Anno dopo anno, non diminuiscono i programmi che rubano dati agli utenti o li spiano. Ma la maggioranza si distingue per due caratteristiche:
-
Molto spesso, il loro obiettivo principale sono le finanze delle vittime, le chiavi dei portafogli crittografici, i dati dei conti bancari, ecc.
-
Affinché il programma funzioni, sono necessarie azioni attive da parte della vittima, perché prima la "spia" deve essere installata sul tuo telefono.
Pegasus funziona in modo completamente diverso.
Questo programma cerca informazioni personali, monitora la posizione dell'utente e registra le sue conversazioni. E per installarlo non devi fare nulla: verrà fatto tutto per te.
Queste caratteristiche rendono Pegasus uno dei programmi spyware più pericolosi. Fortunatamente, per diventarne vittima, devi essere una "preda preziosa" e, letteralmente: le informazioni sulla tua vita dovrebbero costare almeno 500mila dollari.
Cos'è Pegaso
Pegasus è un malware modulare che copia le informazioni personali dal telefono (o da un altro dispositivo) della vittima e le invia al client di sorveglianza.
Il software è sorprendente con la sua gamma di funzioni. Raccoglie la cronologia del browser, copia la corrispondenza (SMS, e-mail, alcuni programmi di messaggistica istantanea), contatti, foto e video dalla galleria, acquisisce schermate, registra i tasti premuti, registra le chiamate vocali, invia dati GPS, accende il microfono e la fotocamera - e fornisce tutto ciò che è per il cliente.
Per infettare Pegasus, utilizza un metodo chiamato " attacco zero-click ". Ciò significa che l'utente vittima non deve fare nulla affinché il malware venga visualizzato sul proprio dispositivo. Tutto quello che devi fare è ricevere un file multimediale infetto.
Gli sviluppatori di Pegasus utilizzano attivamente varie " vulnerabilità zero-day ". Questo è il nome degli errori nel sistema operativo noti agli hacker, ma non ancora noti agli sviluppatori (avevano zero giorni per risolverli). Naturalmente, gli sviluppatori eliminano costantemente queste vulnerabilità, ma Pegasus trova sempre una nuova scappatoia.
Ciò può creare l'illusione che il malware si stia effettivamente diffondendo nell'aria.
Una breve storia di Pegaso
Lo sviluppatore di Pegasus è la società israeliana NSO Group Technologies . È spesso associato all'esercito informatico israeliano, ma opera come organizzazione separata specializzata nello sviluppo e nella vendita di software per la sorveglianza mirata e l'hacking di dispositivi mobili.
La prima versione della loro idea principale, Pegasus 1, è apparsa nel 2011. Tuttavia, è stato scoperto "in natura" molto più tardi – nel 2016 – dai ricercatori dell'Università di Toronto insieme alla società Lookout.
A quel tempo, NSO Group Technologies generava già un fatturato di circa 150 milioni di dollari all’anno ed era riuscita ad acquisire Circles, una società specializzata nello sviluppo di strumenti per localizzare i telefoni tramite GPS.
Nel 2019, WhatsApp ha riferito che file multimediali infetti da Pegasus sono stati inviati ad almeno 1.400 numeri di telefono. Nel 2021, si è verificata una fuga di dati da parte di NSO Group che ha rivelato informazioni su oltre 50mila numeri di telefono su cui era installato Pegasus.
Le forze dell'ordine in Germania ed Estonia, così come in numerosi altri paesi, collaborano con NSO Group.
La società di sviluppo Pegasus afferma di non vendere l'accesso al suo software di tracciamento a regimi dittatoriali, organizzazioni terroristiche e altri "malfattori", tuttavia, negli ultimi anni, sono emerse sempre più informazioni secondo cui questo "spyware" veniva utilizzato per spiare vari attivisti civili , uomini d'affari e politici dei paesi sviluppati.
Quali dati ruba Pegasus?
Pegasus è onnipresente e una volta infetto assume il pieno controllo del dispositivo. Su iOS ha ancora più capacità dell'utente stesso e, grazie all'accesso root, può rubare dati da altre applicazioni.
In generale, Pegasus prende di mira i seguenti dati :
-
Corrispondenza via SMS, email e WhatsApp;
-
Elenco di contatti, chiamate e registrazioni di conversazioni;
-
Dati del calendario;
-
Foto e video dalla "Galleria" dello smartphone;
-
Dati sulla posizione dello smartphone tramite GPS.
Inoltre, Pegasus può includere un microfono e una fotocamera. Registrazioni, immagini e video non vengono salvati sul dispositivo, ma vengono inviati direttamente al cliente.
Come Pegasus infetta i telefoni
Pegasus viene utilizzato per attaccare smartphone e telefoni con sistema operativo iOS, Android, Symbian e persino BlackBerry. In tutti i casi, non è richiesta alcuna azione da parte dell'utente per installarlo.
L'attacco viene solitamente eseguito come segue:
-
La vittima riceve un messaggio tramite WhatsApp, iMessage o e-mail contenente un file multimediale infetto. Di solito si tratta di un'immagine in formato .jpg o .gif. Il file multimediale contiene codice nascosto scritto utilizzando la steganografia . In alcuni casi, viene inviato un collegamento anziché un file multimediale.
-
Una volta scaricato il file multimediale sul dispositivo della vittima, il codice nascosto inizia ad essere eseguito. Sfrutta una sorta di vulnerabilità zero-day per ottenere i privilegi di root sul dispositivo.
-
Dopo aver ottenuto i diritti di root, Pegasus installa segretamente un client che copia e invia dati da altre applicazioni e può anche controllare il dispositivo tramite comando da un server remoto.
Pertanto, l'infezione da Pegasus avviene in modo silenzioso e senza alcun coinvolgimento della vittima. In alcuni casi, non ha nemmeno bisogno di aprire il messaggio che riceve. L'hacker, a sua volta, deve solo conoscere il numero di telefono della vittima.
Allo stesso tempo, NSO Group Technologies avverte che in alcuni casi è impossibile infettare un telefono semplicemente con un messaggio o una lettera. Quindi una falsa stazione base, già infettata da Pegasus, viene posizionata vicino alla vittima e attraverso di essa viene trasmesso il software. Oppure semplicemente rubano il telefono e lo infettano da soli. Sì, come in Mr. Robot.
NSO Group Technologies sfrutta varie vulnerabilità. Ad esempio, Lookout ha scoperto l'utilizzo delle seguenti vulnerabilità in iOS :
-
CVE-2016-4657 Corruzione della memoria WebKit: una vulnerabilità in WebKit che consentiva al codice di accedere alla memoria dopo che l'utente faceva clic su un collegamento;
-
CVE-2016-4655, fuga di informazioni nel kernel: il virus ha rilevato il kernel del sistema operativo in memoria;
-
CVE-2016-4656, danneggiamento della memoria del kernel: dopo aver rilevato il kernel, il virus è stato segretamente sottoposto a jailbreak .
Nel dicembre 2021 Google ha descritto la vulnerabilità "Forcedentry ". Per sfruttarlo, Pegasus ha utilizzato il metodo della steganografia: un file multimediale è stato inviato alla vittima tramite iMessage, "fingendo" di essere un'immagine in formato .gif, ma in realtà lo stream JBIG2 conteneva codice dannoso.
Il programma è estremamente difficile da rilevare. Esso stesso è in grado di nascondere i file di registro e nascondere tracce della sua presenza, ed è improbabile che un surriscaldamento eccessivo faccia pensare all'utente che una "piaga informatica" sia stata introdotta nel suo dispositivo.
Pertanto, all'utente non viene richiesto nulla, se non quello di essere una preda sufficientemente "preziosa".
Vittime di Pegaso
Nei 13 anni trascorsi dal rilascio di Pegasus, l'elenco delle vittime del malware ha aggiunto decine di migliaia di nomi. Sebbene i ricercatori di Citizen Lab stiano monitorando i server utilizzati dai clienti NSO, è impossibile dire con certezza chi stia monitorando esattamente il Grande Fratello attualmente.
Tra le sue vittime ci sono molte:
-
Capi di Stato (il presidente francese Emmanuel Macron, il re Mohammed VI del Marocco, il presidente del Kazakistan Kassym-Jomart Tokayev, ecc.);
-
Politici e funzionari (i ministri delle Forze armate francesi Sebastien Lecornu e Florence Parly, il direttore generale dell'OMS Tedros Adhanom Ghebreyesus, ecc.);
-
Uomini d'affari (il fondatore di Telegram Pavel Durov e altri);
-
Attivisti, difensori dei diritti umani e giornalisti.
L'ultimo grande scandalo è stata la sorveglianza della giornalista russa Galina Timchenko.
In alcuni casi, il coinvolgimento di Pegasus ha portato a conseguenze orribili. Ad esempio, nel 2017, il giornalista freelance messicano Cecilio Pineda Birto è stato ucciso a colpi di arma da fuoco poche settimane dopo che il suo numero era stato inserito nell'elenco . Nel 2018, dopo la divulgazione di informazioni sul leader dell'opposizione saudita Jamal Khashoggi, è stato ucciso e smembrato nel consolato dell'Arabia Saudita a Istanbul. Attivisti degli Emirati Arabi Uniti e della Thailandia sono finiti in prigione.
Anche le multinazionali e le alleanze internazionali si sentono minacciate e cercano di combattere l'onnipresente gruppo NSO. Quindi, nel 2021, Apple ha citato in giudizio l'azienda . E in un altro continente, l'Assemblea parlamentare del Consiglio d'Europa cerca di monitorare da vicino quali paesi dell'Unione utilizzano spyware e quali leggi regolano l'uso di questo tipo di software.
NSO Group non accetta le accuse mosse contro di lui e sostiene di non distribuire il suo software per tali scopi.
Come proteggersi da Pegaso
Se sei una persona normale, Pegasus non è pericoloso per te. NSO Group vende l'accesso a questo spyware per 500.000 dollari per licenza, più una tariffa annuale. Allo stesso tempo, gli sviluppatori sono pronti anche a concedere sconti se il cliente ha bisogno di monitorare un numero elevato di dispositivi.
Se sei un politico, un uomo d'affari, un attivista civile o un'altra persona attiva le cui informazioni sulla vita valgono 500mila dollari, l'unico modo per proteggerti da Pegasus è smettere di usare smartphone e soluzioni software comuni. Pegasus non può essere registrato utilizzando metodi standard: nessun antivirus o programma per verificare lo stato del dispositivo sarà di aiuto.
Tuttavia, gli sviluppatori di sistemi operativi mobili risolvono costantemente le vulnerabilità sfruttate da Pegasus. Pertanto, dopo il successivo aggiornamento del firmware, il dispositivo potrebbe rilevare attività non autorizzate e quindi avvisarne l'utente, come nel caso di Galina Timchenko.
Ecco perché:
-
Non ignorare gli aggiornamenti del sistema operativo. Non solo cambiano nuovamente il design e spostano le icone, ma chiudono anche pericolose vulnerabilità;
-
Non utilizzare sistemi operativi obsoleti. Sì, possono lavorare più velocemente e meglio, ma il prezzo di questo comfort potrebbe essere troppo alto;
-
Se sei a rischio, non utilizzare soluzioni popolari come iPhone e WhatsApp. Utilizza messenger e protocolli di comunicazione sicuri (anche se sono anch'essi "rotti", ma questa è una storia completamente diversa).
Quindi, Pegasus assomiglia allo spyware perfetto dei film sugli hacker... E in parte lo è. E sebbene non costituisca una minaccia per la stragrande maggioranza degli utenti, la presenza stessa di una tecnologia così potente non può essere ignorata.
