Pegasus-spyware inficerede telefoner via zero-click-angreb og nuldagssårbarheder

Illustration: Amnesty International
En omfattende undersøgelse har afsløret, hvordan et israelsk overvågningsværktøj er blevet misbrugt af slyngelstater. Amnesty International, der har været med til undersøgelsesarbejdet, peger i en metoderapport på, hvordan værktøjet har inficeret ofres telefoner.

Historierne om det omstridte overvågningsværktøj med navnet Pegasus er gået verden rundt, efter 17 internationale medier kunne afsløre, at værktøjet er blevet misbrugt af slyngelstater til at overvåge aktivister, politikere og systemkritikere.

Afsløringerne bygger på et datalæk med mere end 50.000 telefonnumre på personer, som ifølge medierne er tidligere eller nuværende mål for Pegasus-værktøjet. Heriblandt er massevis af politikere, aktivister, advokater og systemkritikere.

De 17 medier har gennemført undersøgelsen i samarbejde med Amnesty International, og NGO’en fremlægger i en offentlig metoderapport, hvordan arbejdet er blevet grebet an. Derudover peger rapporten på, hvordan Pegasus-værktøjet kan have inficeret ofrenes enheder.

Rapporten sætter de dataspor under lup, som er havnet på de iPhones og Android-telefoner, der er blevet ramt af Pegasus-spywaren i perioden fra 2014 og helt op til juli måned i år.

Version2 giver her et overblik.

Beskeder og netværksangreb

I metoderapporten beskriver Amnesty International, hvordan Pegasus-softwaren igennem flere år er blevet spredt til ofres telefoner på flere forskellige måder.

Den mest udbredte metode i 2016 til 2018 var ifølge NGO’en via SMS-beskeder med ondsindede links, der førte videre til en download-hjemmeside for overvågningssoftwaren.

Læs også: Læk afslører slyngelstaters omfattende misbrug af israelsk overvågningsværktøj

Denne metode har dog aftaget i popularitet i løbet af de senere år til fordel for en anden metode. De såkaldte network injections eller netværksinficeringer.

»Network injection is an effective and cost-efficient attack vector for domestic use especially in countries with leverage over mobile operators,« skriver Amnesty International i deres rapport.

Mystiske omdirigeringer

Opdagelsen af network injections som muligt spredningsredskab for Pegasus startede med, at Amnesty Internationals undersøgelseshold blev opmærksomme på nogle mystiske omdirigeringer, der foregik i flere ofres telefonbrowsere.

Ifølge NGO’en førte disse omdirigeringerne til hjemmesider, der inficerede mobilerne med Pegasus-spyware, selvom brugerne forsøgte at besøge helt andre adresser.

Det skete blandt andet, da en marokkansk aktivist i 2019 forsøgte at besøge hjemmesiden Yahoo via Safari, men i stedet blev videreguidet til et URL med et fjerdeniveau-domæne, et atypisk portnummer og en tilfældig URI.

Se, hvordan omdirigeringen er foregået nedenfor. Artiklen fortsætter under billedet.

Illustration: Amnesty International

Ifølge Amnesty kan disse omdirigeringer været et resultat af såkaldte network injection attacks, som eksempelvis kan udføres via mobilmaster eller ved at anbringe angrebsudstyr hos mobiloperatøren.

Zero-click-angreb

I undersøgelsesarbejdet med Pegasus er Amnesty International også stødt på flere zero-click-angreb. Det dækker over de sager, hvor telefoner er blevet inficeret med Pegasus, uden at brugerne har interageret med telefonen overhovedet.

I metoderapporten beskriver Amnesty International, at der Pegasus-infektioner gennem flere år er blevet udført som zero-clik-angreb. Der er eksempler på denne type angreb fra maj 2018, og eksemplerne fortsætter helt op til i dag. Ifølge NGO’en rammer de desuden helt opdaterede styresystemer.

»Most recently, a successful “zero-click” attack has been observed exploiting multiple zero-days to attack a fully patched iPhone 12 running iOS 14.6 in July 2021,« skriver Amnesty International i deres metoderapport.

Ifølge organisationen er disse angreb både blevet udført ved gennem svagheder i Apple Music nuldagssårbarheder i iMessage.

Læs også: Medie: I 2031 kan ransomware-angreb koste 265 milliarder dollars globalt

NSO Group afviser

I kølvandet på afsløringerne af Pegasus-overvågningen har NSO Group, der er virksomheden bag værktøjet, afvist at have gjort noget galt.

Den israelske virksomhed påpeger, at kunder, der vil bruge Pegasus, først skal skrive under på, at de kun vil bruge softwaren mod kriminelle og terrorister.

Ifølge de 17 medier, der har været en del af undersøgelsesarbejdet, er softwaren blevet brugt i flere autoritære regimer. De peger på, at Pegasus blevet brugt til at inficere mål i 11 lande, hvoraf seks af disse bliver kategoriseret som »ikke frie« af tænketanken Freedom House. Det er en tænketank, der rangerer verdens lande på baggrund af landenes respekt for menneskerettigheder og demokrati.

Læs også: Apple-chef: Mængden af Mac-malware er uacceptabel

Overfor det indiske nyhedsbureau ANI afviser NSO Group dog denne liste som »fuldstændig ukorrekt«.

»Vi sælger kun til regeringer efter en omhyggelig undersøgelse. Vi overholder alle FN’s vejledende principper før og efter salget«, siger NSO Group til ANI.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 René Nielsen

Udmærket artikel og ikke overraskende mener NSO Group – ikke at have gjort noget galt.

Nu går Amnesty International rapporten på Apple da ”der er betydeligt flere kriminaltekniske spor tilgængelige for efterforskere på Apple iOS-enheder end på standard Android-enheder, og derfor er vores metodologi fokuseret på førstnævnte.”

Men Apple og andre producenter bør gøre mere for at undgå den form for overvågning.

Man kunne f.eks. lade sig inspirer af Valve Anticheat som er et lille program som kører ved siden af selve spillet for at opfange ulovlige 3. partprogrammer som wall-hack.

Lav et lille krypteret program som ved opstart loader signaturer og fingerprints fra kendte hacks/svagheder og straks udsteder en advarsel til brugeren med tilbud om straksnedlukning af telefonen.

Da overvågning er baseret på at brugeren er uvidende om at brugeren er mål for overvågning, er denne afsløring vigtig.

Derudover skal der udvikles et program i stil med itunes som kan ”rense” telefoner og indsende de ulovlige filer/processer til nærmere analyse hos producenten samt til et af brugeren valgt sikkerhedsselskab.

  • 0
  • 1
#3 Jonas Iversen

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Der skrives om at inficere selve mobil-netværket, men hvordan kan man inficeret en telefon ved bare at få adgang til netværket? Selve URL omdirigeringen mener jeg ikke er nok. Kun hvis man havner på en siden som udnytter sårbarheder i browseren. Men så er det ikke URL omdirigeringen der er problemet, men browser-sårbarheden. Og 99,9% af alle sites hvor der udveksles login m.v. bruger TLS kryptering

I min optik er det afgørende om inficeringen skyldes installation af apps/plugins.

Er man særlig interessant for slyngelstater, Kina og Rusland (journalister, system-kritikkere og myndighedspersoner), så skal man være MEGET forsigtig med at installere nogen apps overhovedet! Så må man ha' to telefoner, en til embed/professionel brug og en til privat sjov og spads.

Folk skal forstå at der er kun én der ved hvad en app kan og gør, og det er den programmøren som har lavet app'en! ALLE apps/programmer kan indeholde ondsindet kode.

Og antivirus o.lign virker ikke da det som udgangspunkt er basseret på whitelistning (dvs. detektering af KENDTE signaturer og fingerprints). Og du kan være 100% sikker på at disse signaturer ikke er kendte. Bliver de kendte, ændres de bare efter 5 minutter.

  • 8
  • 5
#4 René Nielsen

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Dit svar efterlader indtrykket af, at du ikke har læst selve artiklen fra Amnesty International

Læs f.eks. punkt 1 om hvordan ” network injection attacks” udføres.

Hvis engelsk er problemet, så prøv www.deepl.com som leverer udvidelser til de fleste browsere.

  • 4
  • 6
#5 Jacob Pind

Lav et lille krypteret program som ved opstart loader signaturer og fingerprints fra kendte hacks/svagheder og straks udsteder en advarsel til brugeren med tilbud om straksnedlukning af telefonen.

vi har gentagene gange set det går galt med at parse den slags, en fejl i håndteringen af zip, xml, osv og du har et nyt sikkerhedshul der kan udnyttest.

Finger printer kræver at du 1. har set tingen og 2.ved hvad det er, eller du venter det rundt og siger kun ting jeg kender kan køre, det hjælper bare ikke noget somhelst i den situatioen her hvor der bruges hul i et tilladt program som så tillader kørese af udefra kommende kode.

Statisk analyse af en binary er ubrugtlig, du kan ikke ude fra det sige hvad et program gør, man er nød til at step for step emulere hvert enkelt instruktion og kig på hvad der sker i ram, sandbox som AV produkter har det med at bruge også køre et program i 10 sekunder, er ligeså håbløst, ingen siger ukendt kode straks giver sig ud i at gøre noget.

  • 7
  • 0
#7 Klavs Klavsen

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Det er netop både iMessage angreb (dvs. de har kunnet sende en iMessage til ejeren af den telefon de ville overvåge - og så udnyttede den en sårbarhed i iMessage - så brugeren af telefonen ikke engang så beskeden - og blev telefonen blev inficeret (og overvåget) uden at de gjorde noget aktivt.

Den anden metode - url omdirigeringen - sker som de beskriver det her - ved at den lokale netværksudbyder (mobil udbyderen der giver dig internet) har været kompromiteret og derfor har angriberen kunne give "et forkert svar" - når en mobilenhed har forespurgt efter yahoo.com DNS - hvorved de er landet på en anden side - eller hvis den første forbindelse var ukrypteret (man bare skriver yahoo.com i browser og den browser IKKE har besøgt sitet før/eller sitet ikke bruger HSTS og derfor ikke har fået sat en HSTS header til at sikre at den KUN prøver over HTTPS) - så har de bare kunnet svare med en omdirigering til browseren - og derefter udnyttet en browser sårbarhed.

Der er jævnligt mange telefoner der inficeres ved hjælp af reklamer på "tilfældige sites" - der udnytter browser sårbarheder på telefoner der ikke er opdateret.

  • 13
  • 0
#8 René Nielsen

Finger printer kræver at du 1. har set tingen og 2.ved hvad det er, eller du venter det rundt og siger kun ting jeg kender kan køre, det hjælper bare ikke noget somhelst i den situatioen her hvor der bruges hul i et tilladt program som så tillader kørese af udefra kommende kode.

Både og.

Der er en teknisk side og så er en psykologisk side.

Kigger vi på Amnesty International rapporten, så efterlader Pegasus softwaren spor på mobiltelefonen i form filer og manipulerede logs.

En advarsel til brugeren af telefonen – udløst af en filscanning - om mulig aflytning med besked straks at genetablerer fabriksindstillingerne, vil være ethvert politis mareridt.

Det afgørende er ikke at en 100% teknisk korrekt løsning, men at man som myndighed skal forholde sig at man kan blive afsløret i hemmeligt at overvåge advokater, journalister, politikkere, menneskeretsaktivister mv.

Potentielt kan dette udløse en politisk skandale som ingen ved hvor ender, hvis f.eks. 50 journalister i et land samtidig får denne besked.

I Saudi Arabien er det nok ikke nogen større skandale, men i resten af verden, er det i høj grad tænkeligt at minister og politichefens karrier får sig en brat afslutning.

Jeg ved godt at det fingerprint kan være ændret 5 minutter senere – der er det bare for sent - for skandalen ruller.

  • 3
  • 0
#9 René Nielsen

Hvad med en VPN, vil det havde hjulpet?

Baseret på Amnesty International rapporten, så er svaret ja for så vidt angår "Pegasus network injection attacks", hvis din VPN går til et "sikkert land".

Ved den type angreb udskifter ISP'en "http://yahoo.fr/" med "https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz"

Det kræver kontrol med det netværk du bruger. Læs om detaljerne i afsnit 1 i Amnesty International rapporten.

  • 5
  • 1
#10 Jacob Pind

En advarsel til brugeren af telefonen – udløst af en filscanning - om mulig aflytning med besked straks at genetablerer fabriksindstillingerne, vil være ethvert politis mareridt.

Vil jo stadigvæk kræve du ved hvad du skal kigge efter, og er jo ikke sikkert at de ting du kigger efter er det samme, automatiseret unike navne, placing af filer ville jo umuliggøre det.

Havde producenterne haft den interese, havde vore mobil twlefoner gjort opmærksome på når de modtog en stille sms, men det gør de jo ikke, kommunikationen til simkortet, bliver du jo ikke gjort opmærksom på.

Vi skal mere over i at droppe sporg som c/c++ og kun gøre brug af memorysafe ting så det bliver sværer at lave disse huller som det her gør brug af .

  • 2
  • 1
#11 Jonas Iversen

Det er selvføligelig skidt der er zero-click sårbarhed i iMessenger, men jeg er endnu mere bekymret , hvis det også er tilfædet for Safari og Chrome i clean version!? (Har man installeret plug-ins, så er det en anden snak og så løber man en vis risiko) Er der nogen som er bekendt med det? Står dét i rapporten (har ikke læst den, indrømmet).

En anden interessant ting er hvilke data på telefonen pegasus haft adgang til, har der være decideret root adgang?

"Vi" går jo alle og forventer der er vandtætte skotter mellem de forskellige apps på iPhone og Android, hvis det ikke er tilfældet, og enhver tilfældig app kan snyde sig adgang til f.eks. emails så er det særlig kritisk.

  • 2
  • 2
#14 bo geerters schmidt

alle genstand er farlige, hvis de forkerte for fat i dem. bilfabrikkerne for vel ikke skylden for vanvidskørsel eller terror angreb. excell er nok skyld i flere sager med økonomisk kriminalitet. så længe der er mennesker på jorden vil misbrug af opfindelser finde sted. hvem har iøvrigt retten til at udnævne hvem der er de gode og hvem der er de onde. diverse forsker advare i mod A-bomben, der kan uden tvivl føres lange diskusion om det.

  • 1
  • 4
#15 René Nielsen

bilfabrikkerne for vel ikke skylden for vanvidskørsel eller terror angreb

Den med at sammenligne med biler holder jo ikke vand.

En bil er langt mere selvstændig end det kompleks af valideringsserver, content-server, abuse-server som beskrives i Amnesty International rapporten.

Vi taler jo om hundredvis af domæner som skal sættes og linkes til ovenstående servere og hvis det NSO-talsmanden siger er rigtigt, så skal det ske pr kunde.

I mine øjne er det dybt utroværdigt at hver kunde / efterretningstjeneste sætter dette kompleks op uden brug af konsulenter fra NSO.

NSO må kende omfanget af overvågningen ligesom de må vide hvem som bliver overvåget via den support som må følge med i dette tekniske setup.

Men det er jo en måde at undgå ansvarspådragelse, ved at sammenligne med noget andet som intet har med sagen at gøre.

  • 3
  • 0
#16 Bo S. Mortensen

Den israelske virksomhed (NSO) påpeger, at kunder, der vil bruge Pegasus, først skal skrive under på, at de kun vil bruge softwaren mod kriminelle og terrorister.

Godt at vide. Så har de gjort deres due dilligence.... eller noget.

De regimer der bruger softwaren til at overvåge journalister, advokater, menneskeretsaktivister o.lign. gør jo kun det de har skrevet under på at ville overholde. Under sådanne regimer ER det kriminelt at udbrede holdninger mod regimet, eller på anden måde at modarbejde regimet. Den slags unoder kan ligefrem kategoriseres som terrorisme.

  • 4
  • 0
Log ind eller Opret konto for at kommentere