Pegasus — Instrukcja „rządowego trojana” dostępna dla wszystkich

Serwis Niebezpiecznik poinformował o interesującym znalezisku odnoszącym się do oprogramowania inwigilacyjnego, z którego korzysta agencja CBA. W sieci pojawiła się bowiem instrukcja tłumacząca możliwości, ograniczenia oraz sposób działania „rządowego trojana” stworzonego przez NSO Group. Dostęp do strony ma każdy chętny.

Śledzić można dziś w zasadzie każdego. Istnieją odpowiednie do realizacji tego celu narzędzia i jednym ze skuteczniejszych, oficjalnie dostępnych, rozwiązań jest Pegasus. System inwigilacji użytkowników smartfonów (rzekomo) działa dziś w służbie polskiej agencji CBA. Choć wspomniany podmiot nie zajmuje się walką z terroryzmem, jestem przekonany, iż potrafi zrobić „użytek” z Pegasusa. Jaki dokładnie? Okazuje się, że za sprawą ujawnionego dokumentu-instrukcji tegoż systemu możemy dowiedzieć się o jego faktycznych możliwościach.

Pegasus — jak trafia na smartfony?

Zanim narzędzie rozpocznie swoją działalność, musi najpierw trafić na urządzenie użytkownika, którego agencja zamierza inwigilować. Jak podaje tytułowa instrukcja, Pegasus poradzi sobie ze smartfonami pracującymi pod kontrolą systemów Android, iOS, BlackBerry OS oraz Symbian. Zabrakło tutaj WP, czego do końca nie rozumiem. Wątpię w tak daleko idące bezpieczeństwo, „martwej” już platformy. Warto jednak zaznaczyć, że dokument pochodzi najprawdopodobniej z 2016 roku i mechanizm Pegasusa mogły przez ten czas ewoluować.

Instalacja oprogramowania na urządzeniu ofiary może odbyć się w stu procentach zdalnie, ale nie musi. Ba, możliwe, że w niektórych przypadkach fizyczny dostęp do urządzenia jest gwarantem powodzenia śledzenia. Podsumujmy krótko najważniejsze metody wstrzyknięcia trojana, bo nim po części jest Pegasus.

• OTA (Over the air) — wysyłanie trojana zdalnie za pośrednictwem wiadomości push
• SMS / Mail — aby instalacja powiodła się, ofiara powinna kliknąć otrzymaną wiadomość
• Przechwycenie ruchu z urządzenia ofiary i wstrzyknięcie „kodu”
• Ręczna instalacja trwająca około 5 minut. Konieczność fizycznego dostępu do urządzenia

Jakie dane „zbiera” Pegasus?

Niestety lub „stety” (w zależności od punktu widzenia), spektrum danych zbieranych przez Pegasusa jest szerokie. W zasadzie próżno szukać w tej kwestii danych, których nie zebrałby opisywany system. Oprogramowanie bez przeszkód pobierze sobie lokalizację „ofiary”. Podobnie wygląda kwestia historii połączeń, SMS-ów, wiadomości z komunikatorów. Przed wykryciem nie ukryją się kontakty, hasła, pliki czy aktywności wykonywane w innych aplikacjach.

Co gorsze, przed działaniami Pegasusa nie uchroni nas nawet wymiana karty SIM. Narzędzie poradzi sobie z czynnością bez zająknięcia. Niestety, jego wykrycie jest w zasadzie niemożliwe. Wszystko przez sprytny mechanizm autodestrukcji. Brzmi jak scena z filmu akcji, ale tak właśnie wygląda działanie softu. W przypadku pojawienia się wykrycia Pegasus dokona samozniszczenia.

https://www.gsmmaniak.pl/1075402/iphone-2021-bez-portu-lightning/

Jeśli jesteście zainteresowani zapoznaniem się z pełnym dokumentem, znajdziecie go pod TYM adresem.

Źródło 1, 2