SPY odhalenia

Kauza Pegasus: Ako funguje špehovanie novinárov či disidentov pomocou spywaru od NSO Group?

Laura K

Loading

Izraelská firma NSO Group má bohatú históriu podieľania sa na špionážnych a hackerských kauzách. Vrátane čerstvej aféry v Maďarsku a ďalších krajinách.

Orbánova vláda podľa vyšetrovania medzinárodnej skupiny novinárov využila spyware od NSO Group na špehovanie novinárov a ďalších politických cieľov. NSO Group , starí známi tvorcovia spywaru z Izraela, samozrejme dávajú ruky preč, na čo ich softvér slúži, nerieši a (vraj) ani nemajú prístup k tomu, čo získa. Navyše tvrdia, že uniknuté informácie nie sú od nich a nie sú skutočné.

Telefóny napadnuté softvérom Pegasus sú kompletne prístupné útočníkovi – má prístup k dátam, fotkám, správam, polohe, záznamu hlasu i videa, kontaktom. Detaily pozri Viktor Orbán using NSO spyware in assault on media, data suggests alebo slovensky na Investigace.cz: Vlády špehovali spywarom novinárov, aktivistov i disidentov .

Útok cez spyware od NSO Group, preberaný v rámci aktuálnej kauzy, mal mať až 180 cieľov , vrátane množstva novinárov, z celého sveta av réžii rôznych vlád, nie iba už spomínaného Maďarska.

Aktuálna kauza nakoniec nie je až tak aktuálna, siaha totiž až päť rokov späť a je vhodné pripomenúť, že v roku 2019 sa riešilo „hacknutie WhatsApp“ využité na špionáž vysokých vládnych predstaviteľov USA a dvadsiatke ďalších krajín. Samozrejme aj tu boli hlavným aktérom práve NSO Group. Firma vtedy využila chybu na serveroch WhatsApp a predávala, opäť, každému, kto zaplatil.

Vlani sa mimochodom NSO Group pokúšali o niečo veľmi zvláštne, pre Izrael tvorili softvér na vyhľadávanie nakazených koronavírusom .

Ako vlastne funguje Pegasus, spyware od NSO Group

NSO Group sú tvorcami softvéru Pegasus a predávajú ho všetkým, ktorí zaplatia (nemalú) sumu. Firma tvrdí, že jej softvér slúži na potieranie terorizmu a odhaľovanie kriminality, ale už z minulých rokov vieme, že ho ochotne (a opakovane) predáva režimom, ktoré ho využívajú na úplne iné ciele.

Pegasus je pokročilý spyware schopný kompletne ovládnuť telefón – útočník získa prístup k obsahu (fotky, dáta, súbory), môže zisťovať polohu, vidí kalendár, kontakty, môže aktivovať mikrofón aj kameru na odpočúvanie. Prítomnosť v telefóne znamená, že sa útočník dostane aj k šifrovanej komunikácii – tá sa prakticky vždy v samotnom telefóne nachádza v nešifrovanej podobe. K dispozícii tak má e-maily, chat z aplikácií, ako sú WhatsApp, Signal, Telegram a ďalšie, alebo komunikáciu v sociálnych sieťach.

Prítomnosť v mobile ale tiež spravidla znamená, že sa útočník dostane k prihlasovacím údajom, ktoré mu umožnia priamy prístup do e-mailov, cloudových služieb, firemných sietí a ďalších zariadení.

V minulosti sa spyware do telefónov a počítačov väčšinou dostával pomocou sociálneho inžinierstva/phishingu. Cieľ dostal e-mail alebo správu, v ktorej bol odkaz, ktorý poslúžil na inštaláciu spywaru. Posledné roky je najčastejšia cesta do telefónu pomocou 0day bezpečnostných chýb – tie navyše veľmi často fungujú bez nutnej súčinnosti napadnutého.

Reklamy

Pegasus (a ďalší spyware) sa navyše bežne používa aj ako veľmi rýchly útok – z napadnutého zariadenia je stiahnuté všetko, čo je možné stiahnuť, spyware je potom z telefónu odstránený a stiahnuté dáta sú až potom vyhodnotené a vyťažené. Dlhodobé šmírovanie potom využíva to, že útočník môže telefón na diaľku ovládať a zisťovať aktuálne informácie a dianie.

Získané prihlasovacie údaje sú využívané pre priamy prístup k dátam (v cloude, v e-mailoch). V praxi to znamená, že pokiaľ si napadnutý nechráni účty dvojfaktorom, majú útočníci veľmi ľahkú prácu. Pokiaľ ale majú kompletnú kontrolu nad telefónom, ani dvojfaktorová ochrana neznamená imunitu.

Pegasus vie napadnúť telefóny s Androidom aj iOS a NSO Group má k dispozícii záplavy bezpečnostných chýb a 0day v rôznych verziách operačných systémov. Nové zraniteľnosti navyše aktívne nakupuje a získava inými spôsobmi.

K útokom sú bežne využívané podvrhnuté e-maily alebo správy. Rovnako tak sú napádané weby, na ktoré cieľ chodí, a nechýba ani veľmi sofistikované využitie inzercie cieliace presne na potrebné ciele – tie navštívia úplne legitímny a bezpečný web, kde sa im popri klasickej inzercii spustí aj skript snažiaci sa využiť rad možných zraniteľností a napadnúť zariadenie . Nechýbajú ani hacknuté DNS podvrhujúce IP adresy smerujúce obeť na kópie webov. NSO Group bežne prevádzkuje až stovky domén a webov, ktoré slúžia na umiestnenie útočných skriptov aj na ovládanie napadnutých zariadení – všetka komunikácia prebieha cez HTTPS, čo sťažuje prípadné detekovanie. A využívané domény aj IP adresy sa neustále menia.

U novinárov sa veľmi často využívajú rôzne formy sociálneho inžinierstva v podobe „odovzdania dôverných informácií“ od rôznorodých zdrojov – samotné informácie potom, opäť, obsahujú rôzne metódy útokov.

Popri priamych útokoch na ciele sa útočníci bežne zameriavajú aj na ich rodinných príslušníkov, kolegov či priateľov. Využívajú na to aj sociálne siete, kde útočníci pomocou falošných účtov vstupujú do kontaktov ako s cieľom, tak s jeho ďalšími kontaktmi. Masívne využívanie sociálnych sietí dokonca v roku 2019 viedlo k tomu, že Facebook zablokoval osobné účty ľudí pracujúcich v NSO Group.

Reklamy

Podobné príspevky:

  1. Cestuje v noci, je podozrivý. Tajný program nájde teroristov aj novinárov
  2. Aj žiarovku možno použiť na špehovanie
  3. Výrobca GSM SIM kariet potvrdil špehovanie tajnými službami
  4. Prelomový prípad: Čech pomocou telefónu prekabátil v Singapure hracie automaty
  5. Ako špehovať niekoho pomocou žiarovky ako vzdialený mikrofón
  6. Google geolocation pomocou MAC adresy – XSS, nájdeme Vás všade – to je realita ! SPY PC.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *