Blikk-összeállítás
A pegasus fejlesztői a világ legjobb szakemberei közül valók, de ők is hagynak nyomokat! / Illusztráció: Northfoto
Hogyan tudjuk meg, hogy a Pegasus megtámadta-e a telefonunkat? Van erre módszer? Nos, nehéz kideríteni, de úgy néz ki, van rá lehetőség.
A probléma nem egyszerű: maga Pegasus egy igen szofisztikált rendszer. Megpróbáljuk a lehető legegyszerűbben leírni, hogyan fedezték fel korábban más telefonokon, illetve, hogy mit tehet Ön, ha érdekli a téma. De figyelem, valószínűleg így is bonyolultnak tűnik majd, merthogy az is. A Pegasus kifejlesztői ugyanis nem kicsiben játszanak.
Figyelem, nem lesz rövid,
… de talán hasznos és érdekes. (Megoldások a cikk végén!)
1 klikk, kontra 0 klikk
Az általában ismert korábbi, rosszindulatú támadásokat végrehajtó adathalász vírusok és a többi kártékony szoftverek csak úgy tudják megtámadni a felhasználó eszközeit, ha mondjuk netezés közben valamilyen, a káros szoftver beépülését segítő programot tartalmazó linkre kattint, vagy kártékony tartalmat hordozó e-mailt nyit meg például. A Pegasusnak erre nincs szüksége. Kiszolgáló szerverekben „él”, legfőképpen hamis, a felhasználó számára észrevehetetlen, a háttérben zajló átirányítások segítségével veszi át az uralmat a készülékek felett.
Évek óta nyomokat hagy
A nemzetközi Amnesty International biztonsági laborja segítségével évek óta „üldözi” a Pegasus nyomait. Számos fertőzött telefont találtak, főképp újságíróknál, melyek segítségével sikerült bizonyos, csak a Pegasus támadásra jellemző mintázatokat felfedezniük az okoseszközök rendszereiben. Azokban a rendszerekben, amelyek hiába vannak ott a telefonunkon, a készülékek és operációs rendszerek gyártóinak hibájából – valójában a gyártók szándékos akarata miatt – egyszerű felhasználó nem férhet hozzá.
Pegasus 1
A Pegasus első verzióját 2014-ben detektálta az Amnesty International biztonsági laborja. Az azóta eltelt években mind több részletet derítettek fel a szakemberek a Pegasus működéséről, és az okoseszközökön hagyott nyomairól. Az AI most közzétette a fertőzött domainek és szerverek listájától kezdve mindent, a Citizen Lab pedig egy nyílt forráskódú eszközt tett elérhetővé, mely segítségével detektálhatóak a Pegasus által hagyott nyomok a telefonokon.
iOS vagy Android?
A fertőzött készülékek, főleg iOS rendszerrel működő eszközök, de az AI szerint ez nem feltétlenül jelenti azt, hogy az Apple okostelefonjai sebezhetőbbek lennének a Pegasus számára, mind az andropidos telefonok, egyszerűen csak az a helyzet, hogy a biztonságtechnikai laborba főként ilyen fertőzött telefonok jutottak el.
Néhány érdekesség
Az Amnesty International minden részletre kiterjedő jelentésében számos érdekesség szerepel. Például, hogy a Pegasus már a 4. verziónál tart. A 3.-at csúnyán elrontották a fejlesztői, több sebezhető pontja is volt, az utána nyomozó biztonságtechnikai szakemberek szerint rengeteg nyomot hagyott. Másik érdekesség, hogy az iOS 14.6 rendszert futtató, iPhone 12-eseken is megjelent már a Pegasus, 2021 júliusában fedeztek fel ilyen telefont. Vagyis a kémprogram fejlesztői igen gyorsan követik az operációs rendszerek változását.
Az AI jelentése segítség igazságügyi szakértők számára is, rendkívül részletes, és itt érhető el. Tartalmazza azokat a nyomokat, melyet a Pegasus korábbi és jelenlegi verziói hagynak a telefonokon, dokumentálja a Pegasus működéséhez szükséges infrastruktúra fejlődését is.
Az első jelek
Az egyik példában leírják, hogy egy 2019-es Pegasus-támadás után milyen gyanús átirányításokat észleltek a vizsgált telefonon, egy aktivista készülékén. Maati Monjib marokkói aktivista telefonjának elemzésekor egy furcsa megjelenésű URL-t figyeltek meg, amely akkor bukkant fel a telefonon, maikor Maati Monjib megpróbálta meglátogatni a Yahoo-t. A nem szabványos URL azonnal gyanúsnak tűnt. A Yahoo-ra való belépéskor a férfi látogatását azonnal erre a gyanús URL-re irányították át.
A 2019-es jelentés részletesen leírja, hogyan göngyölítették fel ezek után a gyanús átirányításokat. Csak a jelentés megjelenése után a Pegasus fejlesztői új domaineket regisztráltak.
Az iOS készülékeken található böngésző, a Safari előzményrekordjai – nem a böngészési előzményekről van szó, amit a felhasználó is láthat – általában rövid életűek és néhány hónap után elvesznek (valamint rosszindulatú programokkal szándékosan is törölhetik őket hackerek), az AI laborjának mégis sikerült megtalálni egy másik áldozat, Omar Radi telefonjának más adatbázisaiban. A Pegasus ugyanis nem csak a Safarin keresztül fertőz, hanem sok applikáción keresztül is. Omar Radi telefonját a Twitter használata közben „térítette” el.
Hol vannak ezek a telefonomon?
Az iOS két, az eszközön tárolt „DataUsage.sqlite” és „netusage.sqlite” nevű SQLite adatbázisfájlban tartja nyilván a folyamatok végrehajtását és azok megfelelő hálózati használatát. Míg az előbbi elérhető az iTunes biztonsági mentésében, az utóbbi nem. Csak olyan folyamatok jelennek meg ezekben az adatbázisokban, amelyek hálózati tevékenységet végeztek, vagyis köznapian: olyan történés, mikor valami a telefonról adatot küldött valahova.
Maati Monjib és Omar Radi hálózathasználati adatbázisai egyaránt tartalmazzák a „bh” nevű gyanús folyamat rekordjait („bejegyzéseit”). Ezt a „bh” folyamatot többször is megfigyelték közvetlenül a Pegasus „látogatását” követően. Ezekhez az adatokhoz ön simán nem fog hozzáférni egyszerűen.
Egy elemzés szerint NSO Group 2016-ban kihasználta az iOS JavaScriptCore Binary (egyszerűen szólva: egy konkrét programkód) biztonsági rését, hogy a kémszoftverük kódja lefusson az eszközökön és újraindítás után se tűnjön el. Ráadásul a rendszer-összeomlást jelző naplók visszajelzéseit is letiltja ez a kód, így nem, hogy a felhasználó, de az Apple sem értesül róla, hogy valami gond van. Ezt a „bh” rekordot sok más, fertőzött telefonon megtalálták, tehát ez egy olyan minta, ami a Pegasussal fertőzött telefonokon megtalálható a szakemberek számára.
De nem csak a Safarit, vagy a Twitter applikációt használta a Pegasus:
2019-ben az iMessage-ben és az Apple Musicban is megtalálták a nyomait iPhone7-en, az iOS 9.1-es verzióján, de a 14.3-as verzión is. A telefon – egy francia ügyvéd telefonja – a fertőzés hatására az amazon CloudFront szolgáltatása felé küldött adatokat a telefonról, az AI szerint ez arra utal, hogy az NSO az utóbbi időben átállt az AWS szolgáltatások (Amazon szerverek) használatára. Sőt kiderült: legújabban a legtöbb Pegasus-folyamatnév ezekben az adatbázisokban már úgy van álcázva, hogy az igazságügyi szakértők számára is legitim, „igazi”, az iOS-hez tartozó folyamatnak tűnjön. Még SMS küldéskor is bejuthat a Pegasus a telefonba.
Támadási infrastruktúra. Mi az?
Szerverek, hamis domainek, (azaz hamis weboldalak) és hasonló eszközök, melyek ahhoz kellenek, hogy rajtuk keresztül a Pegasus hozzáférhessen a telefonhoz.
Az Amnesty International további 500 domaint azonosított, és úgy vélik, hogy ez lefedi a Pegasus 4-es – vélhetően legfrissebb verziójának működéséhez szükséges infrastruktúrát.
A támadási infrastruktúra fő elemei – a szerverek – elsősorban Európában és Észak-Amerikában találhatóak:
Ország | Szerverek száma az országban | |
Germany | 212 | |
United Kingdom | 79 | |
Switzerland | 36 | |
France | 35 | |
United States | 28 | |
Finland | 9 | |
Netherlands | 5 | |
Canada | 4 | |
Ukraine | 4 | |
Singapore | 3 | |
India | 3 | |
Austria | 3 | |
Japan | 1 | |
Bulgaria | 1 | |
Lithuania | 1 | |
Bahrain | 1 |
A legtöbb fertőzött DNS-kiszolgálót üzemeltető országok közé tartozott Németország, az Egyesült Királyság, Svájc, Franciaország és az Egyesült Államok is. (Megjegyzés: DNS: tartománynévrendszer, amely nagyon egyszerűen szólva mikor valaki a böngészőjébe beír egy domain nevet, mondjuk blikk.hu, akkor ez a rendszer a megfelelő szerverhez irányítja ezt a kérést, hogy az eszközön valóban látható legyen a megnézni kívánt weboldal. Még egyszerűbben: az internet működésének egyik alapköve.)
Tehát: először megfertőztek rengeteg weboldalt és ezekről irányították át a felhasználók kéréseit olyan helyekre, ahol a Pegasus kódja már be tudott hatolni az adott internet-felhasználó eszközébe. Ennek a folyamatnak a működtetéséhez DNS szervereket is meg kellett fertőzniük, hogy ott rövid ideig élő, eltérített oldalakat hozhassanak létre. (Vagyis egyszerűen: mondjuk valaki használt valamilyen weboldalt vagy alkalmazást, abban a hitben, hogy minden rendben, de a háttérben valójában a Pegasus egy hamisított webhelyre irányította. Mondjuk a WhatSapp bejelentkező felületét lemásolták – tegyük fel a példa kedvéért –, aki célponttá vált és bejelentkezett, az, bár a normál működésnek megfelelően használni is tudta, tehát be is tudott jelentkezni, de a hamis felületen már meg is fertőződött.)
Megtámadott vajon a Pegasus?
Nehezen. Egyrészt hackelés nélkül sosem férünk hozzá a mobiltelefonunk operációs rendszerének adataihoz, hogy felfedhessük a problémákat. Az Amnesty International határozottan arra ösztönzi a mobileszközök gyártóit, hogy a készülékek jobban ellenőrizhetőek legyenek a felhasználók számára. (Kicsit más, de hasonló példa: a mai mobiltelefonokat, legalábbis a készülékek fontosabb részeit nem lehet házilag javítani. Lassan azonban elmozdul a világ affelé, hogy a felhasználók igenis megkapják a javítás jogát. Miért ne kaphatnának az operációs rendszer felett is bizonyosfajta ellenőrzési jogot?) De ez persze nem valószínű, hogy meg fog történni…
Akkor?
Az eszköz, ami megmutatja, ott-e a Pegasus:
Az AI egyrészt megosztotta a Pegasus felfedésére alkalmas módszertanának anyagait, melyből cikkünk is idézett. (A teljes anyag itt!)
Másrészt a CitizenLab nyilvánossá tett egy nyílt forráskódú eszközt, amely segít a Pegasus nyomainak felfedezésében. Az MVT egy moduláris eszköz, amely innen tölthető le. Néha produkál fals pozitív eredményt, de ezeket igyekeznek kiküszöbölni a fejlesztői.
Ezt tudja sok más mellett az MVT:
- Dekódolja a titkosított iOS biztonsági mentéseket.
- Számos iOS rendszer- és alkalmazás-adatbázisból és rendszernaplóból származó rekordok feldolgozása és elemzése.
- Összehasonlítja a kibontott rekordokat (adatbázis-bejegyzéseket) a Pegasus eddig felfedett nyomainak listájával.
(Figyelmeztetés: azért otthon, alapvető szakértelem nélkül senki ne kezdjen hozzá a telefonja ellenőrzéséhez az MVT-vel!)