Od kilkunastu dni media trąbią o „najpotężniejszym narzędziu masowej inwigilacji”, które według dziennikarzy „Czarno na Białym” zostało zakupione przez CBA. Tymczasem wicepremier Jacek Sasin w wywiadzie dla magazynu „Polska i świat” stwierdził: „Jak ktoś nie ma nic do ukrycia, to się nie ma czego obawiać”. Czy rzeczywiście? Wyjaśniamy, jak działa Pegasus i dlaczego jest tak niebezpieczny.
Gwoli przypomnienia: złośliwe oprogramowanie, o którym ostatnio pewnie wiele słyszeliście, zostało utworzone przez NSO Group, izraelską firmę zajmującą się cyberbezpieczeństwem, założoną w 2010 r.
Pegasus jest oprogramowaniem szpiegującym, które może zhakować dowolne urządzenie z systemem iOS lub Android i wykraść z niego dane takie jak: wiadomości tekstowe, wiadomości e-mail, dzienniki kluczy, audio i informacje z zainstalowanych aplikacji (m.in. Facebook, Instagram, WhatsApp). System może także nagrywać rozmowy i wideo oraz robić zdjęcia z aparatu urządzenia.
Jak działa Pegasus i co robi?
Atak Pegasusa rozpoczyna się od prostego schematu phishingowego: atakujący identyfikuje cel, a następnie wysyła na urządzenie adres URL szkodliwej witryny – może to zrobić m.in. za pośrednictwem poczty e-mail, mediów społecznościowych czy wiadomości tekstowej.
W przypadku urządzeń z systemem iOS, gdy użytkownik kliknie łącze, złośliwe oprogramowanie potajemnie wykonuje trzy ataki typu zero-day na urządzeniu ofiary i przeprowadza tzw. zdalny jailbreak, aby można było zainstalować program szpiegujący.
Jedynym sygnałem dla użytkownika, że wydarzyło się coś niedobrego, jest zamknięcie przeglądarki tuż po kliknięciu w niebezpieczne łącze. Nic poza tym nie wskazuje na to, że na telefonie zostały uruchomione nowe procesy.
Po zainstalowaniu Pegasus zaczyna kontaktować się z serwerami operatora, aby odbierać i wykonywać polecenia. Zawiera złośliwy kod i uruchamia procesy, które śledzą to, co użytkownik robi na urządzeniu. Poza tym gromadzi dane i informuje o aktywności użytkownika smartfonu. Może udostępniać połączenia, wiadomości e-mail, wiadomości i dzienniki z aplikacji takich jak Facebook, Facetime, Gmail, WhatsApp, Tango, Viber i Skype.
Jak czytamy na stronie plblog.kaspersky.com, „Pegasus dla Androida nie wykorzystywał luk dnia zerowego, zamiast tego używał dobrze znanej metody uzyskiwania uprawnień administratora, zwanej Framaroot. (…) Gdy wersja dla platformy iOS nie mogła zdjąć zabezpieczeń na urządzeniu, cały atak był uznawany za nieskuteczny. Tymczasem w przypadku wersji dla Androida nawet gdy szkodliwy program nie uzyskał wymaganego dostępu na poziomie administratora w celu zainstalowania programu do inwigilacji, bezpośrednio prosił użytkownika o nadanie uprawnień, których potrzebuje do wydobycia przynajmniej niektórych danych”.
Według firmy Google zaatakowanych zostało kilkadziesiąt urządzeń z systemem Android, lecz biorąc pod uwagę to, że mowa o ukierunkowanym cyberataku szpiegowskim, to wciąż niepokojące dane.
Kto używa Pegasusa?
„Można raczej wykluczyć używanie Pegasusa przez zwykłych przestępców. Wynika to z dość prostego faktu – to potężne narządzenie, którego izraelskie NSO Group nie sprzedaje byle komu. Firma twierdzi, że na liście jej klientów znajdują się wyłącznie państwa” – podaje itreseller.com.pl. I dalej: „Tyle, że izraelska firma twierdzi także, że w trojana wbudowano ograniczenie uniemożliwiające mu pracę na terenie USA, a Citizen Lab w 2018 roku ujawniło w swoim raporcie ofiary na terenie Stanów Zjednoczonych”.
W tym kontekście doniesienia dziennikarzy z programu „Czarno na białym” TVN24 o tym, że Centralne Biuro Antykorupcyjne weszło w posiadanie Pegasusa, mogą mrozić krew w żyłach (choć w oświadczeniu wydanym 4 września 2019 r. CBA twierdzi: „nie zakupiliśmy żadnego systemu masowej inwigilacji Polaków”).
Te kroki mogą cię uchronić
Czy znaczy to, że możesz odetchnąć? Nie do końca. Samo istnienie Pegasusa uświadamia, że szkodliwe programy zarówno na system Android, jak i iOS weszły na naprawdę wysoki poziom zaawansowania. W cyberprzestrzeni bezustannie krąży wiele poważnych zagrożeń. Oto kilka prostych kroków, które mogą cię uchronić przed kłopotami:
-
Pamiętaj o aktualizowaniu swojego smartfonu, nigdy z tym nie zwlekaj (nie zapominaj zwłaszcza o łatach bezpieczeństwa);
-
Nie klikaj w linki, które dostajesz z nieznanych źródeł, a już na pewno nigdy nie rób tego automatycznie. Chwila zastanowienia może cię ustrzec przed potencjalnym phishingiem i wszelkiego atakami ukierunkowanymi.
-
Zastanów się kilka, a nawet kilkanaście razy, zanim zainstalujesz na swoim smartfonie aplikację WhatsApp. Jak donosił „Financial Times”, komunikator WhatsApp jest furtką dla Pegasusa — spyware może zostać zainstalowany na twoim telefonie za pośrednictwem jednego połączenia, nawet jeśli go nie odbierzesz! Jednocześnie usuwa historię połączeń z dziennika WhatsApp, co oznacza, że oprogramowanie szpiegujące jest niemal niewykrywalne.
-
Na telefonie zainstaluj sprawdzony program zabezpieczający, np. Usecrypt Messenger. Dlaczego właśnie ten?
Porządne zabezpieczenie: Usecrypt Messenger
Usecrypt Messenger to jedyny komunikator, który sprawdza, czy Twój telefon został zhakowany. Aplikacja posiada funkcję sprawdzania telefonu, czy ten jest podatny na ataki. Przede wszystkim komunikator domyślnie nie pozwala robić szkodliwemu oprogramowaniu zrzutu ekranu, sprawdza, czy zostały przeprowadzone takie procesy jak jailbreak dla iOS oraz root dla Androida.
Poza tym (co w kontekście programów szpiegujących jest bardzo istotne) komunikator domyślnie nie pozwala robić szkodliwemu oprogramowaniu zrzutów ekranu. Atakujący, który będzie chciał podejrzeć, co robisz na telefonie, zobaczy jedynie czarny ekran.
UseCrypt dzięki domyślnym zabezpieczeniom systemów mobilnych nie zezwala na dostęp do mikrofonu, kamery i głośnika innym aplikacjom podczas korzystania z komunikatora. To jedyna aplikacja do bezpiecznej komunikacji, która określa stan zabezpieczeń urządzenia i na tej podstawie podejmuje decyzje, czy może być ono wykorzystywane do nawiązywania połączeń, prowadzenia konwersacji, wysyłania plików. W przypadku wykrycia, że urządzenie jest podatne na atak, użytkownik otrzyma komunikat informujący o podwyższonym ryzyku korzystania z aplikacji. W przypadku wykrycia podejrzanego oprogramowania UseCrypt Messenger się nie uruchomi. W ten sposób chroni cię przed ryzykiem przechwycenia twoich rozmów, czatów i zdjęć przez osoby trzecie.
AJ
Współpraca: Adam Goliszek, iMe