28 августа 2016 года в Герцлии, недалеко от Тель-Авива, женщина пользуется телефоном iPhone перед зданием израильской компании NSO Group. NSO Group обвинили в том, что она потворствует в слежке за журналистами путем продажи шпионских программ Pegasus (Агентство Франс-Пресс / Джек Гез)

Меры по безопасности от КЗЖ: журналисты стали мишенями шпионского ПО Pegasus

ОбновОбновлено 19 июля 2021г.

Pegasus – это шпионское программное обеспечение, созданное для мобильных устройств, которое превращает мобильный телефон в мобильную станцию наблюдения. Исследователи зафиксировали, что он использовался для слежки за журналистами по всему миру, и расследовательские журналисты обнаружили как минимум 180 представителей СМИ, которые возможно стали жертвами шпионского ПО в 2021 году. Это вызывает серьезные осложнения безопасности журналистов и их источников.

Принимая во внимание, что предыдущие атаки вовлекали пользователей в установку шпионского ПО на их устройствах путем нажатия на ссылки, включенные в сообщения, более поздние атаки вместо этого фокусируются на использовании уязвимостей в приложениях или программном обеспечении на телефоне, не требующих никакого вмешательства со стороны пользователя, согласно отчету Amnesty International от июня 2020 года и июля 2021 года.

Попав на устройство, шпионское ПО дает злоумышленнику возможность отслеживать, записывать и собирать существующие и будущие данные с телефона. Сюда входят звонки и информация из приложений для обмена сообщениями, а также данные о местоположении в реальном времени. Шпионское ПО может удаленно активировать камеру и микрофон для наблюдения за целью и ее окружением.

Израильская NSO Group, которая выпускает Pegasus, продает инструменты для расследования преступлений и терроризма правительственным учреждениям. (NSO Group неоднократно заявляла КЗЖ, что не будет комментировать единичные инциденты, но расследует заявления о том, что их продукты были использованы не по назначению в нарушение договора.)

Руководство для журналистов и новостных издательств

Pegasus разработан для проникновения и самоустановки на телефоны с операционной системой Android, BlackBerry OS и iOS без предупреждения о его присутствии. Журналисты, как правило, узнают, что их телефон заражен, только если устройство проверено надежным техническим специалистом. Заинтересованные журналисты могут поделиться с ними этим руководством.

Если у вас есть основания полагать, что вы стали объектом шпионского ПО и на вашем устройстве установлены шпионские программы:

  • Немедленно прекратите использование устройства.
  • Поместите устройство в такое место, которое не ставит под угрозу вас или ваше окружение.
  • Выйдите из всех учетных записей и прекратите соединение устройства и приложений с другими устройствами.
  • С другого устройства измените все пароли своих учетных записей.
  • Обратитесь за советом к специалисту по цифровой безопасности. Если вы независимый журналист или не имеете доступа к технической поддержке, обратитесь в службу поддержки Access Now.
  • Если перед заменой устройства все же необходимо использовать устройство, выполните сброс до заводских настроек и убедитесь, что ваша операционная система, приложения и браузеры обновлены до последней версии. Это не гарантирует, что шпионское ПО будет удалено с устройства. Однако в июле 2021 года Amnesty International отметила, что Pegasus, похоже, удаляется при перезапуске (reboot) устройств.
  • В том же отчете говорится, что компания Pegasus использовала 700 доменных имен для заражения устройств, и рекомендуется, чтобы средства массовой информации проверяли свою сетевую телеметрию и журналы DNS для этих сайтов для обнаружения того, что они могли стать целью шпионского ПО.
  • Набор программ Amnesty Mobile Verification для технических специалистов может помочь установить, было ли устройство заражено Pegasus.

Предварительное исследование

  • В 2018 году Citizen Lab заявила, что Pegasus использовался в более чем 45 странах. Pegasus мог быть использован против журналистов и гражданских активистов в Мексике, Саудовской Аравии, Бахрейне, Марокко, Того, Израиле, США и Объединенных Арабских Эмиратах, как говорится в их сообщении.
  • В мае 2019 года в приложении для обмена сообщениями WhatsApp была обнаружена уязвимость, которая, прежде чем она была исправлена, заразила некоторые из телефонов ее пользователей шпионским программным обеспечением, в том числе телефоны более 100 правозащитников и журналистов по крайней мере в 20 странах, по данным Citizen Lab. WhatsApp, принадлежащий Facebook, позже идентифицировал это шпионское ПО как Pegasus или его вариант.
  • В июне 2020 года расследование Amnesty International показало, что телефон марокканского журналиста был заражен после того, как интернет-трафик по телефону был перенаправлен на вредоносный веб-сайт, контролируемый злоумышленниками. Как сообщается в отчете, после подключения интернет-браузера телефона к сайту злоумышленники, вероятно, использовали уязвимости в программном обеспечении для взлома устройства. В отчете говорится, что эта атака была осуществлена либо путем перенаправления интернет-трафика сотового телефона с использованием поддельной вышки сотовой связи, устройства, имитирующего работу вышки сотовой связи, либо путем получения доступа к провайдеру самого журналиста.
  • В декабре 2020 года в ходе обширного расследования Citizen Lab, Pegasus был обнаружен на личных телефонах марки iPhone у 36 журналистов и руководителей СМИ; большинство из них работали в «Аль-Джазире», но среди жертв атаки был также журналист телеканала «Аль-Араби». Следствие приписало атаки правительственным агентам, вероятно, из Саудовской Аравии и Объединенных Арабских Эмиратов, и заявило, что, скорее всего, была обнаружена лишь небольшая часть жертв заражения шпионским ПО.
  • В июле 2021 года консорциум глобальных СМИ расследовал утечку документа, содержащего более 50 000 телефонных номеров людей со всего мира, которые, по их словам, представляли интерес для клиентов НСО, в том числе более 180 журналистов. Amnesty International в партнерстве с Forbidden Stories провела криминалистическую экспертизу телефонов среди более десятка этих журналистов и выявила недавние случаи заражения iPhone 12 версии 14.6.

Рекомендации по различным видам атак

Pegasus может быть установлен несколькими способами. Журналисты должны быть в курсе этих методов и принимать соответствующие меры для защиты себя и своих источников.

Атаки нулевого дня

Атаки нулевого дня, также известные как атаки zero-click, используют уязвимое программное обеспечение, а не пользователей. Они не требуют какого-либо взаимодействия с пользователем или его вмешательства.

  • В сообщениях о взломе WhatsApp указывалось, что атака осуществлялась в виде звонков с неизвестных номеров пользователям, что привело к сбою приложения. Номера исчезли из журнала звонков, не оставив записи о пропущенном звонке или о том, кто его сделал.
  • Отчет Citizen Lab за декабрь 2020 года показал, что злоумышленники смогли установить шпионское ПО, используя уязвимость в приложении iMessenger, также без каких-либо дополнительных действий со стороны владельца устройства. Похоже, что уязвимость была исправлена в версии iOS 14.
  • • В июле 2021 года Amnesty International сообщила об обнаружении следов неоднократных попыток заражения через приложение iMessage на iPhone 12 версии 14.6. В отчете также отмечается обеспокоенность по поводу того, что другие встроенные приложения, такие как приложение iTunes Store, могут быть уязвимы для атак.

Защититься от атак нулевого дня сложно. Журналисты, которые могут стать мишенью для сил, таких как правительство, должны:

  • В качестве меры предосторожности рассмотреть возможность использования дешевых одноразовых телефонных аппаратов и менять их каждые несколько месяцев.
  • Регулярно обновлять операционную систему телефона, а также приложения и браузеры.
  • Регулярно просматривать приложения на телефоне и удалять те, которые не используются.
  • При возможности обратиться к специалисту по цифровой безопасности для получения индивидуальной техподдержки.

Сетевая атака

Сетевая атака не требует какого-либо взаимодействия с пользователем; вместо этого она включает автоматическое перенаправление браузеров или приложений на сайты, контролируемые злоумышленниками. Этот процесс также известен как «Атака посредника» (Man in the Middle Attack (MITM)). После подключения к вредоносному сайту злоумышленники заражают устройство с помощью уязвимостей в программном обеспечении.

Журналист вряд ли узнает, стал ли он объектом атаки такого типа, и защита от нее может быть затруднена.

Для минимизации риска:

  • Используйте сети VPN на телефонах и компьютерах.
  • Ознакомьтесь с законодательством в отношении использования VPN в стране, в которой вы живете или путешествуете.
  • Изучите провайдера VPN, чтобы убедиться, что она не хранит данные о пользователях, в том числе историю браузера и подробные данные для входа в систему, поскольку власти могут получить к ним доступ.
  • Проверьте, имеет ли провайдер VPN тесные связи с государственными органами или принадлежит ли он им.
  • Выберите провайдера, который находится за пределами страны, в которой вы живете, и имеет хорошую репутацию в плане конфиденциальности.

Фишинг-атаки

Злоумышленники пишут индивидуальные сообщения, которые отправляются конкретному журналисту. Эти сообщения передают ощущение срочности и содержат ссылку или документ, по которому журналисту предлагается перейти. Сообщения приходят в различных форматах, включая SMS, электронную почту, через приложения для обмена сообщениями, такие как WhatsApp, или через сообщения на платформах социальных сетей. После того, как журналист нажал на ссылку, на его телефон устанавливается шпионское ПО.

Исследование Citizen Lab и Amnesty International показало, что сообщения зачастую выглядят следующим образом:

  • Сообщения, имитирующие сообщения от известной организации, такой как посольство или местной новостной организации.
  • Сообщения, предупреждающие получателя о неожиданной и срочной опасности.
  • Сообщения, в которых содержится информация на темы, зачастую освещаемые журналистом.
  • Сообщения, которые говорят о личных вещах, например, касающиеся компрометирующих фотографий партнера.
  • Финансовые сообщения, которые ссылаются на покупки, кредитные карты или банковские реквизиты.

Подозрительные сообщения также могут поступать с неизвестных номеров.

Злоумышленники могут атаковать личные и рабочие телефоны. Чтобы лучше защитить себя и свои источники, журналисты должны:

  • Свериться с собеседником или отправителем ссылки через другое приложение и сайт или созвониться. Предпочтительно сделать это через видеозвонок.
  • Если отправитель вам не знаком, вторичные каналы связи не смогут обеспечить успешную проверку легитимности ссылок, поскольку злоумышленник может настроить такие вторичные каналы как часть тщательно разработанного прикрытия личности.
  • Если ссылка использует службу сокращения URL-адресов, такую как TinyURL или Bitly, введите ссылку в службу расширения URL-адресов, такую Link Expander или URLEX. Если расширенная ссылка выглядит подозрительно, например, имитируя местный новостной сайт, но с небольшими изменениями, не нажимайте на ссылку.
  • Если вы считаете, что вам нужно все-таки пройти по ссылке, не используйте ваше основное устройство. Откройте ссылку на отдельном дополнительном устройстве, которое не содержит конфиденциальной информации или контактных данных и используется исключительно для просмотра ссылок. Регулярно выполняйте сброс настроек на устройстве (помните, что это может привести к удалению шпионских программ). Держите вторичное устройство выключенным, с извлеченной батарейкой, когда он не используется.
  • Используйте нестандартный браузер для телефона. Считается, что Pegasus ориентирован на браузеры по умолчанию. Браузером по умолчанию для Android является Chrome, а браузером по умолчанию для iOS – Safari. Используйте альтернативный браузер, такой как Firefox Focus, и откройте ссылку через него. Тем не менее, нет никакой гарантии, что Pegasus не будет или уже не ориентирован на другие браузеры.

Физическая установка вредоносных программ злоумышленником

Pegasus также может быть установлен на вашем телефоне, если противник получит физический доступ к устройству. Чтобы снизить риск:

  • Не оставляйте устройство без присмотра и не передавайте его другим.
  • При пересечении границы или контрольно-пропускного пункта убедитесь, что вы всегда можете видеть телефон. Выключите телефон до прибытия на контрольно-пропускной пункт и используйте сложный пароль, состоящий из букв и цифр. Имейте в виду, что если ваш телефон забрали, на него могли установить вредоносные программы.

За дополнительной информацией, чтобы защитить себя и свои источники, обратитесь к цифровому комплекту безопасности КЗЖ.

Спасибо Citizen Lab за ценные рекомендации.

[ПРИМЕЧАНИЕ РЕДАКТОРА: рекомендации по угрозам нулевого дня были обновлены и теперь включают обновления безопасности.]