Erklärt: Wie die israelische Spyware Pegasus Ihr Gerät infiziert

0
60

Pegasus ist das Flaggschiffprodukt der NSO Group (Express-Abbildung)

Im November 2019 fotografierte ein Tech-Reporter aus New York City ein Abhörgerät auf der Milipol, einer Messe für Heimatschutz in Paris. Der Aussteller, die NSO Group, platzierte die Hardware auf der Rückseite eines Lieferwagens, was möglicherweise auf die Portabilität hindeutet, und sagte, dass sie bei US-Telefonnummern nicht funktionieren würde, möglicherweise aufgrund einer selbst auferlegten Einschränkung der Firma.

< p>Seit der Gründung des israelischen Cybergiganten im Jahr 2010 war dies wahrscheinlich das erste Mal, dass eine von NSO hergestellte tragbare Basisstation (BTS) in einem Medienbericht vorgestellt wurde.

Eine BTS – oder ‘Rogue Cell Tower’ oder ‘IMSI-Fänger’ oder ‘Stachelrochen’ — gibt sich als legitime Mobilfunkmasten aus und zwingt Mobiltelefone in einem Umkreis, sich damit zu verbinden, damit der abgefangene Datenverkehr von einem Angreifer manipuliert werden kann. Die 2019 fotografierte BTS bestand aus horizontal gestapelten Karten, die wahrscheinlich das Abhören über mehrere Frequenzbänder ermöglichen.

https://images.indianexpress.com/2020/08/1×1.png

Die andere Option ist um den Zugang zum Mobilfunkanbieter des Ziels selbst zu nutzen. In diesem Szenario würde ein Angreifer keinen Rogue-Mobilfunkturm benötigen, sondern sich zur Manipulation auf die reguläre Netzwerkinfrastruktur verlassen.

So oder so, die Möglichkeit, 'Network Injection'-Angriffe zu starten – aus der Ferne ohne Beteiligung des Ziels (daher auch < strong>Null-Klick genannt) oder Wissen — verschaffte Pegasus, dem Flaggschiffprodukt der NSO Group, einen einzigartigen Vorsprung gegenüber seinen Mitbewerbern auf dem globalen Spyware-Markt.

Pegasus steht nun im Zentrum eines globalen gemeinschaftlichen Ermittlungsprojekts, bei dem festgestellt wurde, dass die Spyware verwendet, um unter anderem Hunderte Mobiltelefone in Indien anzusprechen.

Lesen Sie auch |2019 & Jetzt entzieht sich die Regierung der Schlüsselfrage: Hat sie Pegasus gekauft?

Wie unterscheidet sich Pegasus von anderer Spyware?

Pegasus alias Q Suite, vermarktet von der NSO Group alias Q Cyber ​​Technologies als „weltweit führende Cyber-Intelligence-Lösung, die es Strafverfolgungs- und Geheimdiensten ermöglicht, Daten „von praktisch jedem mobilen Gerät“ aus der Ferne und verdeckt zu extrahieren“, wurde von Veteranen von . entwickelt Israelische Geheimdienste.

Bis Anfang 2018 verließen sich die Kunden der NSO Group hauptsächlich auf SMS- und WhatsApp-Nachrichten, um Ziele dazu zu verleiten, einen schädlichen Link zu öffnen, was zu einer Infektion ihrer Mobilgeräte führen würde. Eine Pegasus-Broschüre beschrieb dies als Enhanced Social Engineering Message (ESEM). Wenn auf einen als ESEM verpackten bösartigen Link geklickt wird, wird das Telefon zu einem Server geleitet, der das Betriebssystem überprüft und den geeigneten Remote-Exploit liefert.

Project Pegasus |Ein Quixplained, das Ihnen hilft, die Spyware zu verstehen

Amnesty International dokumentierte in seinem Bericht vom Oktober 2019 erstmals den Einsatz von „Netzwerkinjektionen“, die es Angreifern ermöglichten, die Spyware „ohne Interaktion des Ziels“ zu installieren. Pegasus kann solche Zero-Click-Installationen auf verschiedene Weise realisieren. Eine Over-the-Air (OTA)-Option besteht darin, heimlich eine Push-Nachricht zu senden, die das Zielgerät dazu bringt, die Spyware zu laden, wobei das Ziel die Installation nicht kennt, über die es sowieso keine Kontrolle hat.

Dies, in einer Pegasus-Broschüre prahlt, ist die “NSO-Einzigartigkeit, die die Pegasus-Lösung signifikant von jeder anderen auf dem Markt erhältlichen Spyware unterscheidet.

Lesen Sie auch |Elf Telefone ins Visier genommen: Von einer Frau, die den ehemaligen CJI der Belästigung beschuldigte, Verwandte

Welche Geräte sind anfällig?

Alle Geräte praktisch. iPhones wurden häufig mit Pegasus über die Standard-iMessage-App von Apple und das Push Notification Service (APNs)-Protokoll, auf dem sie basiert, ins Visier genommen. Die Spyware kann eine auf ein iPhone heruntergeladene Anwendung imitieren und sich selbst als Push-Benachrichtigung über die Server von Apple übertragen.

Im August 2016 meldete das Citizen Lab, ein interdisziplinäres Labor mit Sitz an der University of Toronto, der Cybersicherheitsfirma Lookout die Existenz von Pegasus, und die beiden meldeten die Bedrohung für Apple. Im April 2017 haben Lookout und Google Details zu einer Android-Version von Pegasus veröffentlicht.

Im Oktober 2019 beschuldigte WhatsApp die NSO Group, eine Schwachstelle in ihrer Videoanruffunktion ausgenutzt zu haben. „Ein Benutzer erhielt scheinbar einen Videoanruf, aber dies war kein normaler Anruf. Nachdem das Telefon klingelte, übermittelte der Angreifer heimlich bösartigen Code, um das Telefon des Opfers mit Spyware zu infizieren. Die Person musste nicht einmal den Anruf annehmen“, sagte WhatsApp-Chef Will Cathcart.

Im Dezember 2020 wurde in einem Citizen Lab-Bericht darauf hingewiesen, wie Regierungsmitarbeiter Pegasus benutzten, um von Juli bis August 2020 37 Telefone von Journalisten, Produzenten, Moderatoren und Führungskräften von Al Jazeera und dem in London ansässigen Al Araby TV zu hacken, indem sie einen Zero-Day ( eine den Entwicklern unbekannte Schwachstelle) gegen mindestens iOS 13.5.1, die Apples damals neuestes iPhone 11 hacken könnte. Während der Angriff gegen iOS 14 und höher nicht funktionierte, sagte der Bericht, dass die beobachteten Infektionen wahrscheinlich nur ein winziger Bruchteil der Gesamtzahl waren Angriffe angesichts der weltweiten Verbreitung des Kundenstamms der NSO-Gruppe und der offensichtlichen Anfälligkeit fast aller iPhone-Geräte vor dem iOS 14-Update.

Coronavirus Explained

Klicken Sie hier für mehr

Gelangt die Spyware immer in jedes Zielgerät?

Normalerweise muss ein Angreifer dem Pegasus-System nur die Zieltelefonnummer für eine Netzwerkeinschleusung zuführen. „Den Rest erledigt das System automatisch“, heißt es in einer Pegasus-Broschüre, und die Spyware wird in den meisten Fällen installiert.

In einigen Fällen funktionieren Netzwerkinjektionen jedoch möglicherweise nicht. Beispielsweise schlägt die Remote-Installation fehl, wenn das Zielgerät vom NSO-System nicht unterstützt wird oder sein Betriebssystem mit neuen Sicherheitsvorkehrungen aktualisiert wird.

Anscheinend besteht eine Möglichkeit, Pegasus auszuweichen, darin, den Standardbrowser des Telefons zu ändern. Laut einer Pegasus-Broschüre wird “die Installation von anderen Browsern als dem Gerätestandard (und auch Chrome für Android-basierte Geräte) vom System nicht unterstützt”.

In all diesen Fällen wird die Installation abgebrochen und der Browser des Zielgeräts zeigt eine vorher festgelegte harmlose Webseite an, damit das Ziel keine Ahnung von dem fehlgeschlagenen Versuch hat. Als nächstes wird ein Angreifer wahrscheinlich auf ESEM-Klickköder zurückgreifen. Wenn alles andere fehlschlägt, so die Broschüre, kann Pegasus „manuell injiziert und in weniger als fünf Minuten installiert werden“, wenn ein Angreifer physischen Zugriff auf das Zielgerät erhält.

Welche Informationen können kompromittiert werden?< /strong>

Nach der Infektion wird ein Telefon zu einem digitalen Spion unter der vollständigen Kontrolle des Angreifers.

Nach der Installation kontaktiert Pegasus die Command and Control (C&C)-Server des Angreifers, um Anweisungen zu empfangen, auszuführen und zurückzusenden die privaten Daten des Ziels, einschließlich Passwörter, Kontaktlisten, Kalenderereignisse, Textnachrichten und Live-Sprachanrufe (auch solche über End-to-End-verschlüsselte Messaging-Apps). Der Angreifer kann die Kamera und das Mikrofon des Telefons steuern und die GPS-Funktion verwenden, um ein Ziel zu verfolgen.

Um einen übermäßigen Bandbreitenverbrauch zu vermeiden, der ein Ziel alarmieren könnte, sendet Pegasus nur geplante Updates an einen C&C-Server. Die Spyware wurde entwickelt, um forensische Analysen zu umgehen, die Erkennung durch Antiviren-Software zu vermeiden und kann von Angreifern bei Bedarf deaktiviert und entfernt werden.

Welche Vorsichtsmaßnahmen kann man treffen?

Theoretisch kann eine kluge Cyberhygiene vor ESEM-Ködern schützen. Aber wenn Pegasus eine Schwachstelle im Betriebssystem des Telefons ausnutzt, kann man nichts tun, um eine Netzwerkinjektion zu stoppen. Schlimmer noch, man merkt es nicht einmal, es sei denn, das Gerät wird in einem digitalen Sicherheitslabor gescannt.

Der Wechsel zu einem veralteten Mobilteil, das nur einfache Anrufe und Nachrichten zulässt, wird die Datenexponierung sicherlich begrenzen, aber möglicherweise das Infektionsrisiko nicht wesentlich verringern. Auch alle alternativen Geräte, die für E-Mails und Apps verwendet werden, bleiben anfällig, es sei denn, man verzichtet ganz auf die Nutzung dieser wesentlichen Dienste.

Deshalb ist es am besten, bei jedem Betriebssystem-Update und Sicherheitspatch auf dem neuesten Stand zu bleiben von Geräteherstellern veröffentlicht und hoffen, dass Zero-Day-Angriffe seltener werden. Und wenn man das Budget hat, ist ein regelmäßiger Wechsel des Handys vielleicht die effektivste, wenn auch teuerste Lösung.

Da sich die Spyware in der Hardware befindet, muss der Angreifer das neue Gerät bei jeder Änderung erfolgreich infizieren. Dies kann sowohl logistische (Kosten) als auch technische (Sicherheits-Upgrade) Herausforderungen mit sich bringen. Es sei denn, man ist mit unbegrenzten Ressourcen konfrontiert, die normalerweise mit der Staatsmacht verbunden sind.

📣 Der Indian Express ist jetzt auf Telegram. Klicken Sie hier, um unserem Kanal (@indianexpress) beizutreten und über die neuesten Schlagzeilen auf dem Laufenden zu bleiben

Für die neuesten erklärten Nachrichten laden Sie die Indian Express App herunter.

  • Die Indian Express-Website wurde wurde von Newsguard, einem globalen Dienst, der Nachrichtenquellen nach ihren journalistischen Standards bewertet, für seine Glaubwürdigkeit und Vertrauenswürdigkeit mit GRÜN bewertet.