Pegasus от NSO Group

Pegasus от NSO Group
Скандал со слежкой с помощью программы Pegasus набирает обороты. Телефон президента Франции Эмманюэля Макрона, как и многих других политических лидеров, могли отслеживать спецслужбы - пишет Коммерсант. Существует неполный список таких лиц https://cdn.occrp.org/projects/project-p/#/ , в который входит даже создатель Telegram Павел Дуров.

Шпионское программное обеспечение от израильской компании NSO Group незаметно для пользователей устанавливали на смартфоны, затем получали доступ к информации на нем (фотографии, файлы, телефонная книжка, звонки, сообщения, геолокация), а также могли активировать микрофон или камеру - рассказывает руководитель компании "Интернет-Розыск" Игорь Бедеров.

«Сетевая инъекция» - так называется шпионская технология, позволяющая NSO Group незаметно внедрять Pegasus на устройства жертв. Оператору Pegasus было достаточно одного неотвеченного звонка жертве, чтобы запустить программу слежки на конечном устройстве.

Как работал Pegasus на устройствах пользователей? Приведем пример с марокканцем Маати Монджиба, слежка в отношении которого велась в 2019 году. При попытках Маати зайти на  Yahoo осуществлялось его перенаправления на внешний ресурс, имеющий поддомен 4-го уровня, нестандартно высокого номера порта и случайного URI. Схожие перенаправления происходили у Маати не только при серфинге в интернете, а также при запуске мобильных приложений, например, Twitter-а.

Как идентифицируется Pegasus на устройствах жертв:

1. подозрительные перенаправления, записываемые в истории просмотров браузера, а также детектируем при использовании специального ПО;

2. появление на устройстве дополнительных папок, таких как IndexedDB и т.п., обеспечивающих работу вредоносного ПО;

3. появление подозрительных процессов bh, в т.ч. записываемых в БД DataUsage.sqlite и netusage.sqlite на iPhone.

Уже появилось программное обеспечение, которое позволяет детектировать наличие Pegasus на iPhone (с Android все намного сложнее).

Скачать его можно по ссылкам:
https://github.com/mvt-project/mvt
https://mvt-docs.readthedocs.io/en/latest/
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Игорь Бедеров

+7(812)983-04-83 office@irozysk.ru www.интернет-розыск.рф www.телпоиск.рус