Pegasus: A félelmetes kiberfegyver, amely ellen nincs védelem

A bajba jutott vállalat technikai sebezhetőségeket kihasználó eszközei “elég hihetetlenek” és “elég ijesztőek” – mondják a biztonsági elemzők; a felhasználók “passzívak, nem kell kattintaniuk semmire, nincs kontrolljuk” — írja a Times of Israel.

Az NSO “okos” kémprogram-technológiája olyan kiberfegyvert kínál, “amely ellen nincs védelem”, és “mérnöki szempontból nagyszerű munkát” jelent – mondták a héten kiberbiztonsági szakértők és kutatók.

Az izraeli vállalat zászlóshajójának számító Pegasus kémprogramot a piacon kapható egyik legerősebb kibermegfigyelési eszköznek tartják, amely lehetővé teszi a kezelők számára, hogy gyakorlatilag teljes mértékben átvegyék az ellenőrzést a célpont telefonja felett, letöltsék az összes adatot a készülékről, vagy a felhasználó tudta nélkül aktiválják annak kameráját vagy mikrofonját. A vállalat az elmúlt hetekben ismét a címlapokra került, mivel egyre csak gyűlnek a technológia hatókörével és következményeivel kapcsolatos leleplezések.

Ian Beer és Samuel Groß kiberbiztonsági kutatók a kémprogram működésének mélyreható technikai vizsgálatában feltárták, hogy

az NSO olyan képességeket fejlesztett ki, amelyek “az egyik legfejlettebb, technikailag kifinomult behatoló eszközöket használják, amit valaha láttunk”, és korábban azt gondolták volna, hogy ezek “csak egy maroknyi nemzetállam számára hozzáférhetőek”.

Beer és Groß a Google Project Zero kiberbiztonsági szakértői, a vállalat biztonsági elemzőkből álló csapatának, amelynek feladata a nulladik napi sebezhetőségek, azaz a szoftverek potenciális betörési pontjainak felkutatása, amelyek a fejlesztők számára ismeretlenek lehetnek, és amelyekre még nem dolgoztak ki javítófoltot. Ezeket a biztonsági hiányosságokat a hackerek kibertámadás során kihasználhatják.

Elemzésük kifejezetten az NSO iPhone-ok elleni képességeire terjedt ki, amiért az Apple pert indított a herclija-i székhelyű vállalat ellen. Az NSO azonban hasonló, nulla kattintásos képességekkel rendelkezik, amelyek az androidos eszközöket is célba vehetik – mondták a kutatók.

Beer és Groß szerint

az NSO olyan “nulla kattintásos kihasználási technológiát” kínált az ügyfeleknek, ahol a célpontok, még a technikailag nagyon is képzettek is, egyáltalán nem tudnak róla, hogy célpontok. Ez lényegében egy olyan “kiberfegyver, amely ellen nincs védelem”

– tették hozzá.

“A zéró-kattintásos forgatókönyvben nincs szükség felhasználói interakcióra, ami azt jelenti, hogy a támadónak nem kell adathalász üzeneteket küldenie; a behatoló eszköz egyszerűen csendben működik a háttérben”

– írta Beer és Groß.

A behatolás abban a pillanatban kezdődik, amikor a célpont megkapja az sms-t, akár látja, akár nem, a kihasználás Beer és Groß szerint “elég hihetetlen, ugyanakkor elég ijesztő”.

A nulla kattintásos behatoló eszköz esetében “a felhasználó teljesen passzív, nem kell kattintania semmire, nincs kontrollja”

– mondta Gili Moller, a svájci központú Acronis kiberbiztonsági multinacionális cég izraeli vezérigazgatója. A kibervédelmi vállalat nemrég nyitott innovációs központot Izraelben, ahol a helyi ipar idén a globális befektetések három vezető ágazata között volt.

Moller a héten a The Times of Israel című izraeli lapnak elmondta, hogy a behatoló eszköz, ahogyan az NSO megtervezte, “mérnöki szempontból nagyszerű munka” volt. A hiba azzal függött össze, hogy az Apple hogyan elemzi (vagy dolgozza fel) a GIF-képeket – a közösségi médiában és a mémkultúrában népszerű kis animált képeket -, amelyeket az iMessage-en, az iPhone-ok natív üzenetküldő platformján keresztül küldtek és fogadtak.

Kivéve, hogy

az NSO egy “hamis GIF” behatoló eszközt használt, amely egy PDF-et GIF-fájlnak álcázott, és olyan kódot injektált bele, amely a célpont telefonján végrehajtotta a betörést.

Az Apple fejlesztői alapvetően egy olyan kódot használtak fel újra a PDF-ek elemzésére, amelyet először a Xerox írt, és ez a gyakorlat nagyon elterjedt – mondta Moller. Az NSO kémprogramja képes volt “elrejteni egy kódot a pixel szinten, így amikor a szöveges üzenet beérkezik, egy kód aktiválódik, és bizonyos értelemben vége a játéknak”.

“Ez egy kicsit olyan, mint a sci-fi. A célpont nem tett semmit, csak egy üzenetet kapott, és a támadó teljes irányítást szerez”

– magyarázta Moller.

Az ilyen sebezhetőségek megtalálása nagyon nehéz, és hosszú, kemény munkával jár – tette hozzá.

Gabriel Avner biztonsági tanácsadó szerint a behatoló eszköz egy “okos, jól kivitelezett támadás” volt, amely “aláássa, hogy az emberek milyen óvintézkedéseket tehetnek”.

“A biztonsági szakértők már régóta azt mondják, hogy ne kattints gyanús linkekre, még olyan emberektől sem, akiket esetleg ismersz, de most jött az NSO” a nulladik kattintás kihasználásával

– mondta Avner a The Times of Israel című izraeli lapnak.

Az izraeli cég korábban egykattintásos behatoló eszközöket használt, ahol a célpontoknak aktívan rá kellett kattintaniuk egy linkre egy adathalász-támadás részeként, hogy aktiválják a Pegasus erőteljes kémprogramját és vezérlő funkcióit a telefonon.

John Scott-Railton, a Citizen Lab, egy torontói kiberbiztonsági megfigyelő szervezet vezető kutatója a héten a Twitteren azt írta, hogy a Google elemzése megmutatta, mennyire “rendkívül kifinomult” és “veszélyes” a kémprogram.

“Ilyen képességeket korábban csak a legmagasabb szintű kiberhatalmaknál lehetett látni. A hideg futkos a hátunkon”

– írta.

A Pegasus kémszoftver fejlesztőcége is amerikai tiltólistára került

Online kémkedés miatt két izraeli, egy orosz és egy szingapúri vállalatot helyezett tiltólistára az amerikai kereskedelmi minisztérium.

Támadások kereszttüzében

A Citizen Lab évek óta folytat vizsgálatokat az NSO és más kibermegfigyelő cégek ellen, és világszerte nyomon követi egyes technológiáikat.

Idén nyáron a Citizen Lab és az Amnesty International egy alapos vizsgálatot mutatott be, amelyből kiderült, hogy a cég szoftverét számos, az emberi jogok terén rosszul szereplő ország használta arra, hogy feltörje több ezer emberi jogi aktivista, újságíró és politikus telefonját Szaúd-Arábiától Mexikóig.

Az NSO-t nemzetközi kritikák özöne érte a vádak miatt. Az ügy diplomáciai aggodalomra adott okot számos izraeli szövetségesnek, például Franciaországnak, akik válaszokat követeltek, miután a jelentésekből kiderült, hogy a szoftvert országukban is használták.

November elején

az amerikai kereskedelmi minisztérium feketelistára tette az NSO-t, korlátozva a cég amerikai vállalatokkal való kapcsolatait, mivel azt állították, hogy “lehetővé tette külföldi kormányok számára, hogy nemzetek közötti elnyomást folytassanak”.

Az USA egy másik izraeli céget, a Candirut is feketelistára tette.

A lépés állítólag szerepet játszott abban, hogy Izrael végül arra kényszerült, hogy drasztikusan csökkentse azon országok számát, amelyeknek a helyi vállalatok kibertechnológiákat adhatnak el, és új korlátozásokat vezessen be a kiberhadviselés eszközeinek exportjára. Az izraeli védelmi minisztériumnak kell engedélyeznie a kémprogramokat gyártó cégek termékeinek külföldre történő értékesítését.

Közben a vádak folyamatosan érkeztek. A Washington Post éppen ezen a héten számolt be arról, hogy az NSO Pegasus kémprogramja hónapokkal Dzsamál Hasogdzsi újságíró feleségének mobiltelefonjára került hónapokkal azelőtt, hogy 2018-ban meggyilkolták az isztambuli szaúdi konzulátuson. Ezt a fejleményt közvetlenül megelőzték azok a hírek, amelyek szerint a kémprogram lengyel ellenzéki politikusokat és egy indiai aktivistát is célba vett.

Az izraeli vállalat többször is tagadta, hogy kémprogramjait Hasogdzsi vagy a hozzá közel állók célba vételére használták volna, és ragaszkodott ahhoz, hogy termékei kizárólag arra szolgálnak, hogy segítsék az országokat a súlyos bűncselekmények és a terrorizmus elleni küzdelemben. Mivel azonban az ügyfélországok némelyike tágan értelmezi ezeket a bűncselekményeket, úgy tűnik, hogy a szoftvert a személyek széles köre ellen használták.

Az ebből eredő következmények nagymértékben érintették a vállalatot, amelyet az 500 millió dolláros adósság nemteljesítése fenyegetett, és a hitelminősítése drámai csapást szenvedett, ami a vállalat fizetőképességével kapcsolatos kérdésekhez vezetett.

A Bloomberg a múlt héten a tárgyalásokban részt vevő tisztviselőkre hivatkozva arról számolt be, hogy az NSO most azt fontolgatja, hogy bezárja a Pegasus-üzletágat, és az egész vállalatot eladja egy amerikai befektetési alapnak.

Pegazussal figyelték meg a meggyilkolt szaudi újságíró feleségét is

Az NSO korábban tagadta, hogy kémszoftverét Hasogdzsi vagy felesége telefonjainak megtámadására használták volna a neves szaúdi ellenzéki újságíró meggyilkolása előtt.

Nem csak az NSO

Tim Willis, a Google Project Zero vezetője szerint

“sok olyan cég van, amely hasonló kizsákmányolási képességeket és szolgáltatásokat nyújt”, és “az egyetlen cég (NSO) elleni fellépés, bár nemes és vitát szít, nem kezeli a probléma gyökerét”.

“A tanulság itt nem az, hogy az “NSO a kivétel”. Csak arról van szó, hogy az NSO-t ezúttal elkapták, és bepillantást nyerhetünk abba, hogyan támadják az iOS/iMessage-t” – írta Willis a Twitteren, hozzátéve, hogy “folyamatosan fokozatosan meg kell nehezítenünk a támadók számára a 0-napokat”.

Moller, az Acronis munkatársa megismételte, hogy az NSO valóban nem az egyetlen cég, amely ilyen támadó kiberfelügyeleti képességekkel rendelkezik, de az NSO-nál “hólabdahatás volt”.

A Citizen Lab a múlt héten egy új vizsgálatban feltárta, hogy egy másik izraeli cég, a Cytrox is kifejlesztett egy kereskedelmi kémprogramot, amelyet nemrég egy egyiptomi disszidens iPhone-ján találtak. A Cytrox Predator szoftvere az Apple iOS operációs rendszerét célozta meg a szervezet kutatása szerint a WhatsAppon (amely a Facebook/Meta tulajdonában van) keresztül küldött, egy kattintással elérhető linkek segítségével. A Facebook 2019-ben beperelte az NSO Groupot, mert állítólag megsértette a WhatsApp üzenetküldő alkalmazást.

A nagyobb felfedezés azonban a Citizen Lab és a Facebook/Meta közös szondázása során az volt, hogy a Cytroxnak Egyiptomon kívül más országokban is vannak ügyfelei, többek között Örményországban, Görögországban, Indonéziában, Madagaszkáron, Ománban, Szaúd-Arábiában és Szerbiában.

A Meta múlt csütörtökön bejelentette, hogy hét bérmegfigyelő céggel – köztük a Cytroxszal és négy másik izraeli céggel – kapcsolatban álló fiókokat törölt, és több mint 100 országban mintegy 50 000 embert értesített, köztük újságírókat, másként gondolkodókat és egyházi személyeket, akiket ezek a cégek célba vehettek. Közölte, hogy törölt mintegy 300 Facebook- és Instagram-fiókot, amelyek a Cytroxhoz kapcsolódnak, amely a jelek szerint Észak-Macedóniából működik.

Bill Marzak, a Citizen Lab kutatója az Associated Pressnek elmondta, hogy a Cytrox malware a jelek szerint ugyanazokat a trükköket alkalmazza, mint az NSO Group Pegasus terméke – különösen az okostelefonok lehallgató eszközzé alakítását és a létfontosságú adatok kiszivattyúzását. Az egyik elfogott modul egy élő beszélgetés minden oldalát rögzíti – mondta.

A Cytrox az Intellexa nevű, megfigyelési technológiával foglalkozó cégek árnyékszövetségének része volt, amely az NSO Group konkurenciájaként jött létre. A 2019-ben egy Tal Dilian nevű volt izraeli katonatiszt és vállalkozó által alapított Intellexa olyan cégeket foglal magában, amelyek különböző országokban állítólagos visszaélések miatt kerültek összetűzésbe a hatóságokkal.

A honlapján az Intellexa úgy jellemezte magát, mint “uniós székhelyű és szabályozott, hat telephellyel és K+F-laboratóriummal Európa-szerte”, de címet nem tüntetett fel. Weboldala homályos a kínálatát illetően, bár még októberben azt állította, hogy a “titkos tömeges adatgyűjtésen” kívül olyan rendszereket is kínál, amelyek “a céleszközökhöz és hálózatokhoz való hozzáférésre” szolgálnak Wi-Fi és vezeték nélküli hálózatokon keresztül. Az Intellexa szerint eszközeit a bűnüldöző és hírszerző ügynökségek használják terroristák és bűncselekmények, köztük pénzügyi csalások ellen.

Kibervédelem

Egyéni szinten

a legtöbb embernek “nem kell aggódnia a nulla kattintásos behatoló eszközök miatt”

– mondta Avner biztonsági tanácsadó.

Csak “jobb [kiber]higiéniát kell gyakorolniuk, például az URL-címek alapos ellenőrzésével és a második kommunikációs csatornák használatával”, hogy ellenőrizzék az ismerősöktől érkező gyanúsan hangzó üzeneteket

– tette hozzá.

“A legtöbb kibertámadás megelőzhető a kétfaktoros hitelesítéssel”, vagyis a 2FA-val,

mondta Avner, egy olyan módszerrel, amely a felhasználónevet és jelszót meghaladó extra védelmi réteget ad az online fiókok biztonságához.

Ha egy biztonsági ügynökség nagyon “be akar jutni a telefonodra, akkor valószínűleg be is fog jutni”

– mondta Moller.

“Nincs olyan, hogy 100%-os védelem”.

A kibertámadások azonban nem előre meghatározott sorsúak, mondta Moller. A vállalatok és szervezetek úgy védekezhetnek, hogy olyan kiberbiztonsági szolgáltatásokat telepítenek, amelyek csökkentik a támadási felületeket, vagyis az összes lehetséges pontok számát, ahol egy illetéktelen felhasználó hozzáférhet, tesztelik a rendszereiket, és oktatják a munkatársaikat a social engineering ellen

– magyarázta Moller.

A social engineering egy olyan manipulációs technika, amelyet a kibernetikai hírszerző és kiberfelügyeleti cégek használnak arra, hogy az embereket magánjellegű vagy bizalmas információk felfedésére vagy biztonsággal kapcsolatos hibák elkövetésére csábítsák.

“Az egyének és a vállalkozások megelőzhetik a potenciálisan katasztrofális hackerek többségét”

– mondta Moller.

“Azzal, hogy tisztában vannak a kockázatokkal, és a “mélységi védekezés” megközelítést alkalmazzák. Például a megelőző intézkedések protokolljának fenntartásával, például a szoftverek rendszeres frissítésével a szoftver legújabb és legjobb verziójával, kétfaktoros hitelesítés (2fa) használatával, a jelszavak újrafelhasználásának mellőzésével stb.

A vállalkozások kiszervezhetik ezeket az összetevőket, és használhatnak javításkezelési megoldásokat (mint amilyeneket az Acronis biztosít).”

“Ezen túlmenően, betörés utáni intézkedésekként (vagy betörés gyanúja esetén) léteznek olyan szolgáltatások, amelyek lehetővé teszik a törvényszéki információk kinyerését az eszközből (például egy okostelefonból), hogy kiderüljön, feltörték-e azt”.

A magánszemélyek védelme a kormányoktól és a szabályozó hatóságoktól kellene, hogy jöjjön

– érvelt Moller.

“Ahogyan van rendőrségünk, hadseregünk, titkosszolgálatunk, ugyanúgy kell, hogy legyen kibervédelmi szolgálatunk is. A hatóságoknak felelősséget kell vállalniuk, és nagyobb felügyeletet kell gyakorolniuk a vállalatok gyakorlatát illetően”

– zárta mondandóját.

Izrael korlátozza a kiberfegyverek exportját, Magyarország nincs a listán

Az izraeli védelmi minisztérium szűkítette azon országok körét, ahová megfigyelésre és támadásra használható kiberfegyvereket adhatnak el izraeli cégek.