Jak agencje rządowe używając Pegasus’a hackują telefony swoich obywateli?

Opublikowano

Ostatnimi czasy kolejne doniesienia pojawiają się w mediach nt. Pegasusa i jego rzekomego wykorzystania przez polski rząd do walki z opozycją. Temat jest bardzo interesujący i wielowątkowy, choć na pierwszy rzut oka dla większej części osób nietechnicznych temat może okazać się oderwany od ich rzeczywistości, niemniej warto dowiedzieć się co nieco w temacie.

Do tematu starałem się podejść z wielu stron, no i wyszedł tasiemiec. Zacznijmy jednak od początku…

Co to jest Pegasus?

Pegasus to oprogramowanie typu spyware stworzone przez izraelską organizację NSO Group, które służy do inwigilacji urządzeń mobilnych przez służby specjalne. Z założenia było to oprogramowanie utworzone do walki z przestępczością i terroryzmem. Jak twierdzi sam założyciel Shalev Hulio w wywiadzie z CBSnews:

… sprzedajemy Pegasusa, by zapobiegać przestępstwom oraz terrorowi.

oraz

Pomagamy stworzyć bezpieczniejszy świat. 

Firma NSO powstała w 2010 r. w tzw. Izraelskiej Dolinie Krzemowej, a dokładnie w Herclijji. Założyciele to Niv Carmi, Omri Lavie i Shalev Hulio. Pomimo, że nie była to jedyna firma w sektorze cyberbezpieczeństwa, bardzo szybko przedsięwzięcie okazało się intratne, przynosząc już w 2013 r. roczny zysk na poziomie 40 mln USD, a w 2015 zwielokrotnili ten wynik do 150 mln USD. To wszystko przyczyniło się do wyceny 1 mld USD w 2017, co można uznać za spory sukces na tle pozostałych firm technologicznych w okolicy. Pegasus jest ich nie jedynym, ale wyjątkowym dzieckiem, dzięki któremu stali się bardziej rozpoznawalni na arenie międzynarodowej, choć w przypadku tej branży organizacje starają się raczej nie skupiać na sobie uwagi.

Bardzo dobry opis tego czym jest Pegasus znaleźć można w samej instrukcji tego oprogramowania:

Pegasus to wiodące na świecie rozwiązanie do wywiadu cybernetycznego, które umożliwia organom ścigania i agencjom wywiadowczym zdalne i potajemne wydobywanie cennych informacji z praktycznie każdego urządzenia mobilnego. To przełomowe rozwiązanie zostało opracowane przez weteranów elitarnych agencji wywiadowczych, aby zapewnić rządom sposób radzenia sobie z nowymi wyzwaniami związanymi z przechwytywaniem komunikacji na dzisiejszym bardzo dynamicznym cybernetycznym polu bitwy. Przechwytując nowe typy informacji z urządzeń mobilnych, Pegasus wypełnia istotną lukę technologiczną, zapewniając najdokładniejszy i kompletny wywiad dla Twoich operacji bezpieczeństwa. To rozwiązanie jest w stanie penetrować najpopularniejsze na rynku smartfony oparte na systemach operacyjnych BlackBerry, Android, iOS i Symbian. Pegasus po cichu wdraża niewidoczne oprogramowanie („agent”) na urządzeniu docelowym. Agent ten następnie wyodrębnia i bezpiecznie przesyła zebrane dane do analizy. Instalacja odbywa się zdalnie (over-the-air), nie wymaga żadnego działania ani kontaktu z celem i nie pozostawia żadnych śladów na urządzeniu.

Błędy, czyli jak działa Pagasus?

Oprogramowanie to z założenia przeznaczone zostało do wykorzystania przez agencje bezpieczeństwa, które dotychczas mogły pozyskiwać dane (np. treść wiadomości SMS) bezpośrednio od operatorów sieci komórkowej. Jednakże w obliczu nowych technologii i nowoczesnych smartphone’ów, które nierzadko są szyfrowane, organizacje takie obecnie potrzebują narzędzia, które pozwoli uzyskać te dane pomimo istniejących utrudnień. Wg dostępnych informacji, oprogramowanie to można wykorzystać do podsłuchiwania urządzeń z Android, iOS, Blackberry oraz Symbian.

Jak wiadomo każdy system operacyjny posiada błędy. Jest to oczywiste, stąd firmy tworzą programy tzw. bug bounty w celu zachęcenia osób, które odkryją błąd lub podatność, by zgłaszały je prosto do nich. Dzięki temu producent może wydać aktualizację naprawiającą dany błąd szybciej, niż by został wykorzystany przez hackerów. Dla przykładu Apple także posiada program bug bounty, w którym stawki za błędy sięgają nawet do 1 mln USD za zgłoszoną podatność. Z programów tych najczęściej korzystają white hat’ci, czyli ci dobrzy hackerzy starający się zwiększać bezpieczeństwo systemów.

Jeśli jednak nagroda ta dla kogoś wydaje się niewystarczająca to po przeciwnej stronie barykady znajdują się brokerzy exploit’ów skupujący takie podatności za często większe pieniądze, następnie podatność taka (nazywana 0-day) wykorzystywana jest przy tworzeniu nowego wektora ataku. Oczywiście do czasu, gdy producent załata odkrytą lukę.

Dla przykładu jednym z takich brokerów jest Zerodium, który chwali się na swojej stronie cennikiem (zamieszczony również poniżej), z którego wynika, że niektórzy mogą zmienić zdanie skuszeni nawet 2-krotnie wyższymi zarobkami.

Jak więc dochodzi do zainfekowania telefonu?

W przypadku systemu iOS, wykorzystywane są nowo odkryte 0-day’e do przeprowadzenia zdalnego jailbrake, który może nastąpić na kilka sposobów.

Over the air

Metoda zdalna wykorzystująca spreparowane wiadomości typu Push, po otrzymaniu której w tle następuje instalacja agenta. Metoda nie wymaga klikania w żaden link ani otwierania wiadomości.

Według moich przypuszczeń, ten wektor ataku możliwy jest tylko, gdy posiadamy zainstalowaną aplikację lub zaakceptujemy Push notyfikacje ze strony internetowej, która takową wiadomość by wysłała. W przypadku iOS (oraz analogicznie w pozostałych platformach), możliwość wysyłki wiadomości Push jest możliwa dopiero po zarejestrowaniu urządzenia w APNS, stąd mój wniosek. Oficjalnych informacji na ten temat nie znalazłem, stąd ciekaw jestem czy rzeczywiście można potwierdzić tę tezę.

Krótko mówiąc można zauważyć, że warto uważnie sprawdzać komu zezwalamy na komunikację poprzez kanał wiadomości Push.

Enhanced Social Engineering Message (ESEM)

Również metoda zdalna, która opiera się o wysyłkę linku poprzez kanały komunikacji, tj. SMS, mail, WhatsApp lub inne komunikatory na urządzeniach mobilnych. W tym wypadku smartphone może zostać zainfekowany tylko po kliknięciu w otrzymany link. Wtedy następuje instalacja agenta w tle.

Zważywszy na fakt, że metoda ta pozostawia dużo więcej śladów, jest ona rekomendowana w sytuacji, gdy metoda OTA nie jest możliwa do przeprowadzenia. Samo narzędzie Pegasus posiada funkcjonalność tworzenia (jak twierdzą autorzy) wiarygodnych wiadomości, które zwiększają prawdopodobieństwo kliknięcia w link przez ofiarę.

Jednak jak pokazuje historia Ahmeda Mansoora, nie zawsze tak musi być. Mansoor, międzynarodowy obrońca praw człowieka, którego inwigilować chciały służby Zjednoczonych Emiratów Arabskich, nauczony doświadczeniem lat wcześniejszych, kiedy również był wielokrotnie atakowany, zamiast kliknąć w otrzymany link przesłał go do Citizen Lab. Ten zaś przeprowadził analizę na kontrolowanym przez nich środowisku, dzięki której mogli powiadomić Apple z jakich podatności skorzystał NSO. Notabene, wypuszczona łatka przez Apple uniemożliwiła dalsze korzystanie z Pegasusa przez pozostałe organizacje rządowe w tym czasie.

W tej metodzie istotne jest, by weryfikować wiarygodność podsyłanych linków oraz nie klikać w przypadkowe linki otrzymywane w reklamach czy innej „niezamawianej” treści.

Tactical Network Element

Metoda krótkiego zasięgu, wymaga by w pobliżu ofiary wykorzystać podstawiony BTS. Gdy urządzenie ofiary zaloguje się do sieci, możliwe będzie przejęcie nieszyfrowanego ruchu na tym urządzeniu, a następnie wykorzystane to zostanie do instalacji agenta w tle.

Można jednak zapobiec tej metodzie poprzez zastosowanie tunelu VPN z włączoną opcją szyfrowania ruchu.

Fizyczna

Gdy poprzednie metody zawiodą, wykorzystywana jest metoda bezpośredniego dostępu do urządzenia, gdzie instalacja oprogramowania trwa mniej niż 5 minut.

Dlatego tak ważne jest, by nie udostępniać fizycznie urządzenia nikomu. Biorąc pod uwagę, że Polska jest w posiadaniu Pegasusa (o czym w dalszej części artykułu), należy zwracać szczególną uwagę w takich sytuacjach jak np. gdy funkcjonariusz policji chce sprawdzić numer IMEI, by zweryfikować czy telefon nie jest kradziony, na co pozwala mu art. 15 Ustawy o Policji. W tym wypadku można udostępnić numer IMEI, jednak bez przekazywania fizycznie urządzenia.

Nie wspominając o tym, że Policja nie może zmusić nikogo, nawet osoby podejrzanej o przestępstwo, do odblokowania telefonu. W tym wypadku, gdy zostanie użyta metoda siłowa lub urządzenie zostanie zarekwirowane, wystarczy skorzystać z opcji 5-krotnego wciśnięcia przycisku Power w celu uruchomienia trybu SOS lub wyłączenie telefonu. Oba te przypadki spowodują usunięcie kluczy z pamięci telefonu, a jego odblokowanie pozostanie dla służb niemożliwe, ponieważ zawartość pozostanie zaszyfrowana.

Jakie dane wykrada Pegasus?

Spyware pozwala na wyciągnięcie takich informacji jak:

  • treści tekstowe — SMSy, maile, kalendarze, historia połączeń, lista kontaktów, historia przeglądarki itd.
  • audio – podsłuchiwane połączenia telefoniczne, dźwięki z otoczenia (nagranie z mikrofonu) oraz pozostałe pliki audio.
  • wizualne – zdjęcia z kamery, zrzuty ekranów, zdjęcia z biblioteki zdjęć.
  • pliki – wszelkie dostępne na urządzeniu, mogą to być dokumenty, bazy danych, itd.
  • lokalizacja – dane zbierane za pomocą GPS oraz Cell-ID

Dodatkowo gdy istnieje możliwość ujawnienia agenta, automatycznie uruchamiany jest mechanizm samoniszczenia.

Kto wykorzystuje Pegasusa?

Wg badań przeprowadzonych przez Citizen Lab w 2018 roku, ujawniono wykorzystanie Pegasusa w 45 krajach, w tym w Polsce. Grupa operacyjna zajmująca się w naszym kraju tymi atakami, jak podaje Citizen Lab, to ORZELBIALY. Spyware budzi wiele kontrowersji, z racji tego, że pomimo iż został stworzony do wychwytywania terrorystów i innych przestępstw, zaczął być używany przez poszczególne rządy do walki z opozycją, dziennikarzami czy innymi niewygodnymi dla rządu organizacjami, np. zajmującymi się prawami człowieka. Problemem zapewne jest to, kto miałby decydować o tym kogo zakwalifikować jako terrorystę lub zagrożenie dla kraju. Koniec końców efekt jest taki, że Pegasus został wykorzystany przez takie kraje jak Arabia Saudyjska, Meksyk, czy Zjednoczone Emiraty Arabskie w celu osiągnięcia własnych celów politycznych.

Jamal Khashoggi

Jednym z przykładów jest dziennikarz z Arabii Saudyjskiej, który w 2017 przeprowadził się do USA, by tam pisać dla The Washington Post. CNN opisał go następująco: „Khashoggi był dziennikarzem po prostu wykonującym swoją pracę, który ewoluował z islamisty po dwudziestce do bardziej liberalnego stanowiska w wieku czterdziestu lat”.

Otwarcie krytykował działania rządu Arabii Saudyjskiej w swoich publikacjach, przez co pojawił się na celowniku tamtejszego rządu. W 2018 roku został on zamordowany przez agentów rządowych w konsulacie Arabii Saudyjskiej w Stambule, na zlecenie następcy tronu Mohammeda bin Salmana.

Jak się okazało podczas procesu sądowego przeciw NSO Group, raport utworzony przez Citizen Lab ujawnił, że system Pegasus został użyty do inwigilacji zaufanej osoby Khashoggiego. Na urządzeniu mobilnym Omara Abdulaziziego, dysydenta Arabii Saudyjskiej, został zainstalowany spyware, dzięki któremu możliwe było przechwycenie korespondencji, w której można było odnaleźć m.in. niepochlebne słowa Khashoggiego na temat działań rządu. Miało to miejsce na miesiąc przed zabójstwem.

Sam założyciel NSO Group zaprzeczył jakoby firma miałaby być zamieszana w tę sytuację, oraz że nie wspierają działań łamiących prawa człowieka. Odmówił on jednak komentarza dla doniesień, że on osobiście udał się do stolicy Arabii Saudyjskiej by zrealizować sprzedaż systemu Pegasus o wartości 55 mln $.

Omar Radi

Kolejnym przykładem jest marokański aktywista i obrońca praw człowieka Omar Radi, który znalazł się na celowniku władz Maroka. Od 2019 do 2020 roku był inwigilowany przez tamtejsze służby za pomocą Pegasusa. Co doprowadziło do jego zastraszania, a później aresztowania za relacjonowanie działań rządu.

Sprawie przyjrzała się Amnesty International, który stworzył obszerny raport, w którym można znaleźć szczegółowo przedstawioną historię, m. in. możemy znaleźć powód jednego z aresztowań:

26 grudnia 2019 r. marokańskie władze aresztowały Radia za tweeta, którego opublikował na początku tego samego roku w kwietniu, krytykując system sądowniczy za podtrzymanie wyroku przeciwko protestującym w 2017 r. z ruchu protestacyjnego w północnym regionie Maroka, znanym jako Hirak el-Rif. Kilka dni po aresztowaniu sąd w Casablance przyznał mu tymczasowe zwolnienie. Jednak 17 marca sąd w Casablance skazał go na karę czterech miesięcy w zawieszeniu i grzywnę w wysokości 500 dirhamów (52 dolarów).

Obecnie skazany jest na 6 lat więzienia za rzekome szpiegostwo oraz gwałt.

Ewa Wrzosek i wątek Polski

W serwisie Twitter, na profilu prokurator Ewy Wrzosek udostępniona została ostatnio informacja o otrzymanej korespondencji od Apple stwierdzającej, że jej urządzenie mogło stać się celem ataku ze strony służb państwowych.

Czy to przypadek? Taka wiadomość jest naturalnym skutkiem aktualnie wytoczonego pozwu Apple przeciw NSO Group (z 23.11.2021r.).

Podobne wiadomości otrzymali już także aktywiści z Tajlandii, Salwadoru, Ugandy i nie tylko.

Czy jest zatem możliwe że Polska jest w posiadaniu Pegasusa? Już w 2018r. serwis tvn24.pl ustalił, iż CBA nabyło oprogramowanie do inwigilacji za kwotę 33 mln zł. Ponadto, w sprawie Sławomira Nowaka dowody zostały pozyskane także przy użyciu Pegasusa.

Problemem jednak jest, że tak jak w pozostałych przypadkach, oprogramowanie które miało służyć do walki z przestępczością jest wykorzystywane do walki z opozycją lub aktywistami.

Czy mam się czego bać? Jak żyć?

Biorąc pod uwagę że cena licencji za inwigilację 1 osoby to koszt ok. 25 000 USD, raczej wątpliwym jest by zwykły obywatel miał być inwigilowany tym narzędziem przez służby. Głównie na celowniku znajdą się aktywiści, dziennikarze (serwis The Guardian ujawnia 180 inwigilowanych dziennikarzy), działaczy organizacji NGO, urzędników państwowych itd.

Amnesty International przygotował dokument w którym opisuje metodykę ataku. Dodatkowo przygotowali narzędzie MVT dostępne na GitHub, dzięki któremu można sprawdzić czy urządzenie zostało zainfekowane Pegasusem.

Dalsza przyszłość Pegasusa

Patrząc na obecną sytuację NSO Group próbuje odciąć się od wszystkich niechlubnych historii, utrzymując, że jest to narzędzie przeznaczone tylko dla organizacji rządowych do użytku jedynie w celach walki z terroryzmem oraz przestępczością. Z tego też powodu w czerwcu 2021 r. NSO Group utworzył raport, w którym podkreśla, w jakim celu system został stworzony i ile dobrego udało się z jego pomocą dotychczas zrobić.

Dodatkowo możemy znaleźć informację, że systemy używane do walki w cyberprzestrzeni, traktowane są jak każda inna broń, co sprawia że eksport np. Pegasusa nakłada szereg wymagań na kraj chcący uzyskać takie narzędzie, sprawiając, że niektóre kraje zostają wykluczone z transakcji, jak podaje dokument:

W ocenie kraju wykorzystuje się zewnętrzne i powszechnie uznane źródła skoncentrowane na: (i) prawach człowieka i wolności słowa w kraju; (ii) siła rządów prawa i stabilność polityczna kraju; oraz (iii) postrzeganie korupcji w kraju w celu zapewnienia wglądu w relatywne mocne strony ochrony praw człowieka w danym kraju.

NSO podkreśla, że w wyniku wdrożonego procesu weryfikacji, aktualnie odrzucił już możliwości sprzedaży oprogramowania o wartości 300 mln USD.

Dzięki powyższym wymaganiom oraz nowej polityce ministerstwa obrony Izraela z 25.11.2021 r., Polska została uznana za „autokratyczny reżim” i nie znalazła się na liście 37 krajów, do których może zostać sprzedana cybernetyczna broń, w tym Pegasus.

Tym samym może się okazać, że licencja zostanie utracona i CBA nie będzie miało możliwości dalszego korzystania z systemu. Jak wskazuje dokumentacja, dostęp do narzędzia może zostać ograniczony lub wyłączony zdalnie.

Nie wiem tylko czy cieszyć się, że możliwość inwigilacji zostanie ograniczona, czy raczej zacząć się bać w jakim kraju przyszło mi żyć.

Autor: macuser

Na co dzień pracuje jako iOS Developer, a w czasie wolnym uwielbia tworzyć muzykę w swoim domowym studio. Lubi czytać książki na temat psychologii, technik marketingu, oraz być ciągle na bieżąco z nowymi trendami w świecie technologii.