| 18 апр. 2022 г. — 7:02 PT
Шпионское ПО Pegasus от NSO косвенно нацеливалось на iPhone в США, несмотря на запрет компании использовать SIM-карты американских операторов для заражения. Также были заражены устройства, принадлежащие каталонским политикам и другим лицам, причем ответственность предположительно лежит на испанском правительстве.
Кроме того, было обнаружено, что устройство, подключенное к сети в офисе премьер-министра Великобритании Бориса Джонсона на Даунинг-стрит, 10, также было заражено…
Контекст
NSO Group производит шпионское ПО Pegasus, которое продается правительственным и правоохранительным органам. Компания приобретает так называемые уязвимости нулевого дня vulnerabilities (неизвестные Apple) у хакеров, и ее программное обеспечение, как утверждается, способно осуществлять эксплойты нулевого клика — когда от цели не требуется никакого взаимодействия с пользователем.
В частности, сообщается, что простое получение определенного iMessage — без его открытия или какого-либо взаимодействия — может привести к компрометации iPhone и утечке личных данных.
NSO налагает некоторые условия на покупателей Pegasus, одно из которых заключается в том, что его никогда нельзя использовать для взлома телефонов с американскими номерами. Вероятно, это делается для того, чтобы избежать решительной реакции со стороны американского правительства и его разведывательных служб. Pegasus уже был объявлен риском для национальной безопасности, и его использование запрещено в США.
Pegasus косвенно нацеливался на iPhone в США
Citizen Lab, инициатива Университета Торонто в Канаде, заявляет, что обнаружила доказательства того, что мощное шпионское ПО Pegasus использовалось для косвенного нацеливания на телефоны в США. Используемый метод известен как «косвенное нацеливание».
Нацеливание на друзей, членов семьи и близких соратников является обычной практикой для некоторых операций по взлому. Этот метод позволяет злоумышленнику собирать информацию о главной цели, не обязательно сохраняя доступ к устройству этого человека. В некоторых случаях основная цель также может быть заражена, но в других это может быть невозможно по различным причинам.
Мы наблюдали несколько случаев реляционного или «косвенного» нацеливания: нацеливались и заражались Pegasus супруги, братья и сестры, родители, сотрудники или близкие соратники основных целей. В некоторых случаях эти лица также могли быть целью, но судебно-медицинская информация была недоступна. В других случаях мы не нашли доказательств того, что основная цель была заражена Pegasus, но обнаружили нацеливание на ее близких.
Например, одно лицо, ставшее целью атаки Candiru, имело в своем устройстве SIM-карту США и проживало в США. Нам не удалось найти доказательств того, что это лицо было заражено Pegasus. Это соответствует сообщениям о том, что большинству клиентов Pegasus не разрешается нацеливаться на номера США. Однако оба родителя этой цели используют телефоны с испанскими номерами и были целью в день, когда основной объект атаки вернулся в Испанию из США. Ни один из родителей не является политически активным и вряд ли был целью из-за того, кто они такие или что они делают.
Другими словами, текстовые и другие сообщения, отправленные с телефона в США, могли быть перехвачены путем взлома телефонов зарубежных родственников, друзей и других контактов цели.
Офис британского премьер-министра успешно стал целью атаки
В статье, которая появится в предстоящем выпуске журнала The New Yorker, сообщается, что Pegasus также успешно нацелился на офис британского премьер-министра на Даунинг-стрит, 10.
Pegasus был использован для заражения устройства, подключенного к сети на Даунинг-стрит, 10, офисе премьер-министра Великобритании Бориса Джонсона. Представитель правительства подтвердил мне, что сеть была скомпрометирована, не уточняя используемое шпионское ПО.
«Когда мы обнаружили случай на Даунинг-стрит, 10, у меня отвисла челюсть», — вспоминает Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab. «Мы подозреваем, что это включало извлечение данных», — добавил Билл Марчак, еще один старший научный сотрудник.
Представитель сообщил мне, что Национальный центр кибербезопасности, подразделение британской разведки, протестировало несколько телефонов на Даунинг-стрит, включая телефон Джонсона. Провести тщательный поиск телефонов было сложно — «Это чертовски трудная работа», — сказал представитель — и агентству не удалось обнаружить зараженное устройство. Характер любых данных, которые могли быть извлечены, так и не был установлен.
Масштабная атака Pegasus против каталонцев
Citizen Lab также обнаружила, что устройства по меньшей мере 63 человек в Каталонии подверглись атакам Pegasus, причем испанское правительство является главным подозреваемым.
Взлом охватывает широкий спектр гражданского общества в Каталонии, от академиков и активистов до неправительственных организаций (НПО). Правительство и избранные представители Каталонии также подверглись масштабным атакам, начиная с высших эшелонов власти Каталонии и заканчивая членами Европейского парламента, законодателями, их сотрудниками и членами семей. Мы не можем однозначно отнести нацеливание на конкретное правительство, но обширные косвенные доказательства указывают на испанское правительство […]
С согласия целей мы получили судебно-медицинские артефакты с их устройств, которые мы проанализировали на наличие следов заражения Pegasus. Наш судебно-медицинский анализ позволяет нам с высокой степенью уверенности заключить, что из 63 человек, ставших целью атаки Pegasus, по меньшей мере 51 человек был заражен.
На прошлой неделе сообщалось, что Apple предупредила старших чиновников ЕС о том, что их iPhone были взломаны Pegasus. Компания из Купертино проактивно ищет признаки компрометации iPhone шпионским ПО Pegasus и отправляет оповещения жертвам.
Обратите внимание, что нет никаких оснований считать, что iPhone подвергаются атакам чаще, чем устройства Android: iOS облегчает обнаружение заражения устройства, поэтому на iPhone приходится большинство подтвержденных случаев, но количество зараженных телефонов Android, вероятно, выше.