Hlavní navigace

Kauza Pegasus: Jak funguje špehování novinářů či disidentů pomocí spywaru od NSO Group?

19. 7. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Izraelská firma NSO Group má bohatou historii podílení se na špionážních a hackerských kauzách. Včetně čerstvé aféry v Maďarsku a dalších zemích.

Orbánova vláda podle vyšetřování mezinárodní skupiny novinářů využila spyware od NSO Group pro špehování novinářů a dalších politických cílů. NSO Group, staří známí tvůrci spywaru z Izraele, samozřejmě dávají ruce pryč, k čemu jejich software slouží, neřeší a (prý) ani nemají přístup k tomu, co získá. Navíc tvrdí, že uniklé informace nejsou od nich a nejsou skutečné. 

Telefony napadené softwarem Pegasus jsou kompletně přístupné útočníkovi – má přístup k datům, fotkám, zprávám, poloze, záznamu hlasu i videa, kontaktům. Detaily viz Viktor Orbán using NSO spyware in assault on media, data suggests nebo česky na Investigace.cz: Vlády špehovaly spywarem novináře, aktivisty i disidenty.

Útok přes spyware od NSO Group, probíraný v rámci aktuální kauzy, měl mít až 180 cílů, včetně množství novinářů, z celého světa a v režii různých vlád, ne pouze již zmíněného Maďarska. 

Aktuální kauza nakonec není až tak aktuální, sahá totiž až pět let zpět a je vhodné připomenout, že v roce 2019 se řešilo „hacknutí WhatsApp“ využité ke špionáži vysokých vládních představitelů USA a dvacítce dalších zemí. Samozřejmě i zde byli hlavním aktérem právě NSO Group. Firma tehdy využila chybu na serverech WhatsApp a prodávala, opět, každému, kdo zaplatil. 

Loni se mimochodem NSO Group pokoušeli o něco velmi zvláštního, pro Izrael tvořili software pro vyhledávání nakažených koronavirem

Jak vlastně funguje Pegasus, spyware od NSO Group

NSO Group jsou tvůrci software Pegasus a prodávají ho všem, kdo zaplatí (nemalou) částku. Firma tvrdí, že její software slouží k potírání terorismu a odhalování kriminality, ale už z minulých let víme, že ho ochotně (a opakovaně) prodává režimům, které ho využívají pro zcela jiné cíle. 

Pegasus je pokročilý spyware schopný kompletně ovládnout telefon – útočník získá přístup k obsahu (fotky, data, soubory), může zjišťovat polohu, vidí kalendář, kontakty, může aktivovat mikrofon i kameru pro odposlouchávání. Přítomnost v telefonu znamená, že se útočník dostane i k šifrované komunikaci – ta se prakticky vždy v samotném telefonu nachází v nešifrované podobě. K dispozici tak má e-maily, chat z aplikací, jako jsou WhatsApp, Signal, Telegram a další, nebo komunikaci v sociálních sítích. 

Přítomnost v mobilu ale také zpravidla znamená, že se útočník dostane k přihlašovacím údajům, které mu umožní přímý přístup do e-mailů, cloudových služeb, firemních sítí a dalších zařízení. 

V minulosti se spyware do telefonů a počítačů většinou dostával pomocí sociálního inženýrství/phishingu. Cíl dostal e-mail nebo zprávu, ve které byl odkaz, jenž posloužil k instalaci spywaru. Poslední roky je nejčastější cesta do telefonu pomocí 0day bezpečnostních chyb – ty navíc velmi často fungují bez nutné součinnosti napadeného. 

Pegasus (a další spyware) se navíc běžně používá i jako velmi rychlý útok – z napadeného zařízení je staženo všechno, co je možné stáhnout, spyware je poté z telefonu odstraněn a stažená data jsou až poté vyhodnocena a vytěžena. Dlouhodobé šmírování pak využívá toho, že útočník může telefon na dálku ovládat a zjišťovat aktuální informace a dění.

TIP: V roce 2018 došlo k rozkrytí aktivit NSO Group ve 45 zemích, čtěte v Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries

Získané přihlašovací údaje jsou využívány pro přímý přístup k datům (v cloudu, v e-mailech). V praxi to znamená, že pokud si napadený nechrání účty dvoufaktorem, mají útočníci velmi snadnou práci. Pokud ale mají kompletní kontrolu nad telefonem, ani dvoufaktorová ochrana neznamená imunitu.

Pegasus umí napadnout telefony s Androidem i iOS a NSO Group má k dispozici záplavy bezpečnostních chyb a 0day v různých verzích operačních systémů. Nové zranitelnosti navíc aktivně nakupuje a získává jinými způsoby. 

K útokům jsou běžně využívány podvržené e-maily či zprávy. Stejně tak jsou napadány weby, na které cíl chodí, a nechybí ani velmi sofistikované využití inzerce cílící přesně na potřebné cíle – ty navštíví zcela legitimní a bezpečný web, kde se jim vedle klasické inzerce spustí i skript snažící se využít řadu možných zranitelností a napadnout zařízení. Nechybí ani hacknuté DNS podvrhující IP adresy směřující oběť na kopie webů. NSO Group běžně provozuje až stovky domén a webů, které slouží pro umístění útočných skriptů i pro ovládání napadených zařízení – veškerá komunikace probíhá přes HTTPS, což ztěžuje případné detekování. A využívané domény i IP adresy se neustále mění. 

Lupa tip MF temata2

U novinářů se velmi často využívají různé formy sociálního inženýrství v podobě „předávání důvěrných informací“ od různorodých zdrojů – samotné informace pak, opět, obsahují různé metody útoků. 

TIP: Pamatujete si na hack mobilu Jeffa Bezose? I v tomto případě mělo jít o využití spyware od NSO Group.

Vedle přímých útoků na cíle se útočníci běžně zaměřují i na jejich rodinné příslušníky, kolegy či přátele. Využívají k tomu i sociální sítě, kde útočníci pomocí falešných účtů vstupují do kontaktů jak s cílem, tak s jeho dalšími kontakty. Masivní využívání sociálních sítí dokonce v roce 2019 vedlo k tomu, že Facebook zablokoval osobní účty lidí pracujících v NSO Group. 

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.