Nowe sposoby infekcji zero-click. Pegasus powraca i znów zagraża

W 2022 r. Pegasus był stosowany na całym świecie z wykorzystaniem trzech nowych sposobów infekcji urządzenia ofiary metodami zero-click, nie wymagającymi ze strony użytkownika żadnej interakcji – czytamy w najnowszym raporcie Citizen Lab .

To organizacja, która działa przy Uniwersytecie w Toronto i zajmuje się śledzeniem nadużyć z wykorzystaniem systemów szpiegowskich względem osób i instytucji ważnych dla demokracji na całym świecie. Badacze Citizen Lab wykryli m.in. nielegalne zastosowanie Pegasusa w Polsce przeciwko osobom powiązanym z opozycją , o czym pisaliśmy na łamach naszego serwisu w licznych tekstach .

W tym materiale z kolei tłumaczymy, jak działa ten system szpiegowski i co potrafi – należy jednak pamiętać, że Pegasus nie jest jedynym narzędziem, które pozwala na trudną do wykrycia inwigilację różnych osób np. przez reżimy państwowe.

Trzy metody

Zdaniem badaczy z Citizen Lab, w 2022 roku klienci NSO Group wykorzystujący Pegasusa do inwigilacji posługiwali się trzema sposobami pozwalającymi na infekcję zero-click. Były to:

• PWNYOURHOME – metoda pozwalająca na infekcję systemu iOS 15 i iOS 16, wykorzystywana aktywnie w październiku 2022 r., dwustopniowa, wykorzystująca na każdym z dwóch etapów inny proces działający na smartfonie. W pierwszym stadium wektorem jest aplikacja HomeKit do obsługi inteligentnych urządzeń AGD i RTV, w drugim – systemowa aplikacja do wiadomości iMessage
• FINDMYPWN – metoda wykorzystywana do infekcji urządzeń działających w oparciu o system iOS 15, której użycie określono na czerwiec 2022 r. Tu znów mamy do czynienia najpewniej z dwustopniowym procesem infekcji – pierwszy etap wykorzystuje aplikację Find My do znajdowania urządzeń Apple podpiętych do jednego konta Apple ID, a drugi – wspomnianą już aplikację iMessage
• LATENTIMAGE to metoda infekcji, która również służyła do ataków w 2022 r. i wykorzystywała – tak jak w przypadku FINDMYPWN – funkcję Find My, jednak bazując na innych aspektach technicznych podatności.

Citizen Lab pisze, że przez pewien czas przy próbach infekowania systemu iOS 16 z włączoną funkcją Lockdown Mode, o której pisaliśmy tutaj , zagrożone osoby mogły otrzymywać w czasie rzeczywistym powiadomienia i ostrzeżenia o próbach włamania na ich urządzenia.

Później jednak firma NSO Group opracowała metodę obchodzenia ostrzeżeń przed spyware i obecnie infekowanie Pegasusem z wykorzystaniem PWNYOURHOME jest możliwe bez zwrócenia uwagi ofiary nawet w przypadku aktywnej funkcji Lockdown Mode.

Poligon w Meksyku

Trzy nowe sposoby infekowania Pegasusem zostały przetestowane w Meksyku, gdzie wykorzystano je przeciwko działaczom na rzecz praw człowieka, praującym w organizacji Centro PRODH. Ich telefony zostały zainfekowane w 2022 roku Pegasusem, co potwierdzili badacze Citizen Lab.

Czas infekcji telefonów obu celów był zbieżny z ważnymi działaniami organizacji, a operator Pegasusa odpowiedzialny za ich inwigilację ewidentnie był zainteresowany szpiegowaniem osób zaangażowanych w działanie na rzecz nagłośnienia łamania praw człowieka przez wojsko w Meksyku. Jeden z działaczy inwigilowany był nie tylko w 2022 roku, ale także w 2016 i 2017 r., można zatem ocenić, że działania operatora systemu szpiegowskiego w Meksyku mają charakter stały i systemowy.

Citizen Lab poinformowało o swoich odkryciach Apple – w październiku 2022 r. i styczniu 2023 r. Organizacja zaleciła też, aby wszystkie osoby, które uważają się za możliwe cele inwigilacji Pegasusem, aktywowały na swoich iPhone'ach Lockdown Mode pozwalający na otrzymywanie ostrzeżeń o próbach infekcji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].