22:49
18/7/2021

Kilka godzin temu dziennikarze 17 redakcji rozpoczęli publikację serii artykułów opisujących wspólne śledztwo dotyczące Pegasusa — narzędzia do inwigilacji smartfonów, sprzedawanego przez izraelską firmę NSO agencjom rządowym różnych krajów, w tym polskiemu CBA. Reporterzy pozyskali listę 50 000 numerów telefonów osób, które były na celowniku Pegasusa.

Najpełniejszy raport techniczny dotyczący tego na czym polegały różne warianty ataków opublikowała Amnesty International. Warto go przeczytać w całości. Poniżej prezentujemy wybrane przez nas smaczki.

Potrafi zhackować wszystko i wszystkich

O Pegasusie piszemy na Niebezpieczniku regularnie. Opisywaliśmy kto kupił go w Polsce i za ile. Opisywaliśmy jego zagraniczne ofiary oraz w szczegółach pokazaliśmy co może i jak dokładnie infekuje smartfony. Z analizy dzisiejszych publikacji wynika, że wiele w tej kwestii się nie zmieniło.

Pegasus korzysta z nieznanych producentom smartfonów i aplikacji błędów (dziur) i jest w stanie przejąć kontrolę nad zarówno najnowszymi iPhonami (iOS 14.6) jak i smartfonami z Androidem. Nie zawsze ofiara musi kliknąć w link — czasem wystarczy, że po prostu odbierze wiadomość w konkretnej aplikacji (np. WhatsApp, iMessage, ale do ataku wykorzystywane są nawet podatności w …Apple Music!).

Co więcej, kolejny raz udowodniono, że nie jest prawdą iż to narzędzie jest wykorzystywane tylko do walki z terrorystami i “poważnymi” przestępcami. Na liście celów znaleźli się niewygodni dla poszczególnych krajów dziennikarze, aktywiści, a nawet prawnicy.

50 000 osób na liście celów

Listę 50 000 numerów telefonów osób, które były na celowniku Pegasusa pozyskali dziennikarze Forbidden Stories i Amnesty International. Podzielili się nią z wybranymi mediami na całym świecie, by dziś o 17 rozpocząć publikację serii artykułów obnażających hipokryzję zarówno NSO, producenta Pegasusa, jak i kłamstwa poszczególnych jego klientów, czyli rządów ok. 40 krajów.

Do tej pory nie ujawniono pełnej listy numerów i — na marginesie — jeśli czyjś numer się na niej znajduje, to nie oznacza to, że ktoś został faktycznie zainfekowany Pegasusem i był w istocie inwigilowany. Ale z dużym prawdopodobieństwem próbowano go zainfekować. Nie wiadomo do końca kto przekazał dziennikarzom tę listę, ani jak zebrał numery. Niektórzy sugerują, że lista pochodzi z logów usługi HLR, którą wykorzystywało oprogramowanie NSO.

Dziennikarze sprawdzili smartfony 67 celów i na urządzeniach ponad połowy z tych osób znaleźli ślady Pegasusa. Infekcję potwierdzono na 23 urządzeniach, a próby infekcji na 14 kolejnych. Na marginesie, latwiej jest wykryć infekcję na urządzeniach Apple, ponieważ Android nie loguje wszystkiego.

Kim są ofiary?

Pełna lista ponoć ma zostać opublikowana niebawem. Na razie wiadomo, że numery na listę na pewno wpisywały takie kraje jak:

Azerbaijan,
Bahrain,
Kazakhstan,
Mexico (ponad 15 000 numerów)
Morocco,
Rwanda,
Saudi Arabia,
Hungary,
India
United Arab Emirates (UAE).

Ponad 1000 numerów celów należy do osób z Europy. Aż 180 celów to dziennikarze takich redakcji jak New York Times, Wall Street Journal, Bloomberg, Al Jazeera, Radio Free Europe, El Pais, Le Monde, Reuters, Associated Press, Economist, czy France 24.

Polecamy artykuł Guardiana oraz artykuł OCCRP, które dotyczą kilku zainfekowanych Pegasusem dziennikarzy. Część z nich została zamordowana. Tutaj z kolei ciekawy artykuł dotyczący tylko i wyłącznie patologicznej sytuacji na Węgrzech.

Poza dziennikarzami, na liście celów były numery:

  • biznesmenów,
  • przywódców duchowych
  • pracowników naukowych
  • działaczy sektora NGO
  • związkowców
  • urzędników państwowych (w tym premierów i ministrów)
  • …a także rodziny przywódcy jednego z państw

Dzisiejsze publikacje dotyczą tylko dziennikarzy. W kolejnych dniach ujawniane będą sylwetki innych ofiar.

Mam smartfona, czy mnie też zhackowano?

Jest mała szansa, że jesteście na liście celów — w końcu licencja na “atak” kosztuje, a ponoć nasze służby zbyt wielu licencji nie mają. Muszą więc skupiać się na “najważniejszych” celach. Jeśli to poprawiło Wam humor, to zepsujemy go tym, że poza Pegasusem są inne narzędzia, które robią dokładnie to samo i z których korzystają (także nasze) służby.

Jeśli jednak mimo wszystko chcecie sprawdzić, czy Wasze urządzenie otarło się o Pegasusa, to na GitHubie Amnesty International znajdziecie listę IOC oraz e-maili, a także ponad tysiąc (!) domen wykorzystywanych przez różne kraje do ataków Pegasusem. Domena z końcówką .pl jest jedna — emonitoring-przesylek[.]pl i była wykorzystywana daaaaawno temu.

AI udostępniło też MVTspecjalne narzędzie do analizy Androidów i backupów z iOS pod kątem śladów Pegasusa.

ZRESTARTUJ SMARTFONA! TERAZ!

Chociaż to prawda, że Pegasusem można (było?) zhackować najnowsze iPhony i Androidy, to mimo wszystko warto sprawdzić, czy macie na swoich smartfonach wgrane najnowsze aktualizacje. A jeśli nie, to wgrajcie je jak najszybciej — to zawsze utrudnia pracę atakującym.

Warto też swojego smartfona restartować codziennie, bo spora część ataków typu zero-day choć pozwala na przejęcie kontroli nad urządzeniem, to nie zawsze pozwali złośliwemu oprogramowaniu przetrwać restart. Po restarcie znów Was ktoś po cichu może zainfekować, ale z wielu powodów nie zawsze to zrobi, więc restarty nie zaszkodzą ;)

I nie wierzcie w bajki, że można sobie zainstalować jakąś aplikację, która z poziomu smartfona na 100% wykryje, czy urządzenie jest zainfekowane to bzdura — tutaj opisaliśmy dlaczego takie wykrycie z poziomu aplikacji jest niemożliwe.

Aha, NSO wszystkiemu zaprzecza i twierdzi, że dzięki ich oprogramowaniu uratowano wiele ludzkich żyć, a dane pozyskane przez dziennikarzy nie są wiarygodne a liczba numerów “celów” jest znacznie zawyżona. Odpowiedzi poszczególnych rządów na pytania dziennikarzy o inwigilację ich kolegów możecie przeczytać tutaj.

Sprawa jest rozwojowa, będziemy informować o dodatkowych informacjach w tym temacie w miarę jak będą się pojawiać.

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. No to ktoś nieźle zamieszał w kociołku… ciekawe czy wyciek był kontrolowany, czy przypadkowy… ew. ktoś chlapnął z środka… Tak czy inaczej – intuicja mi coś mówi, że przy takim zdarzeniu warto rozglądnąć się co jeszcze się dzieje – może coś ciekawszego nieco głębiej… No i kiedy powstaną fake-toolsy do sprawdzania zawartości listy… na zasadzie honeypota…

  2. Kiedy pojawiła się w mediach informacja o Pegasusie, w internecie krążył przez pewien czas wywiad z zagranicznej telewizji, w którym pewien ważniak z Izraelskich służb (a może ktoś kto uczestniczył we wdrażaniu/sprzedaży – w każdym razie był z Izraela właśnie) odpierał argument, że Pegasus może być wykorzystywany do nieetycznych celów. Powiedział wtedy, że nie ma takiej możliwości, ponieważ mają oni możliwość weryfikacji i ewentualnego zdalnego wyłączenia programu. Oznacza to więc jawne przyznanie się, że rząd Izraela ma pełen wgląd w niejawne informacje służb specjalnych innych państw.

    Nie mogę już tego znaleźć, komuś musiało zależeć na usunięciu ;)

    Gdyby ktoś znał i miał pod ręką link, byłbym wdzięczny.

  3. Problemem z pegazusem jest to, ze pierwszy lepszy wiesniak moze rzucic troche kasy i dostaje dostep do broni o charakterze “strategicznym” ktora moze wykorzystywac przeciwko praktycznie kazdemu – i to jest bardzo niebezpieczny precedens, bo omija wiele obostrzen czy praw ktore nie zostaly sformalizowane z powodow logistycznych…

  4. Czy Pegasus przetrwa reset urzadzenia do ustawien fabrycznych ? Jesli tak to trace gwarancje ? Poniewaz jest to chyba taki zdalny jailbreak prosze mnie poprawic jesli sie myle.

    • obstawiam że w obu przypadkach wystarczy flash, na Androidzie wipe+flash ROMu a na iOS .ipsw spod iTunes/3utools (chyba, że siedzisz na jakiejś starożytnej wersji, to wtedy format z urzadzenia, jailbreak i restore)

  5. Swoja droga nie rozumiem w jaki sposob ta firma jeszcze istnieje. Przeciez jesli A wykorzysta pegazusa jako bron przeciwko B to w wielu przypadkach mniej problematyczne powinno byc pozbycie sie broni (pegazusa) niz samego atakujacego A – parafrazujac “wytracajac mu broń z rąk” (tzw. disarm) ktory jest przecierz podstawowa praktyka na praktycznie wszystkich poziomach konfliktu…

    • A co jeśli obie strony kupują broń u tego samego handlarza i konflikt strony A ze stroną B jest traktowany tylko jako ułamek ważności rozwiązywania dzięki tej broni konfliktów wewnętrznych każdej ze stron?

    • @Zonk 2021.07.19 21:07
      > A co jeśli obie strony kupują broń u tego samego handlarza i konflikt strony
      > A ze stroną B jest traktowany tylko jako ułamek ważności rozwiązywania
      > dzięki tej broni konfliktów wewnętrznych każdej ze stron?

      Tylko glupiec pozwala odnosic korzysci trzeciej stronie czerpiacej benefity z obydwu stron konfliktu, to ze A przegra nie oznacza ze wygra B vice versa – regula jest inna: zwyciezca jest tylko jeden, a w takich sytuacjach najczesciej nie zostaje nim ani A ani B…

      Ps. A co do moich watpliwosci, niedlugo po moim poscie oczywista odpowiedz nasunela sie sama – chodzi pewnie o to zatrzesienie bomb atomowych ktore maja do dyspozycji. Taka diabłowata sytuacja ;) szef odnosi korzysci, wiec toleruje, pomaga i *ochrania* a jak bajzel sie zrobi zbyt duzy to pierwszy zakrzyknie “diabeł coś ty narobil” kopniakiem go w ogien i wszystko nagle jest cacy xD

      Swoja drogą jak ktos zwroci uwage na symbolike: kozioł (czyj to moze byc symbol…?) zrzucany do przepasci (brzmi cokolwiek znajomo…?) historycznie dosłowne źrodlo konceptu/wyrazenia “kozioł ofiarny” :p

    • PsPs. Ze wzgledu na rozne dziwne poglady szalejace po swiecie, chcialbym od razu doprecyzowac – nie oskarzam tutaj nikogo o bycie b(B)ogiem :p to tylko analogia.

      Jak juz, moje osobiste poglady ida raczej w kierunku bardziej racjonalnych kierunkow interpretacji histori, czy to tych bardziej sceptycznych np. “płonący krzak” okazujacy sie “płonącym krzakiem konopi”, czy bardziej “ambitnych” materializujacych sie w postaci odwiedzajacych nas za jakich czas jasno szarych jegomosciach chcacych tylko przypomniec o tych dwoch kompletach tablic ktore predstawiciel ludzkosci wzial na kredyt Kilka Tysiecy Lat temu… :)

  6. izrael nie dość, że ma pegasusa z którego pewnie sam korzysta, to jeszcze ma największe bazy DNA ludzi z całego świata (MyHeritage), to jeszcze posiada firmy świadczące usługi VPN dla korporacji i banków, posiada dane na temat wszysktich połączeń telefonicznych w USA (https://en.wikipedia.org/wiki/Amdocs), to jeszcze pomoże nam, Polakom w walce z “cyber przestępcami” https://www.rp.pl/Sluzby-mundurowe/312099966-Izrael-pomoze-nam-w-cyberprzestrzeni.html . Dlaczego w tym wszystkim jest Izrael a nie Dania, Szwecja, czy Niemcy? Nie wiem, ale się domyślam.

    • Bo Izrael ma na całym świecie skuteczną sieć kontaktów? Polacy też mogliby taką mieć, bo są w wielu miejscach na świecie i są też na świecie osoby życzliwe Polakom. Pytanie, jak powszechne wśród Polaków jest poczucie powinności wspierania się nawzajem.

    • W Izraelu jest dobry klimat do tworzenia startupów, szczególnie z dziedziny cybersecurity, ale też bezpieczeństwa ogólnie np. firma, która stworzyła nakładkę do glocka pozwalającą strzelać zza węgła nawet się nie wychylając (widok zapewnia kamera na lufie). Mały kraj otoczony przez wrogów musi sobie radzić przewagą technologiczną.

    • @kaper
      > Pytanie, jak powszechne wśród Polaków jest poczucie powinności wspierania się nawzajem.
      Bardzo trafnie powiedziane, niestety.

    • Bo Izrael ma najlepsze doświadczenie na płaszczyźnie cyberbezpieczeństwa.
      Ma w ramach IDF jednostkę 8200 która zajmuje się obroną cyfrową ale również nasłuchem, łamaniem szyfrów i działaniami ofensywnymi (pewnie Persowie mielimy wiecej do powiedzenia w tej kwestii). Ludzie wychodzący z 8200 trafiają po wojsku albo do firm robiących w cyber albo stawiają startupa. Jakby ktoś miał możłiwość interakcji z firmami technologicznymi z IL warto zadać pytanie ile osób pochodzi z 8200. Właściwie każdy startup fintechowy albo klasy cebersec zatrudnia gości po służbach.
      Nie słyszałem natomiast o analogicznych jednostkach w Szwecji czy Danii :)

  7. Czy jeśli narz rząd kupi czołgi to polska część listy nie wycieknie? :)

  8. Na tej liście domen wykorzystywanych przez Pegasusa, którą zalinkowaliście jest jedna .pl o_0

  9. Wyciek jest po to aby teraz każdy kto ma coś do ukrycia sprawdzał czy jest na liście. W ten sposób będzie wiadomo kogo inwigilować :)

  10. A jak z tzw. “feature phone-ami”? Pamięci mało, ale w końcu jest obsługa J2ME a nawet aktualizacji firmware za pomocą OTA, a karty SIM zawsze obsługują SATK.
    Da radę je zainfekować???

    • Da radę, kwestia relacji wartości targetu do kosztów

  11. http://www.seodomeny.pl/deleted/2019-01-09/

  12. Jak mówicie o restarcie to chodzi wam o włącz wyłącz, czy wyczyszczeniu urządzenia?

    • Jeśli nie widzisz różnicy pomiędzy restartem a przywróceniem do ustawień fabrycznych , to jestem przekonany że nie zużyli licencji na Ciebie :) bądź spokojny :)

  13. A mi to wszystko śmierdzi jakąś wielką akcją reklamową dla honeypota. Obczaić kto jest potencjalnie zainteresowany byciem zapegazowanym i dopiero potem infekcja tego osobnika

    • NSO chyba nie tworzy list milionów potencjalnych celi dla swoich klientów, przynajmniej oficjalnie.

      Użycie narzędzia jest kosztowne, więc wątpię aby klienci NSO chcieli wywalać miliony $$$ aby sprawdzić kilku ciekawskich Kowalskich.

      Ale tak na wszelki wypadek sprawdzę numery paru wykładowców czy nie ma ich na liście ;)

  14. Jak myślicie – czy monokultura iOS vs setki różnych kompilacji Androida daje tu przewagę Androidowi? W sensie, że trzeba przygotować więcej bardziej targetowanych exploitów?

    • Mimo mojego zdecydowanego negatywnego nastawienia do Appla, wydaje mi się że Android jest łatwiejszym celem.

      Tak jak na iOS (też masz kilka wersji) można tworzyć exploity, tak i na bazowy system androida. Do tego dochodzą jeszcze różne nakładki i modyfikacje systemu. I choć rynek będzie bardziej pofragmentowany to i wektor ataku staje się szerszy. Czyli np. dla telefonów Samsunga można spróbować exploity standardowe na Androida oraz te specyficzne dla Samsunga.

      Można też wywyższać otwartość kodu źródłowego nad zamkniętym. Tylko co z tego jak wiele nakładek, programów nie jest otwarta. Nie wiadomo jak do bezpieczeństwa twórcy tych dodatków się przykładają.

      To wszystko nie daje przewagi Androidowi.

  15. jak to jest .. tworzą ransomware z którym ciężko walczyć, tworzą pegasusa z którym ciężko walczyć… a kiedy ktos stworzy jakiegoś antywirusa z którym hakerzy sobie nie poradzą ? wtf

    • Tego (tj. skutecznego antywirusa) się nie da zrobić.

  16. “Na marginesie, latwiej jest wykryć infekcję na urządzeniach Apple, ponieważ Android nie loguje wszystkiego. ” jakieś źródło?

  17. Podobnie jest z firmą CyberGym, która oferuje możliwość zasymulowania infrastruktury krytycznej. Jeśli jakaś firma się skusi, to nieświadomie przekazuje firmie Izraelskiej mocno powiązanej z Mosadem (oficjalna informacja) dane o swej infrastrukturze.

  18. Drogi Niebiezpieczniku

    Na Wykopie pod wykopnanym Waszym artykułem ktoś wykopał i powiązał taki oto news.
    Magiczne narzędzie, które Ci smartpone’a chetnie sprawdzi. Pytanie co jeszcze sprawdzi?

    https://imgur.com/I2aqAIk

    Ogólnie – znacie i polecacie jakiś soft tego typu?
    Czy raczej “bądź ostrożny”, używaj antivir’a

    • To samo narzędzie masz zalinkowane w naszym artykule przecież…

  19. To symbian jest bezpieczny;)
    Ciekawe jak sytuacja ma sie z ubuntu touch czy postmarket os. Oraz innymi niszowymi debianami?

  20. Nie chce byc złośliwy ale to takie troche… sprawdz czy masz wirusa, jeśli nie masz, po kliknięciu w link napewno będziesz go miał :) 1 lekcja … nie klikać w “linki” … a tutaj sugestia.. aby jednak kliknąć :)

  21. “most popular smartphones based on BlackBerry, Android, iOS, and Symbian operating systems.

  22. Boszszsz … I co my teraz zrobimy z tymi lotniskowcami, które trzeba będzie kupić w zamian za utajnienie polskiej części tej niechlubnej listy?

  23. Dlatego telefon sluy do dzwonienia, a smartphone nie jest wcale smart.

    • Smart phones, dumb users ;)

  24. A jakby się komuś już znudził Pegasus tu, Pegasus tam – to przedstawiam Candiru: https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

  25. A co mają powiedzieć ci którzy używają smartfonów ale z systemem operacyjnym 10 OS. Bo to ani Android ani iOS? Czyżby o nich zapomnieli twórcy Pegasusa lub dziennikarze Forbidden Stories i Amnesty International?

  26. Czyli szpiegują bandytów. Bardzo dobrze.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: