Этот инструмент сообщает вам, нацелен ли на ваш телефон шпионское ПО Pegasus от NSO.

На выходных международный консорциум новостных агентств сообщил, что несколько авторитарных правительств, в том числе Мексика, Марокко и Объединенные Арабские Эмираты, использовали шпионское ПО, разработанное NSO Group, для взлома телефонов тысяч самых ярых их критиков, включая журналистов и активистов. , политики и руководители предприятий.

Просочившийся список из 50 000 номеров телефонов потенциальных объектов наблюдения был получен парижской журналистской некоммерческой организацией Forbidden Stories и Amnesty International и передан консорциуму журналистов, включая Washington Post и The Guardian. Исследователи проанализировали телефоны десятков жертв, чтобы подтвердить, что они стали целью шпионского ПО Pegasus NSO, которое может получить доступ ко всем данным на телефоне человека. Отчеты также подтверждают новые подробности самих государственных заказчиков, которых NSO Group тщательно охраняет. Венгрия, член Европейского Союза, где конфиденциальность от слежки является основным правом для 500 миллионов жителей, названа в качестве клиента NSO.


Отчетность впервые показывает, сколько людей, вероятно, станут объектами навязчивой слежки NSO на уровне устройств. Согласно предыдущим отчетам, число известных жертв исчислялось сотнями или более чем тысячей.

NSO Group категорически отвергла претензии. NSO давно заявляет, что не знает, на кого нацелены ее клиенты, что было повторено в заявлении для TechCrunch в понедельник.

Исследователи из Amnesty, чья работа была рассмотрена Citizen Lab Университета Торонто, обнаружили, что NSO может доставить Pegasus, отправив жертве ссылку, которая при открытии заражает телефон, или незаметно и без какого-либо взаимодействия через «нулевой». click », который использует уязвимости в программном обеспечении iPhone. Исследователь Citizen Lab Билл Марчак сказал: в твите что нулевые клики NSO работали на iOS 14.6, которая до сегодняшнего дня была самой последней версией.

Исследователи Amnesty продемонстрировали свою работу, опубликовав тщательно подробные технические заметки и набор инструментов, которые, по их словам, могут помочь другим определить, были ли их телефоны нацелены на Pegasus.

Mobile Verification Toolkit, или MVT, работает как на iPhone, так и на устройствах Android, но немного по-разному. Amnesty заявила, что на было обнаружено больше следов криминалистики, чем на устройствах Android, что упрощает обнаружение на iPhone. MVT позволит вам сделать полную резервную копию iPhone (или полный дамп системы, если вы взломали телефон) и сообщить о любых индикаторах взлома (IOC), которые, как известно, используются NSO для доставки Pegasus, например, доменные имена, используемые в инфраструктуре NSO которые могут быть отправлены в текстовом сообщении или по электронной почте. Если у вас есть зашифрованная резервная копия iPhone, вы также можете использовать MVT для расшифровки резервной копии без необходимости создавать новую копию.

Вывод Терминала из набора инструментов MVT, который сканирует файлы резервных копий и на наличие признаков взлома. (Изображение: TechCrunch)

Инструментарий работает в командной строке, поэтому он не является изысканным и безупречным пользовательским интерфейсом и требует некоторых базовых знаний о том, как перемещаться по терминалу. Мы заставили его работать примерно за десять минут, плюс время на создание новой резервной копии iPhone, что вы захотите сделать, если хотите проверить с точностью до часа. Чтобы подготовить инструментарий для сканирования вашего телефона на наличие признаков Пегаса, вам необходимо заполнить IOC Amnesty, которые у него есть на странице GitHub. Каждый раз, когда индикаторы скомпрометированного файла обновляются, скачайте и используйте актуальную копию.

Как только вы начнете процесс, инструментарий сканирует файл резервной копии вашего на наличие каких-либо доказательств компрометации. Процесс занял около минуты или двух, чтобы запустить и выплюнуть несколько файлов в папку с результатами проверки. Если инструментарий найдет возможный компромисс, он сообщит об этом в выводимых файлах. В нашем случае мы получили одно «обнаружение», которое оказалось ложным и было удалено из МОК после того, как мы сверились с исследователями Amnesty. Новое сканирование с использованием обновленных IOC не показало никаких признаков компрометации.

Учитывая, что выявить заражение сложнее, MVT использует аналогичный, но более простой подход, сканируя резервную копию вашего устройства Android на наличие текстовых сообщений со ссылками на домены, которые, как известно, используются NSO. Набор инструментов также позволяет сканировать потенциально вредоносные приложения, установленные на вашем устройстве.

Инструментарий – как и инструменты командной строки – относительно прост в использовании, хотя проект имеет открытый исходный код, так что вскоре наверняка кто-нибудь создаст для него пользовательский интерфейс. Подробная документация проекта поможет вам, как и нам.

Читать далее:


Вы можете безопасно отправлять советы через Signal и на номер +1 646-755-8849. Вы также можете отправлять файлы или документы с помощью нашего SecureDrop. Учить больше.

0 Комментарий
Inline Feedbacks
View all comments