28 августа 2016 года в Герцлии, недалеко от Тель-Авива, женщина пользуется телефоном iPhone перед зданием израильской компании NSO Group. NSO Group обвинили в том, что она потворствует в слежке за журналистами путем продажи шпионских программ Pegasus (Агентство Франс-Пресс / Джек Гез)

Меры по безопасности от КЗЖ: журналисты стали мишенями шпионского ПО Pegasus

Обновлено 21 декабря 2020 г.

Pegasus – это шпионское программное обеспечение, созданное для мобильных устройств, которое превращает мобильный телефон в мобильную станцию наблюдения. Исследователи зафиксировали, что он использовался для слежки за журналистами. Это вызывает серьезные последствия для безопасности журналистов и их источников.

В 2018 году Citizen Lab заявила, что Pegasus использовался в более чем 45 странах. Pegasus мог быть использован против журналистов и гражданских активистов в Мексике, Саудовской Аравии, Бахрейне, Марокко, Того, Израиле, США и Объединенных Арабских Эмиратах, как говорится в их сообщении.

Принимая во внимание, что предыдущие атаки вовлекали пользователей в установку шпионского ПО на их устройствах путем нажатия на ссылки, включенные в сообщения, более поздние атаки вместо этого фокусируются на использовании уязвимостей в приложениях или программном обеспечении на телефоне, не требующих никакого вмешательства со стороны пользователя, согласно отчету Amnesty International от июня 2020 года.

В мае 2019 года в приложении для обмена сообщениями WhatsApp была обнаружена уязвимость, которая, прежде чем она была исправлена, заразила некоторые из телефонов ее пользователей шпионским программным обеспечением, в том числе телефоны более 100 правозащитников и журналистов по крайней мере в 20 странах, по данным Citizen Lab. WhatsApp, принадлежащий Facebook, позже идентифицировал это шпионское ПО как Pegasus или его вариант, созданный израильской NSO Group, которая продает инструменты для расследования преступлений и терроризма правительственным учреждениям. (NSO Group неоднократно заявляла КЗЖ, что не будет комментировать единичные инциденты, но расследует заявления о том, что их продукты были использованы не по назначению в нарушение договора.)

В июне 2020 года расследование Amnesty International показало, что телефон марокканского журналиста был заражен после того, как интернет-трафик по телефону был перенаправлен на вредоносный веб-сайт, контролируемый злоумышленниками. Как сообщается в отчете, после подключения интернет-браузера телефона к сайту злоумышленники, вероятно, использовали уязвимости в программном обеспечении для взлома устройства. В отчете говорится, что эта атака была осуществлена либо путем перенаправления интернет-трафика сотового телефона с использованием поддельной вышки сотовой связи, устройства, имитирующего работу вышки сотовой связи, либо путем получения доступа к провайдеру самого журналиста.

В декабре 2020 года в ходе обширного расследования Citizen Lab, Pegasus был обнаружен на личных телефонах марки iPhone у 36 журналистов и руководителей СМИ; большинство из них работали в «Аль-Джазире», но среди жертв атаки был также журналист телеканала «Аль-Араби». Следствие приписало атаки правительственным агентам, вероятно, из Саудовской Аравии и Объединенных Арабских Эмиратов, и заявило, что, скорее всего, была обнаружена лишь небольшая часть жертв заражения шпионским ПО.

Попав в устройство, шпионское ПО дает злоумышленнику возможность отслеживать, записывать и собирать существующие и будущие данные с телефона. Это включает в себя звонки и информацию из приложений обмена сообщениями и данные о местоположении в режиме реального времени. Шпионское ПО способно удаленно активировать камеру и микрофон для наблюдения за целью и ее окружением.

Pegasus разработан для проникновения и самоустановки на телефоны с операционной системой Android, BlackBerry OS и iOS без предупреждения о его присутствии. Журналисты, как правило, узнают, что их телефон заражен, только если устройство проверено техническим специалистом.

Если у вас есть основания полагать, что вы стали объектом нападения и на вашем устройстве установлены шпионские программы:

  • Немедленно прекратите использование устройства.
  • Поместите устройство в такое место, которое не ставит под угрозу вас или ваше окружение.
  • Выйдите из всех учетных записей и прекратите соединение устройства и приложений с другими устройствами.
  • С другого устройства измените все пароли своих учетных записей.
  • Обратитесь за советом к специалисту по цифровой безопасности. Если вы независимый журналист или не имеете доступа к технической поддержке, обратитесь в службу поддержки Access Now.
  • Если перед заменой устройства все же необходимо использовать устройство, выполните сброс до заводских настроек и убедитесь, что ваша операционная система, приложения и браузеры обновлены до последней версии.

Pegasus может быть установлен несколькими способами. Журналисты должны быть в курсе этих методов и принимать соответствующие меры для защиты себя и своих источников.

Сетевая атака

Сетевая атака не требует какого-либо взаимодействия с пользователем; вместо этого он включает автоматическое перенаправление браузеров или приложений на сайты, контролируемые злоумышленниками. Это также известно как «Атака посредника» (Man in the middle (MITM)). После подключения к вредоносному сайту злоумышленники заражают устройство с помощью уязвимостей в программном обеспечении.

Журналист вряд ли узнает, стал ли он объектом атаки такого типа, и защита от нее может быть затруднена. Чтобы минимизировать риск, работники СМИ должны использовать виртуальную частную сеть (VPN) как на своих мобильных телефонах, так и на своих компьютерах.

При выборе VPN журналистам следует учитывать следующее:

  • Нужно уточнить законодательство в отношении использования VPN в стране, в которой они живут или путешествуют.
  • Проверить VPN-компанию, чтобы убедиться, что она не хранит данные о пользователях, включая историю браузера и данные для входа в систему, поскольку правительства могут получить к ним доступ.
  • Проверить, имеет ли VPN-провайдер тесные связи с государственными органами или принадлежит правительству. Они должны выбрать провайдера, который находится за пределами страны, в которой они живут, и который имеет хороший послужной список в плане конфиденциальности.

Угроза нулевого дня

Угрозы нулевого дня используют уязвимое программное обеспечение, а не пользователей. Они не требуют какого-либо взаимодействия с пользователем или его вмешательства.

В сообщениях о взломе WhatsApp указывалось, что атака осуществлялась в виде звонков с неизвестных номеров пользователям, что привело к сбою приложения. Номера исчезли из журнала звонков, не оставив записи о пропущенном звонке или о том, кто его сделал.

Отчет Citizen Lab за декабрь 2020 года показал, что злоумышленники смогли установить шпионское ПО через используя уязвимость в приложении iMessenger, без каких-либо дополнительных действий со стороны владельца устройства. Похоже, что уязвимость была исправлена в версии iOS 14.

Защитить себя от угроз нулевого дня сложно. Журналисты, которые могут стать мишенью для могущественного противника, такого как правительство, должны рассмотреть вопрос об использовании дешевых одноразовых телефонов с заменой каждые несколько месяцев в качестве меры предосторожности. Вы должны регулярно обновлять операционную систему телефона, а также приложения и браузеры. Регулярно просматривайте приложения на вашем телефоне и удаляйте те, которые вы не используете. Если возможно, обратитесь к специалисту по цифровой безопасности для индивидуальной поддержки.

Фишинг-атаки

Злоумышленники пишут индивидуальные сообщения, которые отправляются конкретному журналисту. Эти сообщения передают ощущение срочности и содержат ссылку или документ, по которому журналисту предлагается перейти. Сообщения приходят в различных форматах, включая SMS, электронную почту, через приложения для обмена сообщениями, такие как WhatsApp, или через сообщения на платформах социальных сетей. После того, как журналист нажал на ссылку, на его телефон устанавливается шпионское ПО.

Исследование Citizen Lab и Amnesty International показало, что сообщения зачастую выглядят следующим образом:

  • Сообщения, имитирующие сообщения от известной организации, такой как посольство или местной новостной организации.
  • Сообщения, предупреждающие получателя о неожиданной и срочной опасности.
  • Сообщения, в которых содержится информация на темы, зачастую освещаемые журналистом.
  • Сообщения, которые говорят о личных вещах, например, касающиеся компрометирующих фотографий партнера.
  • Финансовые сообщения, которые ссылаются на покупки, кредитные карты или банковские реквизиты.

Подозрительные сообщения также могут поступать с неизвестных номеров.

Злоумышленники могут атаковать личные и рабочие телефоны. Чтобы лучше защитить себя и свои источники, журналисты должны:

  • Свериться с собеседником или отправителем ссылки через другое приложение и сайт или созвониться. Предпочтительно сделать это через видеозвонок.
  • Если отправитель вам не знаком, вторичные каналы связи не смогут обеспечить успешную проверку легитимности ссылок, поскольку злоумышленник может настроить вторичные каналы как часть тщательно разработанного прикрытия личности.
  • Если ссылка использует службу сокращения URL-адресов, такую как TinyURL или Bitly, введите ссылку в службу расширения URL-адресов, такую Link Expander или URLEX. Если расширенная ссылка выглядит подозрительно, например, имитируя местный новостной сайт, но с небольшими изменениями, не нажимайте на ссылку.
  • Если вы считаете, что вам нужно все-таки пройти по ссылке, не используйте ваше основное устройство. Откройте ссылку на отдельном дополнительном устройстве, которое не содержит конфиденциальной информации или контактных данных и используется исключительно для просмотра ссылок. Регулярно выполняйте сброс настроек на устройстве (помните, что это может привести к удалению шпионских программ). Держите вторичное устройство выключенным, с извлеченной батарейкой, когда он не используется.
  • Используйте нестандартный браузер для телефона. Считается, что Pegasus ориентирован на браузеры по умолчанию. Браузером по умолчанию для Android является Chrome, а браузером по умолчанию для iOS – Safari. Используйте альтернативный браузер, такой как Firefox Focus, и откройте ссылку через него. Тем не менее, нет никакой гарантии, что Pegasus не будет или уже не ориентирован на другие браузеры.

Физическая установка вредоносных программ злоумышленником

Pegasus также может быть установлен на вашем телефоне, если противник получит физический доступ к устройству. Чтобы снизить риск:

  • Не оставляйте устройство без присмотра и не передавайте его другим.
  • При пересечении границы или контрольно-пропускного пункта убедитесь, что вы всегда можете видеть телефон. Выключите телефон до прибытия на контрольно-пропускной пункт и используйте сложный пароль, состоящий из букв и цифр. Имейте в виду, что если ваш телефон забрали, на него могли установить вредоносные программы.

За дополнительной информацией, чтобы защитить себя и свои источники, обратитесь к цифровому комплекту безопасности КЗЖ.

Спасибо Citizen Lab за ценные рекомендации.

[ПРИМЕЧАНИЕ РЕДАКТОРА: рекомендации по угрозам нулевого дня были обновлены и теперь включают обновления безопасности.]