Как израильские программы-шпионы Pegasus попадали на смартфоны объектов интереса?

Вот основные способы, как он оказывался на телефоне:

1. «Zero-Click» Attacks (Атаки с нулевым кликом) — Самые опасные и изощренные

Это «святой грааль» для хакеров. Для заражения не требуется никаких действий со стороны жертвы. Не нужно нажимать на ссылку, отвечать на звонок или открывать файл.

• Как это работает? Злоумышленник отправляет на телефон жертвы специально сформированное сообщение (через iMessage, WhatsApp, SMS) или даже вызов через сеть мобильного оператора. Это сообщение содержит эксплойт (код, использующий уязвимость), который заставляет программное обеспечение телефона (обработчик сообщений, медиаплеер и т.д.) самостоятельно выполнить вредоносный код и установить шпионское ПО.

• Пример: В 2019 году была обнаружена уязвимость в WhatsApp (CVE-2019-3568). Для заражения было достаточно позвонить жертве через WhatsApp. Даже если жертва не отвечала на звонок, эксплойт срабатывал через механизм обработки звонков. Позже подобные уязвимости находили и в iMessage.

2. «One-Click» Attacks (Атаки с одним кликом) — Классическая фишинговая атака

Это более старый, но все еще эффективный метод. Здесь требуется, чтобы жертва совершила одно простое действие.

• Как это работает? Жертве приходит сообщение (SMS, в мессенджере, по email), маскирующееся под что-то важное и безобидное: ссылка на «голосование», «приглашение на секретное совещание», «уведомление от суда», «фотография от друга», «обновление системы безопасности».

• Жертва переходит по ссылке. Ссылка ведет на сайт, который использует уязвимости в браузере телефона (или в самом мессенджере, если ссылка открывается в нем) для установки вредоносного ПО.

• Иногда сайт может перенаправить жертву на легитимный ресурс после успешного взлома, чтобы не вызывать подозрений.

3. Сетевые атаки (Network Injections)

Этот метод требует контроля над сетью, через которую проходит трафик жертвы (например, в кафе с публичным Wi-Fi или через скомпрометированного провайдера).

• Как это работает? Когда жертва посещает какой-либо сайт (даже абсолютно легальный, вроде Google.com), оборудование злоумышленника в сети «впрыскивает» вредоносный код в передаваемые данные. Браузер жертвы загружает этот код и, если в нем есть уязвимость, происходит заражение.

4. Социальная инженерия и физический доступ

Хотя это менее вероятно для высокопрофильных целей, Pegasus теоретически можно установить и вручную.

• Социальная инженерия: Злоумышленник может выдать себя за технического специалиста и убедить жертву установить какое-либо «безопасное» приложение, которое на самом деле является трояном.

• Физический доступ: Если телефон жертвы остался без присмотра даже на несколько минут, злоумышленник может быстро установить шпионское ПО вручную.

Почему это так сложно обнаружить и предотвратить?

• Использование Zero-Day уязвимостей: NSO Group и подобные компании тратят миллионы на покупку или поиск ранее неизвестных уязвимостей (zero-day) в iOS, Android, WhatsApp и т.д. Пока разработчик (Apple, Google) не узнает об этой уязвимости и не выпустит патч, атака является практически неотразимой.

• Стелс-режим: После установки Pegasus стремится быть максимально незаметным: он удаляет следы входящего сообщения/звонка, который его доставил, и использует сложные техники для маскировки своей активности на устройстве.

Как защититься?

Полная защита от целевых атак с нулевым кликом почти невозможна для обычного пользователя, но можно drastically снизить риски:

1. ВСЕГДА обновляйте ОС и приложения. Это самое главное. Обновления закрывают известные уязвимости.

2. Перезагружайте телефон. Некоторые версии Pegasus были резидентными только до первой перезагрузки (хотя современные версии научились выживать и после нее).

3. Включите «Lockdown Mode» на iPhone. Этот режим, представленный Apple, серьезно ограничивает функционал (например, отключает превью ссылок в iMessage, некоторые технологии веб-сайтов), чтобы блокировать даже самые изощренные атаки. Рекомендуется для тех, кто может стать целью.

4. Используйте проверенные сети. Избегайте публичных Wi-Fi сетей для важных дел.

5. Будьте скептичны. Не переходите по подозрительным ссылкам, даже от знакомых.

Вывод: Pegasus и подобное шпионское ПО попадает на устройства через эксплуатацию скрытых уязвимость в самом ПО телефона и приложений, в основном с помощью атак с нулевым кликом, которые не оставляют жертве ни малейшего шанса на сопротивление. Это делает его чрезвычайно мощным и опасным инструментом слежки.

Евгений Ющук