Spiegazione: come lo spyware Pegasus infetta un dispositivo; quali dati potrebbero essere compromessi
Progetto Pegasus: lo spyware israeliano, che si è rivelato essere stato utilizzato per prendere di mira centinaia di telefoni in India, è diventato meno dipendente dai clic. Pegasus può infettare un dispositivo senza l'impegno o la conoscenza del bersaglio.

Nel novembre 2019, un giornalista tecnologico di New York City ha fotografato un dispositivo di intercettazione esposto a Milipol, una fiera sulla sicurezza interna a Parigi. L'espositore, NSO Group, ha posizionato l'hardware sul retro di un furgone, forse suggerendo la comodità della portabilità, e ha affermato che non avrebbe funzionato sui numeri di telefono statunitensi, probabilmente a causa di una restrizione autoimposta dall'azienda.
Da quando il gigante informatico israeliano è stato fondato nel 2010, quella è stata probabilmente la prima volta che una stazione ricetrasmittente portatile (BTS) prodotta da NSO è stata presentata in un rapporto dei media.
Un BTS - o 'torre cellulare canaglia' o 'IMSI Catcher' o 'stingray' - impersona torri cellulari legittime e costringe i telefoni cellulari entro un raggio a connettersi ad esso, in modo che il traffico intercettato possa essere manipolato da un utente malintenzionato. Il BTS fotografato nel 2019 era composto da carte impilate orizzontalmente, probabilmente per consentire l'intercettazione su più bande di frequenza.
L'altra opzione è sfruttare l'accesso all'operatore di telefonia mobile del bersaglio stesso. In tale scenario, un utente malintenzionato non avrebbe bisogno di alcun ripetitore di telefonia mobile canaglia, ma farebbe affidamento sulla normale infrastruttura di rete per la manipolazione.
In entrambi i casi, la capacità di lanciare attacchi di 'iniezione di rete', eseguiti in remoto senza l'impegno del bersaglio (quindi, anche chiamato zero-click ) o conoscenza —data Pegaso , il prodotto di punta di NSO Group, un vantaggio unico rispetto ai suoi concorrenti nel mercato globale dello spyware.
Pegasus è ora al centro di un progetto investigativo collaborativo globale che ha scoperto che lo spyware è stato utilizzato per prendere di mira, tra gli altri, centinaia di telefoni cellulari in India .
| Il making of di Pegasus, da startup a leader dello spy-techIn che modo Pegasus è diverso dagli altri spyware?
Pegasus aka Q Suite, commercializzato dal gruppo NSO aka Q Cyber Technologies come soluzione di intelligence informatica leader a livello mondiale che consente alle forze dell'ordine e alle agenzie di intelligence di estrarre dati in remoto e di nascosto da qualsiasi dispositivo mobile, è stato sviluppato da veterani delle agenzie di intelligence israeliane.
Fino all'inizio del 2018, i clienti di NSO Group si affidavano principalmente a SMS e messaggi WhatsApp per indurre gli obiettivi ad aprire un collegamento dannoso, che avrebbe portato all'infezione dei loro dispositivi mobili. Un opuscolo di Pegasus lo descriveva come Enhanced Social Engineering Message (ESEM). Quando si fa clic su un collegamento dannoso confezionato come ESEM, il telefono viene indirizzato a un server che controlla il sistema operativo e fornisce l'exploit remoto appropriato.
Nel suo rapporto di ottobre 2019, Amnesty International ha documentato per la prima volta l'uso di 'iniezioni di rete' che consentivano agli aggressori di installare lo spyware senza richiedere alcuna interazione da parte dell'obiettivo. Pegasus può realizzare tali installazioni a zero clic in vari modi. Un'opzione over-the-air (OTA) consiste nell'inviare un messaggio push di nascosto che fa caricare lo spyware al dispositivo di destinazione, con il target ignaro dell'installazione su cui comunque non ha alcun controllo.
Questa, si vanta una brochure di Pegasus, è l'unicità di NSO, che differenzia in modo significativo la soluzione Pegasus da qualsiasi altro spyware disponibile sul mercato.
|Undici telefoni presi di mira: della donna che ha accusato l'ex-CJI di molestie, parentiChe tipo di dispositivi sono vulnerabili?
Tutti i dispositivi, praticamente. Gli iPhone sono stati ampiamente presi di mira da Pegasus tramite l'app iMessage predefinita di Apple e il protocollo Push Notification Service (APN) su cui si basa. Lo spyware può impersonare un'applicazione scaricata su un iPhone e trasmettersi come notifiche push tramite i server di Apple.
Nell'agosto 2016, il Citizen Lab, un laboratorio interdisciplinare con sede presso l'Università di Toronto, ha segnalato l'esistenza di Pegasus alla società di sicurezza informatica Lookout e i due hanno segnalato la minaccia ad Apple. Nell'aprile 2017, Lookout e Google hanno rilasciato dettagli su una versione Android di Pegasus.
Nell'ottobre 2019, WhatsApp ha accusato il gruppo NSO di aver sfruttato una vulnerabilità nella sua funzione di videochiamata. Un utente avrebbe ricevuto quella che sembrava essere una videochiamata, ma questa non era una chiamata normale. Dopo che il telefono ha squillato, l'attaccante ha trasmesso di nascosto un codice dannoso nel tentativo di infettare il telefono della vittima con spyware. La persona non ha nemmeno dovuto rispondere alla chiamata, ha detto il capo di WhatsApp Will Cathcart.
patrimonio netto di kevin o leary
Nel dicembre 2020, un rapporto di Citizen Lab ha segnalato come gli agenti del governo abbiano utilizzato Pegasus per hackerare 37 telefoni appartenenti a giornalisti, produttori, conduttori e dirigenti di Al Jazeera e Al Araby TV con sede a Londra durante luglio-agosto 2020, sfruttando un giorno zero ( una vulnerabilità sconosciuta agli sviluppatori) contro almeno iOS 13.5.1 che potrebbe hackerare l'allora più recente iPhone 11 di Apple. Sebbene l'attacco non abbia funzionato contro iOS 14 e versioni successive, il rapporto afferma che le infezioni osservate erano probabilmente una minuscola frazione del totale attacchi, data la diffusione globale della base clienti del Gruppo NSO e l'apparente vulnerabilità di quasi tutti i dispositivi iPhone prima dell'aggiornamento iOS 14.
Lo spyware entra sempre nei dispositivi presi di mira?
Di solito, un utente malintenzionato deve fornire al sistema Pegasus solo il numero di telefono di destinazione per un'iniezione di rete. Il resto viene fatto automaticamente dal sistema, dice una brochure di Pegasus, e lo spyware è installato nella maggior parte dei casi.
In alcuni casi, tuttavia, le iniezioni di rete potrebbero non funzionare. Ad esempio, l'installazione remota non riesce quando il dispositivo di destinazione non è supportato dal sistema NSO o il suo sistema operativo viene aggiornato con nuove protezioni di sicurezza.
Apparentemente, un modo per schivare Pegasus è cambiare il browser del telefono predefinito. Secondo una brochure di Pegasus, l'installazione da browser diversi da quello predefinito del dispositivo (e anche Chrome per i dispositivi basati su Android) non è supportata dal sistema.
In tutti questi casi, l'installazione verrà interrotta e il browser del dispositivo di destinazione visualizzerà una pagina Web innocua predeterminata in modo che il target non abbia la minima idea del tentativo fallito. Successivamente, è probabile che un utente malintenzionato ricada sui click bait ESEM. In mancanza di tutto il resto, afferma la brochure, Pegasus può essere iniettato manualmente e installato in meno di cinque minuti se un utente malintenzionato ottiene l'accesso fisico al dispositivo di destinazione.
|2019 e ora, il governo ignora la domanda chiave: ha acquistato Pegasus?Quali informazioni possono essere compromesse?
Una volta infettato, un telefono diventa una spia digitale sotto il completo controllo dell'aggressore.
Al momento dell'installazione, Pegasus contatta i server di comando e controllo (C&C) dell'aggressore per ricevere ed eseguire istruzioni e inviare i dati privati del bersaglio, inclusi password, elenchi di contatti, eventi del calendario, messaggi di testo e chiamate vocali in tempo reale (anche tramite end-to -end-encrypted app di messaggistica). L'aggressore può controllare la fotocamera e il microfono del telefono e utilizzare la funzione GPS per tracciare un bersaglio.
Per evitare un consumo eccessivo di larghezza di banda che potrebbe allertare un obiettivo, Pegasus invia solo aggiornamenti pianificati a un server C&C. Lo spyware è progettato per eludere l'analisi forense, evitare il rilevamento da parte del software antivirus e può essere disattivato e rimosso dall'aggressore, quando e se necessario.
Quali precauzioni si possono prendere?
In teoria, un'accurata igiene informatica può salvaguardarsi dalle esche ESEM. Ma quando Pegasus sfrutta una vulnerabilità nel sistema operativo del telefono, non c'è niente che si possa fare per fermare un'iniezione di rete. Peggio ancora, non se ne accorgerà nemmeno a meno che il dispositivo non venga scansionato in un laboratorio di sicurezza digitale.
Il passaggio a un telefono arcaico che consente solo chiamate e messaggi di base limiterà sicuramente l'esposizione dei dati, ma potrebbe non ridurre significativamente il rischio di infezione. Inoltre, tutti i dispositivi alternativi utilizzati per e-mail e app rimarranno vulnerabili a meno che non si rinuncia del tutto a utilizzare quei servizi essenziali.
Pertanto, il meglio che si può fare è rimanere aggiornati con ogni aggiornamento del sistema operativo e patch di sicurezza rilasciati dai produttori di dispositivi e sperare che gli attacchi zero-day diventino più rari. E se uno ha il budget, cambiare telefono periodicamente è forse il rimedio più efficace, anche se costoso.
Poiché lo spyware risiede nell'hardware, l'autore dell'attacco dovrà infettare con successo il nuovo dispositivo ogni volta che ne viene modificato uno. Ciò può comportare sfide sia logistiche (costi) che tecniche (aggiornamento della sicurezza). A meno che non ci si trovi di fronte a risorse illimitate, solitamente associate al potere statale.
Condividi Con I Tuoi Amici: