Pegasus-spyware inficerede telefoner via zero-click-angreb og nuldagssårbarheder
Historierne om det omstridte overvågningsværktøj med navnet Pegasus er gået verden rundt, efter 17 internationale medier kunne afsløre, at værktøjet er blevet misbrugt af slyngelstater til at overvåge aktivister, politikere og systemkritikere.
Afsløringerne bygger på et datalæk med mere end 50.000 telefonnumre på personer, som ifølge medierne er tidligere eller nuværende mål for Pegasus-værktøjet. Heriblandt er massevis af politikere, aktivister, advokater og systemkritikere.
De 17 medier har gennemført undersøgelsen i samarbejde med Amnesty International, og NGO’en fremlægger i en offentlig metoderapport, hvordan arbejdet er blevet grebet an. Derudover peger rapporten på, hvordan Pegasus-værktøjet kan have inficeret ofrenes enheder.
Rapporten sætter de dataspor under lup, som er havnet på de iPhones og Android-telefoner, der er blevet ramt af Pegasus-spywaren i perioden fra 2014 og helt op til juli måned i år.
Version2 giver her et overblik.
Beskeder og netværksangreb
I metoderapporten beskriver Amnesty International, hvordan Pegasus-softwaren igennem flere år er blevet spredt til ofres telefoner på flere forskellige måder.
Den mest udbredte metode i 2016 til 2018 var ifølge NGO’en via SMS-beskeder med ondsindede links, der førte videre til en download-hjemmeside for overvågningssoftwaren.
Denne metode har dog aftaget i popularitet i løbet af de senere år til fordel for en anden metode. De såkaldte network injections eller netværksinficeringer.
»Network injection is an effective and cost-efficient attack vector for domestic use especially in countries with leverage over mobile operators,« skriver Amnesty International i deres rapport.
Mystiske omdirigeringer
Opdagelsen af network injections som muligt spredningsredskab for Pegasus startede med, at Amnesty Internationals undersøgelseshold blev opmærksomme på nogle mystiske omdirigeringer, der foregik i flere ofres telefonbrowsere.
Ifølge NGO’en førte disse omdirigeringerne til hjemmesider, der inficerede mobilerne med Pegasus-spyware, selvom brugerne forsøgte at besøge helt andre adresser.
Det skete blandt andet, da en marokkansk aktivist i 2019 forsøgte at besøge hjemmesiden Yahoo via Safari, men i stedet blev videreguidet til et URL med et fjerdeniveau-domæne, et atypisk portnummer og en tilfældig URI.
Se, hvordan omdirigeringen er foregået nedenfor. Artiklen fortsætter under billedet.
Ifølge Amnesty kan disse omdirigeringer været et resultat af såkaldte network injection attacks, som eksempelvis kan udføres via mobilmaster eller ved at anbringe angrebsudstyr hos mobiloperatøren.
Zero-click-angreb
I undersøgelsesarbejdet med Pegasus er Amnesty International også stødt på flere zero-click-angreb. Det dækker over de sager, hvor telefoner er blevet inficeret med Pegasus, uden at brugerne har interageret med telefonen overhovedet.
I metoderapporten beskriver Amnesty International, at der Pegasus-infektioner gennem flere år er blevet udført som zero-clik-angreb. Der er eksempler på denne type angreb fra maj 2018, og eksemplerne fortsætter helt op til i dag. Ifølge NGO’en rammer de desuden helt opdaterede styresystemer.
»Most recently, a successful “zero-click” attack has been observed exploiting multiple zero-days to attack a fully patched iPhone 12 running iOS 14.6 in July 2021,« skriver Amnesty International i deres metoderapport.
Ifølge organisationen er disse angreb både blevet udført ved gennem svagheder i Apple Music nuldagssårbarheder i iMessage.
NSO Group afviser
I kølvandet på afsløringerne af Pegasus-overvågningen har NSO Group, der er virksomheden bag værktøjet, afvist at have gjort noget galt.
Den israelske virksomhed påpeger, at kunder, der vil bruge Pegasus, først skal skrive under på, at de kun vil bruge softwaren mod kriminelle og terrorister.
Ifølge de 17 medier, der har været en del af undersøgelsesarbejdet, er softwaren blevet brugt i flere autoritære regimer. De peger på, at Pegasus blevet brugt til at inficere mål i 11 lande, hvoraf seks af disse bliver kategoriseret som »ikke frie« af tænketanken Freedom House. Det er en tænketank, der rangerer verdens lande på baggrund af landenes respekt for menneskerettigheder og demokrati.
Overfor det indiske nyhedsbureau ANI afviser NSO Group dog denne liste som »fuldstændig ukorrekt«.
»Vi sælger kun til regeringer efter en omhyggelig undersøgelse. Vi overholder alle FN’s vejledende principper før og efter salget«, siger NSO Group til ANI.
