12/04/2017

Pegasus: program szpiegujący dla platformy iOS i Android

Informacje Projekt specjalny Zagrożenia

Użytkownicy iPhone’ów i iPadów zazwyczaj twierdzą, że są całkowicie bezpieczni. Mówią, że nie ma szkodliwych programów dla platformy iOS. Sama zaś firma Apple niewiele robi, aby zmienić to wrażenie, nie wpuszczając do swojego sklepu App Store programów antywirusowych — rzekomo nie są one potrzebne.

Słowem kluczowym jest tutaj rzekomo. Wiele razy wykryto już na wolności szkodliwy program, który atakował użytkowników systemu iOS, a w sierpniu 2016 roku badacze poinformowali o wykryciu Pegasusa, czyli programu szpiegującego, który potrafi zainfekować każdego iPada i iPhone’a, a później gromadzić dane o ofierze i śledzić ją. Po tym odkryciu cały świat cyberbezpieczeństwa zadrżał z wrażenia.

Podczas naszego wydarzenia Security Analyst Summit badacze z firmy Lookout poinformowali o tym, że Pegasus istnieje nie tylko dla systemu iOS, ale także dla Androida. Wersja na Androida nieco różni się od swojej poprzedniczki. Sprawdźmy, co wiemy o tym zagrożeniu.

Pegasus: początek

Pegasus wykryto dzięki Ahmedowi Mansoorowi, aktywiście walczącemu o prawa człowieka w Zjednoczonych Emiratach Arabskich, który był jedną z pierwszych ofiar. Atak wykorzystywał phishing ukierunkowany: mężczyzna ten otrzymał kilka wiadomości SMS, które zawierały wg niego szkodliwe odnośniki, dlatego wysłał te wiadomości do ekspertów z Citizen Lab, którzy z kolei zwrócili się o pomoc do kolejnej firmy, Lookout.

Mansoor miał rację. Gdyby kliknął otrzymane łącza, jego iPhone mógłby zostać zainfekowany szkodliwym programem dla platformy iOS. A dokładniej rzecz ujmując: szkodliwym programem przeznaczonym dla systemu, wa którym nie przeprowadzono jailbreaku. Program został nazwany Pegasus, a badacze z firmy Lookout określili to wydarzenie jako najbardziej wyszukany atak na użytkowników, jaki kiedykolwiek widzieli.

Za twórców Pegasusa uznano NSO Group, firmę z Izraela, której chlebem powszednim jest tworzenie programów szpiegujących. Oznacza to, że program jest komercyjny — jest sprzedawany każdemu, kto zechce za niego zapłacić. Pegasus wykorzystywał trzy nieznane wcześniej luki dnia zerowego w systemie iOS, które umożliwiły potajemne zdjęcie zabezpieczeń z urządzenia i zainstalowanie programu do śledzenia aktywności. Inna firma zajmująca się cyberbezpieczeństwem, Zerodium, zaoferowała 1 milion dolarów za lukę dnia zerowego dla platformy iOS — można zatem przypuszczać, że utworzenie Pegasusa kosztowało niemało.

Mówiąc o szpiegowaniu, mamy na myśli inwigilację totalną. Pegasus to szkodliwy program o strukturze modułowej. Po przeskanowaniu wybranego urządzenia instaluje wymagane moduły pozwalające na odczytywanie wiadomości i poczty użytkowników, podsłuchiwanie połączeń, przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, umożliwiające dostęp do historii przeglądarki, kontaktów itp. Biorąc to pod uwagę, program ten jest w stanie szpiegować każdy aspekt czyjegoś życia.

Warto także wspomnieć, że Pegasus może nawet podsłuchiwać szyfrowaną transmisję dźwięku oraz odczytywać zaszyfrowane wiadomości — dzięki możliwości rejestrowania naciśnięć klawiszy i nagrywaniu dźwięku kradł wiadomości przed ich zaszyfrowaniem (a dla wiadomości przychodzących po odszyfrowaniu).

Kolejnym interesującym faktem w sprawie Pegasusa jest to, że usilnie próbuje on ukryć swoją obecność. Szkodliwy program dokonuje autodestrukcji, jeśli nie uda mu się skontaktować z serwerem poleceń (C&C) przez ponad 60 dni lub jeśli wykryje, że został zainstalowany na niewłaściwym urządzeniu z niewłaściwą kartą SIM (był to atak ukierunkowany; klienci grupy NSO nie byli przypadkowi).

Rodzina skrzydlatego konia

Autorzy Pegasusa prawdopodobnie myśleli, że zbyt wiele zainwestowali w swój projekt, aby był on ograniczony tylko do jednej platformy. Wkrótce po wykryciu jego pierwszej wersji dostrzeżono drugą, a podczas konferencji Security Analyst Summit 2017 badacze z firmy Lookout poinformowali o Pegasusie dla Androida, znanym także pod nazwą Chrysaor — tak nazwała ją firma Google. Wersja dla systemu Android jest stosunkowo podobna do swojej siostry dla iOS-a, jeśli chodzi o możliwości, różnią je jednak techniki przedostawania się urządzenia.

Pegasus dla Androida nie wykorzystywał luk dnia zerowego, zamiast tego używał dobrze znanej metody uzyskiwania uprawnień administratora, zwanej Framaroot. Inna różnica polegała na tym, że gdy wersja dla platformy iOS nie mogła zdjąć zabezpieczeń na urządzeniu, cały atak był uznawany za nieskuteczny. Tymczasem w przypadku wersji dla Androida nawet gdy szkodliwy program nie uzyskał wymaganego dostępu na poziomie administratora w celu zainstalowania programu do inwigilacji, bezpośrednio prosił użytkownika o nadanie uprawnień, których potrzebuje do wydobycia przynajmniej niektórych danych.

Według firmy Google zainfekowanych zostało zaledwie kilkadziesiąt urządzeń z systemem Android, lecz w przypadku ukierunkowanego ataku cyberszpiegowskiego nie jest to wcale mało. Największą liczbę instalacji Pegasusa dla Androida zanotowano w Izraelu, na drugim miejscu znalazła się Gruzja, a na trzecim Meksyk. Pegasus dla Androida wykryto także w Turcji, Kenii, Nigerii, Zjednoczonych Emiratach Arabskich i innych krajach.

Prawdopodobnie nic Ci nie grozi, ale…

Po opublikowaniu informacji o nowej wersji Pegasusa dla systemu iOS firma Apple szybko zareagowała, udostępniając łatę bezpieczeństwa (9.3.5) eliminującą wszystkie trzy wspomniane luki.

Z kolei firma Google, która pomagała w analizowaniu tego przypadku dla wersji Android, wydała swoją łatę i bezpośrednio skontaktowała się z potencjalnymi ofiarami programu Pegasus. Jeśli Twoje gadżety z systemem iOS są zaktualizowane do najnowszej wersji i nie otrzymałeś wiadomości z ostrzeżeniem od Google’a, prawdopodobnie nie masz się czym martwić i sprawa Pegasusa Cię nie dotyczy.

Jednak nie oznacza to, że nie istnieje inny nieznany jeszcze program szpiegujący dla obu platform — iOS i Android. A samo istnienie Pegasusa udowadnia, że szkodliwe programy dla iOS-a znacznie wykraczają poza fatalnie napisane programy adware czy strony żądające okupu, które całkiem łatwo jest zablokować. Na wolności istnieje wiele poważnych zagrożeń. Oto trzy proste kroki, dzięki którym nie nabawisz się kłopotów:

  1. Aktualizuj swoje urządzenia na bieżąco; nie opóźniaj tego procesu, a zwłaszcza jeśli chodzi o łaty bezpieczeństwa.
  2. Na każdym urządzeniu zainstaluj porządny program zabezpieczający. Nie ma takiego dla urządzeń z systemem iOS, ale mamy nadzieję, że dzięki Pegasusowi firma Apple przemyśli swoją strategię.
  3. Nie daj się nabrać na phishing, uważaj na ataki ukierunkowane — bądź ostrożny jak Ahmed Mansoor. Jeśli dostaniesz link z nieznanego Ci źródła, nie klikaj go automatycznie. A najlepiej nie klikaj go wcale.