimi poplachmi so zabezpečením iMessage, ktorý ich BlastDoor Framework (zavedený v iOS 14, aby sťažilo využívanie nulových kliknutí) nerieši.”

Z testovaných smartphones23 zariadení bolo úspešne infikovaných Pegasom a 15 vykazovalo známky pokusu o prienik, uviedol Washington Post v podrobnej správe.

„Príbehy z budúceho týždňa o globálnom hackovaní telefónov identických s tým vo vašom vrecku zo strany ziskových spoločností jasne ukazujú, že kontroly exportu zlyhali ako prostriedok na reguláciu tohto odvetvia,“ napísal na Twitteri americký whistleblower Edward Snowden. “Iba komplexné moratórium na predaj môže odstrániť motív zisku.”

Toto nie je ani zďaleka prvý prípad, kedy bol špionážny softvér skupiny NSO Group použitý na zacielenie na aktivistov za ľudské práva a novinárov. V októbri 2019 FacebookSpoločnosť WhatsApp odhalila, že najmenej dva tucty akademikov, právnikov, aktivistov Dalitov a novinárov v Indii boli terčom nezákonného sledovania tým, že využili vtedy neopravenú zraniteľnosť v službe odosielania správ.

WhatsApp odvtedy zažaloval spoločnosť na súd v USA s odvolaním sa na dôkazy, že „útočníci používali servery a internetové hostingové služby, ktoré boli predtým spojené s NSO“.

Čo sa týka izraelskej spoločnosti, otvorene spochybnila tieto obvinenia a uviedla, že je „plná nesprávnych predpokladov a nepotvrdených teórií, ktoré vyvolávajú vážne pochybnosti o spoľahlivosti a záujmoch zdrojov“, pričom zdôraznila, že ide o „misiu zachraňujúcu život“ rozbiť pedofíliu, sexuálne a drogové krúžky, lokalizovať nezvestné a unesené deti, lokalizovať tých, ktorí prežili uväznení pod zrútenými budovami, a chrániť vzdušný priestor pred rušivým prienikom nebezpečných dronov.“

“Po preverení ich tvrdení rozhodne popierame nepravdivé tvrdenia uvedené v ich správe,” dodala spoločnosť. “Ich zdroje im poskytli informácie, ktoré nemajú žiadny faktický základ, o čom svedčí chýbajúca podporná dokumentácia k mnohým ich tvrdeniam. V skutočnosti sú tieto obvinenia také poburujúce a vzdialené od reality, že NSO zvažuje žalobu za ohováranie.”

Najnovší vývoj prichádza aj niekoľko dní po tom, čo bola iná izraelská spoločnosť s názvom Candiru označená za komerčného predajcu spywaru, ktorý stojí za zneužitím množstva chýb zero-day v prehliadačoch Google Chrome a Microsoft. Windows ako súčasť série „presných útokov“ na hacknutie viac ako 100 novinárov, akademikov, aktivistov a politických disidentov na celom svete.

Aktualizácia: Amazon v pondelok uviedla, že prerušila webhostingovú infraštruktúru a účty prepojené s izraelským dodávateľom dohľadu NSO Group po forenznom vyšetrovaní útokov, ktoré určilo, že telefón infikovaný malvérom Pegasus od NSO poslal informácie „do služby Amazon CloudFront, čo naznačuje, že NSO Group v posledných mesiacoch prešla na používanie služieb AWS.”

V súvisiacom vývoji Amnesty International zverejnila súpravu Mobile Verification Toolkit (MVT), ktorá pomáha jednotlivcom skenovať ich zariadenia iPhone a Android, aby sa zistilo, že došlo k ohrozeniu. Apple, zo svojej strany, spustila aktualizáciu pre iOS, ale zatiaľ nezverejnila bezpečnostné detaily, ktoré by mohli naznačovať, či opravila exploity identifikované Amnesty International.

“Útoky, ako sú tie opísané, sú vysoko sofistikované, ich vývoj stojí milióny dolárov, často majú krátku trvanlivosť a používajú sa na zacielenie na konkrétnych jednotlivcov,” AppleUviedol to vo vyhlásení šéf bezpečnostného inžinierstva a architektúry Ivan Kristic. „Aj keď to znamená, že nie sú hrozbou pre drvivú väčšinu našich používateľov, naďalej neúnavne pracujeme na obrane všetkých našich zákazníkov a neustále pridávame nové ochrany pre ich zariadenia a dáta.“