Новый Pegasus
QuaDream — еще одна израильская компания, которая воспользовалась брешью в ПО iPhone с целью взлома смартфонов Apple. Ранее аналогичной деятельностью занималась NSO Group — авторы печально известной программы для слежки Pegasus, сообщает Reuters.
Согласно источникам новостного агентства, возможность удаленного взлома iPhone позволяет компаниям скомпрометировать гаджеты Apple, даже если владелец не переходил по вредоносной ссылке. Эксперты, анализирующие факты взлома NSO Group и QuaDream, полагают, что компании использовали похожие эксплойты, поскольку они используют аналогичные уязвимости в iMessage.
Ранее Apple заявила, что будет судиться с разработчиками Pegasus.
Авторы шпионского ПО из NSO Group утверждали, что они продают свои решения, чтобы помочь правительствам предотвратить угрозы национальной безопасности. Однако жертвами взлома при помощи Pegasus нередко становились правозащитные организации и журналисты.
Как распознать взлом
Можно ли защититься от подобного взлома? По словам руководителя группы мониторинга центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Михаила Ларина, обыватель даже не узнает, что его взломали.
«Механизм работы двух компаний схож — они разрабатывают комплексы шпионского ПО на базе уязвимостей в различных продуктах и, по их собственным заявлениям, продают доступ к своим продуктам только «уполномоченным правительствам для борьбы с преступностью и терроризмом». Как оказалось, эти компании зачастую обслуживали одних и тех же клиентов. На примере FORCEDENTRY [название эксплойта — прим. ред.] можно сказать, что эксплуатация уязвимости происходит без вмешательства пользователя, попытки эксплуатации можно заметить только в системных журналах устройств, к которым можно получить доступ через специальный инструментарий. Фактически обычный пользователь никак не может выявить признаки атаки», — считает эксперт.
Заместитель руководителя Лаборатории цифровой криминалистики Group-IB Роман Резвухин в беседе с «Газетой.Ru» отметил, что подобные шпионские импланты специально создаются таким образом, чтобы рядовой пользователь не мог их обнаружить простым способом.
«Важно понимать, что пользователь может отчасти защитить себя, соблюдая правила цифровой гигиены, поскольку подобное ПО распространяется в том числе способами, аналогичными фишинговому распространению через мессенджеры. Однако всегда есть вероятность того, что для доставки подобного ПО будут использованы ранее неизвестные уязвимости, поэтому полностью избежать риска подобного заражения, к сожалению, нельзя. Тем не менее, подобное коммерческое шпионское ПО вряд ли будет использоваться для массовой слежки за рядовыми гражданами, поскольку основная цель — сбор интересных данных, которые могут быть использованы в различном ключе», — считает Резвухин.
Руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназ Гатауллин заявил, что вероятность самостоятельного выявления слежки среднестатистическим пользователем очень мала.
«Способ использования шпионского ПО зависит от уровня полученных привилегий на зараженном устройстве. Шпионское ПО с повышенными привилегиями позволяет злоумышленнику читать SMS-сообщения, электронную почту, прослушивать звонки, делать скриншоты, считывать нажатия клавиш, просматривать фотографии в галерее и совершать еще множество различных действий, в том числе и списывать деньги с банковских карт. В целом шпионское ПО может следить буквально за всеми действиями пользователя зараженного устройства», — поделился Гатауллин.
Ларин отметил, что атаки совершали на ограниченный круг лиц, и на широкого пользователя они не рассчитаны. Он также рассказал, что уязвимость, которая позволяла следить, исправили в актуальных версиях iOS.