Инструмент для шпионажа разработан израильской компанией NSO Group и используется спецслужбами.
Утром 10 августа 46-летний борец за права человека Ахмед Мансур (Ahmed Mansoor) из ОАЭ получил на свой iPhone с неизвестного номера подозрительное текстовое сообщение: «Тайные пытки в государственной тюрьме Эмиратов», сопровождаемое ссылкой. Ранее Мансур уже становился жертвой правительственных хакеров, использовавших инструменты от FinFisher и Hacking Team, поэтому решил не нажимать на ссылку и переслать сообщение ИБ-эксперту Citizen Lab Биллу Маржаку (Bill Marczak).
Согласно экспертам Citizen Lab и Lookout , сообщение действительно было фишинговым, и ссылка направляла не на секретную информацию, а загружала образец сложного вредоносного ПО. Программа эксплуатирует три неизвестные уязвимости в Apple iOS (известны как Trident) и предоставляет хакерам полный контроль над устройством.
Стоит отметить, ранее подобные атаки никогда не фиксировались, и случай с iPhone Мансура является первым. До сих пор исследователи не сталкивались с шпионским ПО, использующим сразу три уязвимости нулевого дня в iOS. Стоимость технологий и инструментов, необходимых для проведения атаки (по существу, это удаленный джейлбрейк iPhone), может достигать $1 млн. Исследователи уведомили Apple об уязвимостях, и 25 августа компания выпустила исправления.
По словам экспертов, ранее им не доводилось сталкиваться с вредоносами такого типа. Как пояснил Майк Мюррей (Mike Murray) из Lookout, разработчиком данного ПО является малоизвестная израильская компания NSO Group, которую эксперт назвал «дилером киберармии». Компания была основана в 2010 году и занимается разработкой инструментов для взлома мобильных устройств по заказу правительств. Как заверяют в компании, их программы незаметны, «словно призраки».
Разработанное NSO Group вредоносное ПО Pegasus предназначено для незаметного инфицирования iPhone с целью похищения хранящейся на нем информации и перехвата передаваемых данных. «Вредонос в прямом смысле похищает абсолютно всю информацию с телефона: перехватывает все звонки, текстовые сообщения, электронные письма, контакты, видеозвонки FaceTime. Он также открывает лазейки во всех механизмах связи на вашем телефоне. Он похищает информацию из Gmail, сообщения, информацию и контакты в Facebook и в других приложениях, таких как Skype, WhatsApp, Viber, WeChat, Telegram и т.д.», - сообщил Мюррей.
Никаких овечек — только отборные научные факты