Мой iPhone заражен шпионским ПО Pegasus?
Шпионское ПО Pegasus от печально известной NSO Group используется правительствами и другими влиятельными игроками по всему миру для слежки за журналистами, юристами, бизнесменами, учеными, политиками, активистами и даже их друзьями и родственниками.
Утечка базы данных о 50 000 телефонных номеров, принадлежащих подозреваемым жертвам, была проанализирована Forbidden Stories и Amnesty International. Некоторые устройства, исследованные следователями, свидетельствуют о нападении Пегаса. Группа NSO оспаривает полученные данные и утверждает, что ее программное обеспечение предназначено только для использования против преступников.
Так что же делает шпионское ПО Pegasus? А как можно проверить, есть ли он у вас на айфоне?
Как шпионское ПО Pegasus заражает устройства?
Шпионское ПО может атаковать iPhone и устройства Android удаленно, используя методы «нулевого щелчка», при этом пользователи ничего не делают.
Pegasus можно установить с помощью WhatsApp, iMessage, беззвучного SMS, пропущенных звонков и другими неизвестными в настоящее время способами.
Что умеет шпионское ПО Pegasus?
Шпионское ПО позволяет злоумышленникам получить полный доступ к вашим данным и делать то, что запрещено делать даже вам, владельцу. Все ваши сообщения, электронные письма, чаты, данные GPS, фотографии, видео и многое другое можно беззвучно отправлять с вашего устройства всем, кто в вас заинтересован.
Злоумышленники могут использовать ваш микрофон для записи ваших личных разговоров и использовать камеру, чтобы тайно снимать вас.
Как удалить шпионское ПО Pegasus?
На данный момент нет надежного способа удалить Pegasus. Неясно, сработает ли даже сброс к заводским настройкам, поскольку шпионское ПО может сохраняться на нижних уровнях системного кода.
Если ваш телефон заражен, лучшим решением может быть изменение устройства и номера. Конечно, новый Android или iPhone может быть легко взломан, как и ваш предыдущий, хотя Apple выпустила обновление iOS 14.7.1, которое, как считается, устраняет некоторые из задействованных эксплойтов.
Есть ли серьезные альтернативы телефонам iOS и Android?
На момент написания экосистема мобильной ОС страдает серьезным недостатком разнообразия, и даже усиленные форки Android, такие как Graphene OS или Calyx, могут не обеспечивать защиты. В этом случае может применяться сквозная безопасность, и основными альтернативами являются устройство под управлением Sailfish OS от Jolla или, возможно, Librem 5 с Pure OS.
Как я могу проверить, не был ли мой iPhone заражен шпионским ПО Pegasus?
К счастью, Amnesty Internationalвыпустила инструмент под названием MVT, который позволяет пользователям проверять, не было ли их устройство атаковано вредоносным ПО NSO. Хотя инструмент командной строки предназначен для судебных следователей, некоторые операции обнаружения автоматизированы и должны предоставлять достаточно информации, чтобы решить, стоит ли проводить дальнейшее расследование, даже если вы не являетесь специалистом в области безопасности.
На данный момент iPhone, похоже, является наиболее частой целью, и исследователи также обнаружили, что устройства Apple предоставляют наиболее подробные доказательства вторжений. Прочтите наше руководство по установке и использованию программного обеспечения для обнаружения на вашем iPhone.
Что мне нужно, чтобы проверить мой iPhone на наличие шпионского ПО Pegasus?
Чтобы упростить процесс и позволить вам запускать инструмент в macOS, Linux или Windows, мы собираемся использовать контейнер Docker, специально подготовленный для MVT. Итак, сначала вам нужно установить Docker на свой компьютер. У нас есть инструкции по установке Docker в Ubuntu и по тому, как вы можете загрузить Ubuntu на свой компьютер с Windows или Apple .
Как настроить компьютер для проверки iPhone на наличие Pegasus?
Ниже мы приводим пошаговые инструкции по каждой команде, и многострочные команды следует вводить полностью, прежде чем нажимать клавишу ввода.
Сначала откройте терминал и создайте папку для хранения файлов, которые мы будем использовать, набрав эту команду и нажав Enter:
mkdir Pegasus
Затем перейдите в папку Pegasus, набрав:
cd Pegasus
Теперь вам нужно создать папки для MVT. Тип:
mkdir ioc backup decrypted checked
Далее вам нужно получить файл, содержащий индикаторы подозрительного поведения. Войти:
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2
Следующим шагом будет получение файла MVT Docker. Тип:
wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile
Теперь, чтобы настроить образ Docker, введите:
docker build -t mvt
Как подготовить iPhone к анализу MVT?
Во-первых, вы, вероятно, захотите, чтобы дисплей вашего iPhone не отключался во время процесса. Коснитесь значка « Настройки» , затем коснитесь « Дисплей и яркость»> «Автоблокировка»> «Никогда», чтобы убедиться, что дисплей вашего iPhone остается включенным.
Затем подключите устройство iOS к USB-порту компьютера. Теперь вам нужно остановить демон USB, который обрабатывает соединения между вашим компьютером и вашим устройством iOS. Тип:
systemctl stop usbmuxd
Возможно, вам придется немного подождать, пока этот процесс завершится и вернет вас в командную строку $ . Теперь запустите контейнер Docker, набрав всю эту команду:
docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host
-v $PWD/ioc:/home/cases/ioc
-v $PWD/decrypted:/home/cases/decrypted
-v $PWD/checked:/home/cases/checked
-v $PWD/backup:/home/cases/backup
mvt
Нажмите Enter после mvt . Теперь вы работаете внутри контейнера Docker, и ваша командная строка должна измениться на что-то вроде: root @ yourmachine: / home / cases # Снова запустите демон USB, введя:
usbmuxd
Ваш iPhone должен отображать сообщение с просьбой , если вы хотите , чтобы доверять компьютеру, поэтому нажмите Trust и введите код доступа iPhone , если требуется.
Убедитесь, что ваш iPhone подключен к компьютеру, набрав:
ideviceinfo
При успешном подключении в терминал должно быть выведено множество технических данных. Если вы получаете сообщение об ошибке «устройство не обнаружено», попробуйте перезагрузить iPhone и повторить команду.
Теперь вы готовы выполнить резервное копирование на свой компьютер. Зашифрованная резервная копия позволяет процессу собрать больше информации с устройства, поэтому, если у вас нет пароля, защищающего ваше устройство, вам необходимо включить шифрование, набрав:
idevicebackup2 backup encryption on -i
Если у вас уже включено шифрование, терминал сообщит вам об этом. Если нет, выберите пароль и введите его при появлении запроса. Теперь, чтобы запустить резервную копию, введите:
idevicebackup2 backup --full backup/
В зависимости от объема информации на вашем устройстве эта процедура может занять довольно много времени. Чтобы подтвердить, что резервное копирование было успешным, введите:
Run ls -l backup
Это должно дать вам имя резервной копии, которая вам понадобится на следующем шаге. Теперь резервная копия находится на вашем компьютере, вы можете расшифровать ее, набрав:
mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>
Вводимая вами команда должна выглядеть примерно так:
mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743
После расшифровки резервной копии можно переходить к этапу анализа. Чтобы проанализировать резервную копию, инструмент MVT сравнит ее с файлом stix2, содержащим примеры вредоносной активности. Чтобы запустить сравнение, используйте:
mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted
Затем MVT создаст серию файлов JSON, содержащих результаты сравнения. Вы можете проверить эти результаты с помощью этой команды:
ls l checked
Теперь откройте папку под названием «checked» внутри основной папки Pegasus. Найдите любые файлы JSON с _detected в конце их имен файлов. Если таковых нет, значит, инструменту не удалось найти доказательства инфекции Pegasus. Если файлы _detected существуют, вы можете захотеть скопировать папки с именем backup, расшифрованные и проверенные в безопасное зашифрованное место для дальнейшего использования.
Чтобы выйти из контейнера Docker, введите:
exit
Что, если MVT обнаружит доказательства атаки Пегаса?
Если есть файлы с пометкой _detected, то, вероятно, пришло время связаться со специалистом по кибербезопасности и изменить свой телефон и номер.
Вам следует сохранить зараженный телефон в качестве доказательства, но выключить его и держать изолированным от любых важных разговоров, желательно в клетке Фарадея.
Вам следует деавторизовать свой телефон во всех онлайн-сервисах и использовать другой компьютер для изменения пароля для всех учетных записей, к которым осуществляется доступ через подозрительное устройство.
Как я могу защитить свой iPhone от пегаса?
Это шпионское ПО использует множество известных и неизвестных методов атаки, но есть несколько шагов, которые вы можете предпринять, чтобы снизить вероятность взлома:
- Само собой разумеется, что вам необходимо защитить свой телефон с помощью PIN-кода или, желательно, надежного пароля.
- Регулярно обновляйте операционную систему.
- Удалите приложения, которые вы не используете, чтобы минимизировать поверхность атаки. Facetime, Apple Music, Mail и iMessage, как известно, уязвимы для заражения Pegasus, но вы, вероятно, используете по крайней мере пару из них.
- Перезагружайте телефон не реже одного раза в день, так как это может удалить шпионское ПО из оперативной памяти и затруднить его правильную работу.
- Не переходите по ссылкам в сообщениях с неизвестных номеров, даже если вы ожидаете доставки посылки.
Пегас: стоит ли вам волноваться?
Pegasus – один из худших примеров шпионского ПО, которое мы когда-либо видели. Хотя количество людей, которые, как сообщается, затронуты, пока невелико на глобальном уровне, тот факт, что злоумышленники могут атаковать одно устройство такими методами с нулевым щелчком, означает, что все устройства с одинаковыми операционными системами уязвимы.
Возможно, это только вопрос времени, когда другие группы будут копировать методы Пегаса, и это должно быть тревожным сигналом для всех, чтобы они серьезно относились к безопасности мобильных устройств.