ТЕХНОЛОГІЇ

Шпигунське ПО на службі держави. Що таке Pegasus та чи загрожує він українцям

04 Жовтня 2023, 09:00
7 хв читання
Матеріал успішно додано в закладки Досягнуто максимальної кількості закладок
Додати в закладки

Будь-яку статтю можна зберегти в закладки на сайті, щоб прочитати її пізніше.

Надія Баловсяк Спостерігаю за технологіями, аналізую та розповідаю про них
Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Режим читання

Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.

У середині вересня стало відомо, що засновниця російського видання Meduza стала жертвою зламу з боку невідомих замовників із використанням Pegasus — шпигунського інструменту ізраїльської розробки. Його застосування змушує замислитися, а чи не сама росія стоїть за атакою, а отже — і про потенційну загрозу для українців. 

Журналістка Надія Баловсяк розповідає, як працює та ким застосовується Pegasus, а також разом з експертом пояснює, як зрозуміти, що проти вас використали це ПО, та захиститися від нього. 

Що таке Pegasus та хто його створив

Pegasus — шпигунське ПО для пристроїв на базі iOS та Android. Програма дозволяє у віддаленому режимі отримувати доступ до вмісту смартфона та його функцій. Зокрема, до повідомлень у месенджерах, до електронної пошти, фото, геолокацій, камери, мікрофону тощо.

В атаках з використанням Pegasus застосовують фішингові посилання та вразливості нульового дня. Під першими маються на увазі ситуації, коли жертва отримує повідомлення з посиланнями, переходить за ними — і після цього на пристрій завантажується шкідливе ПО. 

Вразливостями нульового дня називають ті, про які не знають розробники операційних систем або іншого ПО. Відповідно — користувачі ніяк не захищені. У цьому випадку часто застосовувались zero-click-вразливості. Тобто такі, які не вимагають дій від жертв зламу. 

І кілька слів про авторів програми. Pegasus розробила ізраїльська компанія у сфері кіберрозвідки NSO Group. Її створили у 2010 році. На офіційному сайті компанії сказано, що «NSO Group розробляє найкращі у своєму класі технології, щоб допомогти державним установам виявляти та запобігати тероризму та злочинності». Також підкреслюється, що «продукти NSO використовуються виключно урядовою розвідкою та правоохоронними органами для боротьби зі злочинністю та терором».  

Отже, Pegasus належить до категорії spyware — шпигунських програм. Проте на відміну від тих, які застосовують зловмисники, — це інструмент умовно державного використання.

Тобто його за потреби використовують спецслужби та уряди різних країн. Тут небезпека полягає в дуже тонкій грані, яка відділяє застосування на користь держави чи для її захисту від використання для переслідування інакодумців, журналістів, активістів. 

Хто постраждав від Pegasus 

Інформація про використання Pegasus з’явилася ще у 2016 році. Проте є відомості й про більш ранні кейси. Зокрема, програму, схоже, застосовували ще на iOS 7 (вийшла 2013-го).  

Дійсно гучно про Pegasus заговорили у 2021-році. Тоді вийшло розслідування організацій Amnesty International та Forbidden Stories щодо цього шпигунського ПО. Вони отримали доступ до понад 50 000 телефонних номерів, які клієнти NSO відбирали для слідкування. До списку, зокрема, потрапили президент Франції Емануель Макрон, засновник Telegram Павло Дуров, низка політиків, правозахисники, журналісти. 

А от про українців в переліку немає згадок. Оновлений список від квітня 2022 року теж не містить інформації про наших співгромадян, що постраждали від Pegasus. Правда, це не означає, що таких випадків взагалі не було. Можливо, про них просто невідомо.

Якщо про більш конкретні кейси, то Pegasus фігурував у резонансному вбивстві у будівні консульства Саудівської Аравії правозахисника та журналіста Джамаля Хашоггі. Шпигунським ПО атакували телефони низки близьких людей до Хашоггі. Зокрема, його друга та дружини.

І, звичайно, історія про російських жертв Pegasus, яка з’явилась в середині вересня 2023-го. Спочатку мова йшла про атаку на смартфон засновниці видання Meduza Галини Тимченко. Її телефон з латвійською SIM-картою (видання працює з Риги) зламали 10 лютого 2023-го. Також з’явилася інформація, що ще троє російських журналістів, так само як і Тимченко, отримали сповіщення про можливу «проурядову хакерську атаку» від Apple. Вони знаходилися в Європі та не відвідували росії. Неясно, чи ці троє журналістів стали саме жертвами Pegasus.

Також поки невідомо, хто стоїть за атакою. Офіційної інформації про те, що російська влада користувалася Pegasus, наразі немає. Meduza взагалі пише, що за атакою можуть стояти Латвія, Естонія та Німеччина. 

Які країни використовують Pegasus 

У свіжому звіті Парламентської Асамблеї Ради Європи (ПАРЄ) згадується, що Pegasus продали щонайменше 14 членам ЄС. Серед них — Німеччина, Польща, Угорщина, Іспанія, Нідерланди, Бельгія та Люксембург. Також є докази, що його застосовував Азербайджан.  

У розслідуванні 2021-го серед користувачів Pegasus називають як демократичні, так і авторитарні режими. Тут список країн можна доповнити Того, Марокко, Бахрейном, Саудівською Аравією, Руандою, Індією та Мексикою.

Щодо України, то наразі випадків використання Pegasus нашими спецслужбами не зафіксовано.

Проте у березні 2022 року The New York Times опублікував матеріал про спробу купити це ПО. Угоду блокував ізраїльський уряд через побоювання, що вона нашкодить взаємовідносинам з росією. 

Небезпека Pegasus: експертна оцінка 

Щоб зрозуміти, чи загрожує Pegasus українцям, ми звернулися до Павла Бєлоусова — експерта з питань цифрової безпеки ГО «Інтерньюз-Україна» та консультанта Школи цифрової безпеки DSS380. За його словами, він напряму не зустрічав випадків використання Pegasus проти українських цілей. 

«Проте коли вперше стало відомо про Pegasus, я чув, що один чи декілька українських номерів були в переліку жертв — у загальному списку 50 000 номерів. Підтвердити це не можу, та в цьому переліку України немає», — пояснює Павло Бєлоусов. 

Також він зазначив, що росіяни «в принципі» можуть використовувати таке ПО або його аналоги. Якщо вони не можуть напряму придбати ліцензію, то теоретично здатні використовувати тісні звʼязки з тією ж Угорщиною. Також існує можливість і створення власного подібного рішення:

«Pegasus використовує певні вразливості, які цілком можуть бути відомими будь-кому ще. Так, можливо, це стає відомо пізніше, ніж про це дізнається NSO Group (самі знаходять, або купують інформацію), але пошуком та експлуатацією вразливостей займаються багато людей та обʼєднань. Знаючи про вразливість та як її експлуатувати, — можна розробити продукт, який буде її використовувати та робити свої “темні” справи. Талановитих розробників у світі вистачає. Можливо, “саморобні” продукти не такі потужні чи ефективні, проте теж не дуже приємні для жертви, мʼяко кажучи», — розповів Бєлоусов.  

Для пошуку слідів Pegasus фахівець рекомендує утиліту MVT. Вона аналізує резервну копію зі смартфона, який потенційно міг бути заражений цим ПЗ. А от із захистом ситуація складніша:

«Захиститися не так просто, оскільки така атака не потребує ніякої дії від жертви (zero-click), а зловмиснику достатньо знати номер телефону. Проте, ризик суттєво можна знизити, якщо вчасно (одразу, як тільки виходить латка чи нова версія) оновлювати програмне забезпечення на смартфоні. Як правило, свіжі версії ПЗ закривають ті дірки в безпеці, які Pegasus та інші могли використовувати», — додає фахівець. 

Знайшли помилку? Виділіть її і натисніть Ctrl+Enter

Завантаження...