Pegasus, a szárnyas trójai faló: így működik a világ legfejlettebb kémszoftvere
Emberi jogi aktivistákat, újságírókat, politikusokat és ügyvédeket, köztük magyar újságírókat figyeltek meg egy kiberhadviselésre és megfigyelésre szakosodott izraeli cég által fejlesztett szoftverrel, a Pegasussal. Bár a kémszoftvert eredetileg a szervezett bűnözés elleni eszköznek szánták, úgy tűnik, az NSO Group által fejlesztett eszközt több autoriter kormány is megvásárolta.
Az évtized megfigyelési botrányának ígérkező esetben ötvenezer személy lehet érintett; nagyjából ennyien szerepelnek a potenciális célpontok listáján. Azt mostanáig nem sikerül tisztázni, hogy honnan szivároghatott ki a lista, és az sem világos, hogy közülük hánynak a telefonjára telepítették a Pegasust.
Láthatatlan, de igen hatékony
Alighanem a Pegasus minden idők leghatékonyabb kémprogramja, amit magáncég gyártott: a szoftver a célszemély eszközére telepítve 24 órán át megfigyelheti minden aktivitását. 2016 augusztusában azonosították, miután egy emberjogi aktivista gyanúsnak tűnő linket kapott az iPhone-jára. A nyomozás kiderítette, hogy a telefont egy addig ismeretlen kémszoftverrel (spyware) fertőzték meg.
„A Pegasus moduláris malware (kártékony szoftver). Miután leszkenneli a célszemély eszközét, telepíti a szükséges modulokat, amelyeket az illető üzeneteinek és leveleinek elolvasására, a hívások lehallgatására, képernyőfotók készítésére, billentyűzetfigyelésre, a böngészési előzmények és a kontaktlista kinyerésére, és hasonló tevékenységekre használnak. Gyakorlatilag a célszemély életének minden aspektusát kifürkészhetik vele.”
– írta a Kaspersky Lab 2017-es jelentésében a Pegasusról.
A Pegasus 2016-ban azonosított verziója az úgynevezett spearfishing módszerét használta: emailben vagy szöveges üzenetben kártékony linket küldtek a célszemély telefonjára. Ha a felhasználó rákattintott a linkre, megfertőződött a telefonja.
2016 óta a Pegasus rengeteget fejlődött. Az NSO nemcsak a nullklikkes támadás (zero-click attack) lehetőségével bővítette ki a szoftvert, hanem a lehallgatási módszerein is sokat finomított. A Pegasus ma már úgy is beférkőzhet a készülékekre, ha a célszemélyt felhívják a Whatsappon; a hívást nem is kell fogadni a kémszoftver telepítéséhez. Mivel a Pegasus átveheti az irányítást a telefon számos funkciója, többek között a híváslista fölött, minden nyomát eltüntetheti a saját tevékenységének, így a felhasználó sosem tudja meg, hogy megfertőzték a telefonját.
A Torontói Egyetemen működő Citizen Lab kutatása szerint a Pegasust úgy tervezték meg, hogy se az antivírus-szoftverek, se az igazságügyi szakértők vizsgálata ne mutathassa ki a jelenlétét. Az észlelését az is megnehezíti, hogy a kémszoftvert telepítő operátorok távolról deaktiválhatják és eltávolíthatják a készülékről a Pegasust. Az NSO rengeteg energiát fektetett abba, hogy a szoftver észrevétlen maradjon: a legfrissebb verzió nem a telefon adattárolójára, hanem az átmeneti memóriába telepíti magát, így kikapcsolás után a jelenlétének minden nyoma elillan. A Citizen Lab kutatása világított rá arra is, hogy a Pegasust a világ 45 országában használhatták.
Mindenhová beférkőzhet
A Pegasus az androidos és IOS-es készülékek gyenge pontjait keresi. Előszeretettel célozza meg a nulladik napi sebezhetőségeket, vagyis a mobil operációs rendszerek legfrissebb kiadásainak azonosítatlan, a gyártó által sem ismert hibáit. Aktiválhatja a készülék kameráját, mikrofonját, GPS-ét, megfigyelheti a levelezést és az üzenetküldést, és olyan kommunikációs szoftverekbe férkőzhet be, mint a Gmail, az iMessage, a Viber, a Facebook, vagy a Telegram.
Az észrevétlen telepítés után a Pegasus kapcsolatba lép a kontrollszerverekkel; ezek adják ki az utasításokat a készülék tartalmának megnyitására. A távoli vezérléssel a kémszoftvert telepítő fél hozzáférhet a felhasználó jelszavaihoz, a kontaktlistához, a szöveges üzenetekhez, illetve aktiválhatja a kamerát, a mikrofont és a GPS-t. Még az olyan, kétoldali titkosítást használó csetprogramok sincsenek előle biztonságban, mint a Whatsapp. Egy 2019-es eset bizonyítja, hogy a Pegasus a Whatsapp hang- és videóhívásait is lehallgathatja.
Több kiberbiztonsági szakértő véleménye szerint a Pegasustól csak úgy szabadulhatunk meg, ha kidobjuk a fertőzött telefont. A Citizen Lab szerint a gyári helyreállítás (factory reset) sem törli véglegesen a kémszoftvert: a támadók még azután is hozzáférhetnek az online profiljainkhoz, hogy kiirtottuk a kártékony szoftvert. A legbiztosabb módszer az, ha készüléket cserélünk, és meggyőződünk róla, hogy a frissítettük azokat az alkalmazásokat, amelyeket a fertőzött eszközön használtunk.
Civilekre nem veszélyes
A szakértői jelentések szerint civileknek nem érdemes aggódniuk a Pegasus miatt. A legnagyobb technológiai vállalatok – az Apple, a Google, a Microsoft és a Whatsapp – évek óta vizsgálják a szoftvert, és javították a biztonsági hibákat, amelyeket a Pegasus a készülékek megfertőzésére használt. Bár a kémszoftvernek lehetnek új, potens variánsai, nem tömeges, hanem célzott megfigyelésre használják.
Attól sem érdemes tartani, hogy a Pegasus rossz kezekbe kerülne: a renegát hekkercsoportok aligha tudnák kifizetni az igen magas, több millió dolláros vételárat. Csak nagyobb szervezetek és kormányzati ügynökségek engedhetik meg maguknak a megvásárlását. A mai formájában a Pegasusszal néhány száz, legfeljebb néhány ezer személyt lehet megfigyelni, vagy még annyit sem – írja az Indian Times cikke. Ahogy azonban a mostani eset is illusztrálja, a Pegasusszal főleg titkos információkat birtokló személyeket céloznak meg: újságírókat, cégvezetőket, politikusokat, ügyvédeket.
Kormányzati összefonódás
A Pegasust az izraeli NSO Group fejlesztette. A vállalatot eredetileg egy amerikai magántőkealap, a Francisco Partners birtokolta, de az alapítók 2019-ben visszavásárolták tőlük a céget. Az NSO szerint a Pegasus „legitim kormányoknak biztosítja a technológiát a terrorizmus és a bűnözés elleni harchoz”. A hivatalos álláspontjuk szerint a kémszoftvert csak bűnügyi és nemzetbiztonsági célú nyomozásra lehetne felhasználni.
A szólásszabadságért küzdő online aktivista és blogger, Ali Abdulemam a Twitteren arról beszélt, hogy a különböző országokból begyűjtött adatokat az NSO szerverein is tárolják, így az izraeli kormánynak (technikai) lehetősége van rá, hogy hozzájuk férhessen. „Ha valakit meghekkelnek Bahreinben a Pegazust használva, Izraellel is megosztják az adataikat” – írta Abudlemam.
Az iszlám libertarianizmus híve, İyad el-Baghdadi ehhez azt fűzte hozzá, hogy bár az NSO-t nevezhetjük magáncégnek, de szoros kapcsolatokat ápol az izraeli rezsimmel: a cégben egykori kormányalkalmazottak is dolgoznak, és a kormánytól kaptak engedélyt kiberfegyverek gyártására. Ennélfogva – írta el Baghdadi – az NSO-t gyakorlatilag tekinthetjük az izraeli kormányhoz tartozó szárnynak, amelyet úgy szerveztek, hogy őszintén tudják tagadni az együttműködést, az NSO pedig nyugodtan hivatkozhasson arra, hogy ők profitorientált szervezet.
Kérdés, hogy ezek mennyire megbízható értesülések; az NSO Group patinás hírnevén nem ez lenne az első rozsdapötty. 2020 augusztusában az izraeli napilap, a Haaretz arról írt, hogy az NSO több százmillió dollárért eladta a Pegasust az Egyesült Arab Emírségeknek és más, az Arab-öbölben található államoknak, amik ezzel figyelték meg a rezsimek ellenségeinek számító újságírókat, aktivistákat, illetve a rivális államok politikai vezetőit. Mindez – írta a Haaretz – az izraeli hatóságok tudtával és bátorításával történt.
Az NSO tagadja az érintettségét az ügyben. Mint állítják, a szoftvert a bűnözés és a terrorizmus elleni harc eszközének szánták, és csakis katonai, bűnüldöző és hírszerző ügynökségek juthatnak hozzá, és közülük is csak azok a nemzetek, amik tiszteletben tartják az alapvető emberi jogokat. Az NSO szerint a mostani botrányt kirobbantó szervezetek – a párizsi székhelyű NGO Forbidden Stories és az Amnesty International – nyomozása téves feltételezésekre és megalapozatlan vádakra épül. Ugyanakkor azt is leszögezték, hogy tovább folytatják a nyomozást, hogy kiderítsék, használta-e bárki a szoftvert a fentitől eltérő célokra.
Kapcsolódó cikkek a Qubiten: