A Pegasus hacker szoftvert, vagy kémprogramot az izraeli NSO Group cég fejlesztette ki, forgalmazza és licenceli a kormányoknak világszerte. Képes több milliárd iOS vagy Android operációs rendszert futtató készülék megfertőzésére. A cég elmondása szerint ügyfelei kizárólag kormányok, sohasem magánszemélyek, vagy vállalatok. Ezt azonban cáfolja a legutóbbi Pegasus botrány, amiben kiderült, hogy Azerbajdzsán, Bahrein, az Egyesült Arab Emírségek, India, Kazahsztán, Marokkó, Mexikó, Ruanda, Szaúd-Arábia és Togo között Magyarországon Orbán Viktor is ezzel támadta a médiát. A világ egyik leginvazívabb kémprogramját használta oknyomozó újságírók, ügyvédek és egy ellenzéki politikus ellen – írja a The Guardian.

Mire képes, ha beférkőzik a telefonjába?

Az NSO Group szoftvere rögzítheti hívásait, lemásolhatja üzeneteit és titokban filmezheti Önt. A világon valaha kifejlesztett legerősebb kémprogram. Ha egyszer beférkőzik a telefonjára, akkor 24 órás megfigyelőeszközzé változtatja azt. Képes lemásolni az éppen küldött és fogadott üzeneteket, valamint korábbi meglévő üzeneteket is, begyűjti az összes fényképét, telefonon lévő adatait és rögzíti hívásait. Titokban a telefon kameráján keresztül filmezheti környezetét, vagy Önt. Bekapcsolhatja a mikrofont, hogy a beszélgetéseket is rögzítse. Ezen kívül képes meghatározni pontos tartózkodási helyét, valamint azt, hogy hol járt és kivel találkozott. Mindezt anélkül ma már, hogy bármire is kattintanánk.

Ahelyett, hogy a két eszköz között áramló valószínűleg titkosított adatokat hallgatná le, a Pegasus magát a készüléket veszi birtokba és hozzáfér mindenhez, ami rajta van. A kémprogram figyeli az eszköz billentyű leütéseit, minden írásos kommunikációt, webes kereséseket és még a jelszavakat is. Amikor egy telefonba beférkőzik, akkor rendszergazda jogosultságokat szerez, azaz sokkal több mindenhez hozzáfér, mint maga a felhasználó.

Hogyan férkőzik be a telefonba?

Biztonsági kutatók legkorábban 2016-ban kapták el a 2014 óta létező Pegasus egy változatát, ez az úgynevezett spear-phishing révén fertőzte meg a telefonokat. A spear-phising egyfajta adathalász technika, szöveges üzenetek vagy e-maileken keresztül érték el, hogy a célpontok egy rosszindulatú linkre kattintsanak. Ekkor egy rosszindulatú oldal nyílt meg a webböngészőn, ahonnan letöltötte és végrehajtotta a kémprogramot, megfertőzve ezzel a készüléket.

Később social engineering technikákat kihasználva manipulálták a célpontokat, hogy a kattintásra kényszerítsék őket. Amikor a felhasználók egyre tudatosabbá váltak, más eszközöket kellett bevetnie a támadóknak.

Az elmúlt öt évben egy olyan szoftverré fejlődött, amely képes kompromitálni a telefont anélkül, hogy a felhasználó egyetlen linkre is rákattintana. Ez az úgynevezett zero-click exploit, azaz a nulla kattintásos exploit. A zéró-kattintásos módszer olyan népszerű alkalmazásokban található sebezhetőségeket használnak ki, amelyek fogadnak és váltanak egymás között adatokat. Ezek a sebezhetőségek gyakran “zero day” vagyis „nulla napi” sebezhetőségek, azaz olyan hibák vagy sérülékenységek, amelyekről még a gyártó sem tud, így ki sincsenek javítva.

2019-ben a WhatsAppon keresztül használtak ki egy ilyen sérülékenységet, amely több mint 1400 telefonra küldte el a rosszindulatú programot.

Az NSO-hoz hasonló cégeknek különösen vonzó azon alkalmazások, szoftverek kihasználása, amelyek alapértelmezetten telepítve vannak a telefonra. Ilyen például az iMessage, vagy pedig nagyon széleskörben alkalmazzák azokat, mint az említett WhatsApp stb.

Mivel a zéró-klikkes támadások gyakorlatilag kivédhetetlenek és mindig akad valami olyan felfedezetlen sérülékenység, amit az NSO szakemberei elsőként ki tudnak használni, ezért védhetetlen. A legbiztonságtudatosabb felhasználó sem tudja megakadályozni a támadást.

Ráadásul, ha netán a zéró-klikkes támadás sem jönne be, a Pegasus telepíthető a célpont közelében egy vezeték nélküli adó-vevőn keresztül. Avagy egyszerűen manuálisan abban az esetben, ha a készülék elérhető, megfogható állapotban van.

Hogyan ismerhető fel a Pegasus?

Az NSO jelentős erőfeszítéseket tett annak érdekében, hogy a szoftverét nehezen felismerhetővé tegye. Szinte lehetetlen ma már azonosítani az effajta fertőzést. Biztonsági kutatók szerint a Pegasus legújabb verziói már képesek arra, hogy csupán a telefon ideiglenes memóriájában legyen, nem pedig a merevlemezen, ami azt jelenti, hogy a telefon kikapcsolása után gyakorlatilag a szoftver minden nyoma eltűnik.