Pegasus: spionul cibernetic care poate infecta orice telefon din lume

17 publicații din întreaga lume au dezvăluit că sute de jurnaliști, activiști și politicieni din întreaga lume au fost ținta unui program spyware dezvoltat de o firmă privată israeliană. Iată ce se știe până acum.

Cel mai mare scandal de la dezvăluirile lui Snowden încoace se desfășoară în acest moment și implică o firmă privată de software din Israel. O listă cu 50.000 de numere de telefon care ar fi putut fi folosite de programul de spionaj (spyware) Pegasus, dezvoltat de compania NSO Group și vândut, în general, statelor, a ajuns la organizația Forbidden StoriesToate articolele care au legătură cu subiectul sunt disponibile pe site-ul lor: forbiddenstories.org și la Amnesty International. 

Începând de luni, 19 iulie, 17 publicații din întreaga lume, printre care The Guardian, The Washington Post, Le Soir, Le Monde, Die Welt, OCCRP, au început să publice dezvăluiri despre lucrurile pe care le-au aflat din acest leak sub numele-umbrelă The Pegasus Project. Conform dezvăluirilor, spyware-ul dezvoltat de NSO Group a fost folosit pentru spionarea unor activiști, jurnaliști și adversari politici în zeci de țări din lume, inclusiv în unele cu o istorie neagră în ceea ce privește drepturile omului, dar și în țări din Uniunea Europeană (Ungaria și Spania), de exemplu.

Programul, care poate fi instalat pe orice telefon fără știința utilizatorului, rulează atât pe iPhone, cât și pe Android. Nu se știe dacă toate numerele de pe listă au căzut victimă hackurilor, însă jurnaliștii au reușit să găsească urme ale programului pe câteva zeci de telefoane din listă, cu ajutorul celor de la Citizen LabLaboratorul de securitate cibernetică al Școlii de afaceri Munk de la Universitatea din Toronto, citizenlab.ca și Amnesty International, care au descoperit cum poate cineva să afle dacă telefonul a fost infectat de Pegasus.

NSO Group susține că lista nu reprezintă ținte ale programului și că ei nu vând Pegasus decât în scopul de a lupta cu „terorismul și crima organizată”, dar recunosc, cu jumătate de gură, că statele sau instituțiile care au cumpărat programul ar putea să abuzeze de el. NSO mai spune că Pegasus nu lasă nicio urmă. Ambele afirmații sunt contrazise de specialiștii de la Laboratorul de Securitate al Amnesty International.„Forensic Methodology Report: How to catch NSO Group’s Pegasus”, amnesty.org

NSO Group a fost fondată de trei israelieni, Niv Carmi, Omri Lavie și Shalev Hulio, în 2010, și este controlată de fondul de investiții britanic Novalpina Capital, cu sediul în Londra. Compania a primit licențe de export din partea unor state UE, Bulgaria și Cipru, situație care a fost contestată de activiștii pentru drepturile omului încă din 2019.„Access Now to Bulgaria and Cyprus: don’t give NSO Group license to profit from human rights violations”, accessnow.org

Cum funcționează Pegasus

Programul creat de compania internațională poate infecta orice telefon, fără știința utilizatorului. Dacă, inițial, era nevoie de un atac de tip phishing – de exemplu, utilizatorul primea un SMS de la un curier, cu un link pe care trebuia să-l acceseze –, din 2018, programul a început să utilizeze vulnerabilități din diverse programe foarte răspândite (ca iMessages sau WhatsApp) sau exploit-uri de tip 0-day. Acest lucru permitea Pegasus să fie instalat remote, fără vreun semn vizibil pentru utilizator. 

CITEȘTE ȘI: Vânătorul de recompense. Un hacker bun din Iași a câștigat peste 100.000$ cu o idee

În plus, utilizarea acestor exploit-uri înainte ca echipele care se ocupă de securitatea iOS sau Android să afle de ele făcea să apară mereu o fereastră de oportunitate pentru infectarea unui telefon. De exemplu, un iPhone 12 cu iOS 14.6, actualizat la zi, a fost infectat cu succes în iulie 2021, spun cei de la laboratorul Amnesty International.

Odată ajuns pe telefon, Pegasus oferea drepturi de root celui care îl accesa de la distanță. Asta înseamnă că orice fișier putea fi transferat, că puteau fi pornite de la distanță camera și microfonul, că, practic, cineva putea vedea toate fotografiile și videourile din telefon, putea accesa agenda, citi documente și e-mailuri și putea urmări, în timp real, locurile în care se deplasa posesorul telefonului.

Poți afla dacă ai fost spionat?

Laboratorul de securitate cibernetică al celor de la Amnesty International a creat un program, numit Mobile Verification Toolkit (MVT), disponibil pe Github,„MVT is a forensic tool to look for signs of infection in smartphone devices”, github.com care poate identifica dacă un telefon a fost infectat cu Pegasus. Programul funcționează atât pe iPhone, cât și pe Android, însă dezvoltatorii spun că Pegasus lasă mai multe urme pe telefoanele cu iOS. 

Pe iPhone, MVT face un backup complet al telefonului și caută după orice semn că acesta a fost compromis, cum ar fi nume de domenii cunoscute a fi folosite de infrastructura NSO, utilizate pentru a trimite mail-uri sau SMS-uri. Pe Android, programul face doar un backup al mesajelor text și scanează după aplicații dubioase. Programul nu este extrem de rafinat și e de tip „command line”, ceea ce înseamnă că trebuie să ai cunoștințe avansate de utilizare a computerului pentru a-l folosi. Documentația pusă la dispoziție de cei de la Amnesty International„Introduction – Mobile Verification Toolkit”, mvt-docs.readthedocs.io poate ajuta.

Cine a fost spionat?

Lista persoanelor ale căror telefoane au fost infectate este cuprinzătoare, implicând cel puțin 200 de jurnaliști din 24 de țări, la care se adaugă numeroși activiști și oameni politici. 

În Ungaria vecină, Pegasus a fost folosit„Viktor Orbán using NSO spyware in assault on media, data suggests”, theguardian.com pentru a spiona jurnaliști de la site-ul Direkt36 (care s-au alăturat investigației globale), avocați, pe șeful Central Media Group, o companie care deține site-ul de opoziție 24.hu, dar și pe fostul ministru al economiei, Attila Chikán, care a devenit între timp un critic vocal al regimului Orban. 

O altă țară în care Pegasus pare să fi fost folosit pentru a spiona opoziția politică este India. Două dintre telefoanele lui Rahul Gandhi,„Rahul Gandhi Selected as Potential Spyware Target in Run Up to 2019 Polls and After”, thewire.in principalul rival al premierului Narendra Modi, au fost victima atacurilor cibernetice, printre multe alte persoane aflate pe lista obținută de jurnaliști.

Pe lista celor care au fost ținta atacurilor informatice se mai află, din ce se știe până acum: 

• Carine Kanimba, fiica activistului ruandez Paul Rusesabagina,„Israeli Spy Tech Used Against Daughter of Man Who Inspired Hotel Rwanda”, occrp.org un critic al președintelui Kagambe și cel care a inspirat filmul Hotel Rwanda;
• 25 de jurnaliști din Mexic, inclusiv Cecilio Pineda Birto,„Revealed: murdered journalist’s number selected by Mexican NSO client”, theguardian.com al cărui număr de telefon a apărut pe listă cu puțin timp înainte de a fi răpit și ucis de către cartelurile mexicane, în 2017;
• Alte 15.000 de persoane din Mexic, inclusiv 50 de apropiați ai președintelui Andrés Manuel López Obrador,„Fifty people linked to Mexico’s president among potential targets of NSO clients”, theguardian.com printre care soția și copiii;
• 59 de jurnaliști din Azerbaidjan„Life in Azerbaijan’s Digital Autocracy: ‘They Want to be in Control of Everything’”, occrp.org inclusiv Khadija Ismayilova, o jurnalistă care a fost arestată și condamnată în 2014 și eliberată după presiuni internaționale;
• Soția lui Jamal Khashoggi,„Jamal Khashoggi’s wife targeted with spyware before his death”, washingtonpost.com colaboratorul The Washington Post care a fost răpit și ucis, în Turcia, aparent de un comando trimis de prințul Mohammed bin Salman, și alți activiști din Arabia Saudită;
• Jurnaliști din Franța și Maroc„De Rabat à Paris, le Maroc ne lâche pas les journalistes”, lemonde.fr care au fost critici cu regimul marocan;
• Politicieni catalani implicați în mișcarea separatistă;„Todo lo que se sabe hasta ahora del hackeo y el espionaje a los teléfonos de políticos independentistas de Cataluña que se hizo con tecnología de la israelí NSO Group”, businessinsider.es
• Marocul s-a interesat și de telefoanele președintelui francez, Emmanuel Macron,„« Projet Pegasus » : un téléphone portable d’Emmanuel Macron dans le viseur du Maroc”, lemonde.fr și al lui Charles Michel, pe vremea când era premierul Belgiei. Urmele Pegasus au fost găsite în telefonul fostului ministru francez al mediului, François de Rugy.„French minister’s phone shows traces linked to NSO spyware”, theguardian.com

Pegasus și România

Până acum, nu există vreo informație că Pegasus ar fi fost folosit în România, însă, acum doi ani, unul dintre analiștii de software de la Citizen Lab care studia Pegasus a fost subiectul unei tentative de spionaj„Dubious Denials & Scripted Spin: Spyware Company NSO Group Goes on 60 Minutes”, citizenlab.ca în care a fost implicată compania israeliană Black Cube, care acționa, aparent, pentru NSO Group. 

În 2016, doi agenți ai acestei companii au fost arestați în București, fiind implicați într-o acțiune de spionaj asupra șefei DNA, Laura Codruța-Kovesi. Ambii au fost condamnați la închisoare cu suspendare.„Condamnare definitivă în dosarul Black Cube”, digi24.ro Unul dintre șefii Black Cube, Dan Zorella, are dublă cetățenie, română și israeliană.

O lovitură pentru Apple

Vestea că Pegasus poate infecta cu ușurință telefoanele Apple, o firmă care se laudă cu capacitatea telefoanelor sale de a proteja viața privată a utilizatorilor, nu a picat bine în birourile din Cupertino. Firma a dat rapid o declarație„Apple condemns Pegasus cyberattacks against journalists in new statement”, appleinsider.com în care condamnă ciberatacurile și spune că face totul să le împiedice. Vestea a scăzut valoarea acțiunilor companiei cu 2,3%.„Apple stock dips amid iPhone spyware concerns”, seekingalpha.com

Trebuie spus însă că, dacă telefoanele Apple, considerate cele mai sigure, au fost infectate cu ajutorul unor exploit-uri 0-day, cele Android n-au nicio șansă. Edward Snowden spune că, practic, un utilizator obișnuit e la fel de neputincios în fața unui software ca acesta ca în fața unor arme nucleare„Edward Snowden calls for spyware trade ban amid Pegasus revelations”, theguardian.com și că programele de tip Pegasus, mai ales când sunt dezvoltate de companii private, ar trebui interzise. 

O reacție mai concretă din lumea tech la dezvăluirile Proiectului Pegasus a fost cea a Amazon. Compania americană a interzis celor de la NSO Group „Amazon Shuts Down NSO Group Infrastructure”, vice.com să mai folosească serviciile Amazon Web Services (AWS). CloudFront, serviciul folosit de NSO, este un content delivery network (CDN) care permite livrarea mai rapidă a conținutului către utilizatori. 

NOTĂ: Proiectul Pegasus e în plină desfășurare, așa că e de așteptat să apară noi dezvăluiri în zilele care urmează. Pentru mai multe detalii, urmărește forbiddenstories.org sau oricare dintre publicațiile implicate în investigație.