Обновлено 29 сентября 2022 г.
Pegasus – это шпионское программное обеспечение, созданное для мобильных устройств, которое превращает мобильный телефон в мобильную станцию наблюдения. Исследователи зафиксировали, что он использовался для слежки за журналистами по всему миру. Это вызывает серьезные последствия для безопасности журналистов и их источников.
Pegasus может быть записан на телефон несколькими путями, подробно описанными ниже. Попав на устройство, шпионское ПО дает злоумышленнику возможность отслеживать, записывать и собирать существующие и будущие данные с телефона. Сюда входят звонки и информация из приложений для обмена сообщениями, а также данные о местоположении в реальном времени. Шпионское ПО может удаленно активировать камеру и микрофон для наблюдения за целью и ее окружением.
Израильская NSO Group, которая выпускает Pegasus, продает инструменты для расследования преступлений и терроризма правительственным учреждениям. (NSO Group неоднократно заявляла КЗЖ, что не будет комментировать единичные инциденты, но расследует заявления о том, что их продукты были использованы не по назначению в нарушение договора.)
Руководство для журналистов и новостных издательств
Pegasus разработан для проникновения и самоустановки на телефоны с операционной системой Android и iOS без предупреждения о его присутствии. Журналисты, как правило, узнают, что их телефон заражен, только если устройство проверено надежным техническим специалистом. Заинтересованные журналисты могут поделиться с ними этим руководством.
Если у вас есть основания полагать, что вы стали объектом шпионского ПО и на вашем устройстве установлены шпионские программы:
- Немедленно прекратите использование устройства.
- Держите устройство там, где микрофон и камера будут улавливать наименьшее количество вашей личной активности, вдали от работы и других мест, где вы проводите много времени, например, в спальне.
- Выйдите из всех учетных записей и прекратите соединение устройства и приложений с другими устройствами.
- С другого устройства измените все пароли своих учетных записей.
- Обратитесь за советом к специалисту по цифровой безопасности. Если вы журналист-фрилансер или не имеете доступа к технической поддержке, обратитесь в службу поддержки Access Now.
- Если перед заменой устройства все же необходимо его использовать, выполните сброс до заводских настроек и убедитесь, что ваша операционная система, приложения и браузеры обновлены до последней версии. Это не гарантирует, что шпионское ПО будет удалено с устройства. Однако в июле 2021 года Amnesty International отметила, что Pegasus, похоже, удаляется при перезапуске (reboot) устройств. Если вы используете iPhone iOS 16, включите режим блокировки.
- В том же отчете Amnesty International говорится, что компания Pegasus использовала 700 доменных имен для заражения устройств, и рекомендуется, чтобы средства массовой информации проверяли свою сетевую телеметрию и журналы DNS на наличие этих сайтов как признак того, что они стали целью шпионского ПО.
Набор программ Amnesty Mobile Verification для технических специалистов может помочь установить, было ли устройство заражено Pegasus.
Защита от шпионского ПО для iOS
В iOS 16 от Apple появился режим блокировки – функция защиты, позволяющая сократить количество способов внедрения шпионских программ на iPhone, а также iPad под управлением iOS 16 и MacOS Ventura.
Режим блокировки ограничивает некоторые функциональные возможности, включая звонки FaceTime с неизвестных номеров и сообщения через приложения iMessage и Photos.
Журналистам, которые считают, что подвергаются риску стать жертвой Pegasus, следует включить режим блокировки. Для этого необходимо:
- Включить режим блокировки в настройках конфиденциальности и безопасности.
- Перезагрузить телефон, чтобы активировать режим.
Рекомендации по различным видам атак
Pegasus может быть установлен несколькими способами. Журналисты должны быть в курсе этих методов и принимать соответствующие меры для защиты себя и своих источников.
Атаки нулевого дня
Атаки нулевого дня, также известные как атаки zero-click, используют уязвимое программное обеспечение, а не пользователей. Они не требуют какого-либо взаимодействия с пользователем.
Защититься от атаки нулевого дня очень сложно. Журналисты, которые могут стать мишенью таких сил как, например, правительство, должны:
- Использовать iPhone с iOS 16 и включить режим блокировки.
Для журналистов, использующих другие телефоны и операционные системы:
- Регулярно создавайте резервные копии содержимого и выполняйте сброс настроек телефона до заводских.
- Рассмотрите возможность использования дешевых телефонов Android и часто меняйте их в качестве меры предосторожности — каждые несколько месяцев, недель или даже дней, в зависимости от вашего уровня риска. Убедитесь, что все телефоны были сброшены до заводских настроек, прежде чем использовать их.
- Регулярно обновляйте операционную систему телефона, а также приложения и браузеры.
- При возможности обратиться к специалисту по цифровой безопасности для получения индивидуальной техподдержки.
Сетевая атака
Сетевая атака не требует какого-либо взаимодействия с пользователем; вместо этого она включает автоматическое перенаправление браузеров или приложений на сайты, контролируемые злоумышленниками. Этот процесс также известен как «Атака посредника» (Man in the Middle Attack (MITM)). После подключения к вредоносному сайту злоумышленники заражают устройство с помощью уязвимостей в программном обеспечении.
Журналист вряд ли узнает, стал ли он объектом атаки такого типа, и защита от нее может быть затруднена.
Для минимизации риска:
- Используйте сети VPN на телефонах и компьютерах.
- Ознакомьтесь с законодательством в отношении использования VPN в стране, в которой вы живете или путешествуете.
- Изучите провайдера VPN, чтобы убедиться, что она не хранит данные о пользователях, в том числе историю браузера и подробные данные для входа в систему, поскольку власти могут получить к ним доступ.
- Проверьте, имеет ли провайдер VPN тесные связи с государственными органами или принадлежит ли он им.
- Выберите провайдера, который находится за пределами страны, в которой вы живете, и имеет хорошую репутацию в плане конфиденциальности.
Фишинг-атаки
Злоумышленники пишут индивидуализированные сообщения, которые отправляются конкретному журналисту. Эти сообщения передают ощущение срочности и содержат ссылку или документ, по которому журналисту предлагается перейти. Сообщения приходят в различных форматах, включая SMS, электронную почту, через приложения для обмена сообщениями, такие как WhatsApp, или через сообщения в социальных сетях. После того, как журналист нажал на ссылку, на его телефон устанавливается шпионское ПО.
Исследование Citizen Lab и Amnesty International показало, что сообщения зачастую выглядят следующим образом:
- Сообщения, имитирующие сообщения от известной организации, такой как посольство или местной новостной организации.
- Сообщения, предупреждающие получателя о неожиданной и срочной опасности.
- Сообщения, в которых содержится информация на темы, зачастую освещаемые журналистом.
- Сообщения, которые говорят о личных вещах, например, касающиеся компрометирующих фотографий партнера.
- Финансовые сообщения, которые ссылаются на покупки, кредитные карты или банковские реквизиты.
Подозрительные сообщения также могут поступать с неизвестных номеров.
Злоумышленники могут атаковать личные и рабочие телефоны. Чтобы лучше защитить себя и свои источники, журналисты должны:
- Свериться с собеседником или отправителем ссылки через другое средство коммуникации. Предпочтительно сделать это через аудио- или видеозвонок.
- Если отправитель вам не знаком, вторичные каналы связи не смогут обеспечить успешную проверку легитимности ссылок, поскольку злоумышленник может настроить такие вторичные каналы как часть тщательно разработанного сокрытия личности.
- Если ссылка использует службу сокращения URL-адресов, такую как TinyURL или Bitly, введите ссылку в службу расширения URL-адресов, такую Link Expander или URLEX. Если расширенная ссылка выглядит подозрительно, например, имитируя местный новостной сайт, но с небольшими изменениями, не нажимайте на ссылку.
- Если вы считаете, что вам нужно все-таки пройти по ссылке, не используйте ваше основное устройство. Откройте ссылку на отдельном дополнительном устройстве, которое не содержит конфиденциальной информации или контактных данных и используется исключительно для просмотра ссылок. Регулярно выполняйте сброс настроек на устройстве (помните, что это не всегда влечет удаление шпионских программ). Держите вторичное устройство выключенным, с извлеченной батарейкой, когда он не используется.
- Используйте нестандартный браузер для телефона. Считается, что Pegasus ориентирован на браузеры по умолчанию. Браузером по умолчанию для Android является Chrome, а браузером по умолчанию для iOS – Safari. Используйте альтернативный браузер, такой как Firefox Focus, и откройте ссылку через него. Тем не менее, нет никакой гарантии, что Pegasus не будет или уже не ориентирован на другие браузеры.
Физическая установка вредоносных программ злоумышленником
Pegasus также может быть установлен на вашем телефоне, если противник получит физический доступ к устройству. Чтобы снизить риск:
- Не оставляйте устройство без присмотра и не передавайте его другим.
- При пересечении границы или контрольно-пропускного пункта убедитесь, что вы всегда можете видеть телефон. Выключите телефон до прибытия на контрольно-пропускной пункт и используйте сложный пароль, состоящий из букв и цифр. Имейте в виду, что если ваш телефон забрали, на него могли установить вредоносные программы.
За дополнительной информацией, чтобы защитить себя и свои источники, обратитесь к цифровому комплекту безопасности КЗЖ. Следите за освещением шпионских программ от КЗЖ, чтобы узнать больше об их воздействии на работу журналистов в вашем регионе
Выражаем благодарность Citizen Lab за ценную информацию.