«Пегас» - Лоран Ришар
Например, когда Маати попытался зайти на домашнюю страницу Yahoo в июле 2019 года, он менее чем за три миллисекунды был перенаправлен на подозрительно выглядящую веб-страницу под названием Free247downloads.com по адресу https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz.
Несколько секунд спустя Free247downloads сбросил в телефон бомбу с вредоносным кодом, не предупредив Маати о том, что произошло нечто необычное.
Клаудио и Донча не только обнаружили попытку атаковать iPhone Маати, но и нашли внутри самого телефона следы успешного заражения шпионским ПО. Они также нашли доказательства нового и гораздо более опасного вида эксплойта, называемого "атакой с внедрением в сеть". Говоря простым языком, это был эксплойт "нулевого клика". Попытка заражения была предпринята не тогда, когда Маати Монджиб перешел по вредоносной ссылке, отправленной ему в текстовом сообщении. Внешняя атакующая сеть, возможно, "неавторизованная сотовая вышка или специальное оборудование, установленное у оператора мобильной связи", — подозревает Клаудио, — захватила браузер Маати, пока он просто просматривал Интернет.
Для Клаудио и Дончи это было впервые. У них были реальные доказательства существования эксплойта с нулевым кликом. У них также было довольно сильное подозрение, что шпионское ПО, о котором идет речь, — это Pegasus. Но, готовя свой публичный отчет, ни один из них не был достаточно уверен в себе, чтобы действительно связать новые эксплойты 2019 года с NSO… пока они не получили небольшую помощь от NSO. Примерно за неделю до того, как Клаудио и Донча должны были опубликовать результаты судебной экспертизы iPhone Маати Монджиб, они связались с NSO, чтобы поделиться результатами и, возможно, получить комментарий. На следующий день сервер со шпионским ПО, который должен был быть указан в отчете, был отключен от сети. "Мы поделились этой информацией только в частном порядке с NSO", — говорит Доннча. "Это как бы подтвердило для нас, что НСО действительно контролировала эту инфраструктуру и смогла ее отключить".
Клаудио и Доннча подтвердили свои революционные выводы, проведя экспертизу iPhone, которым пользовался марокканский журналист по имени Омар Ради. Сайт Free247downloads также был обнаружен в резервной копии телефона Омара. Как и свидетельства выполнения неавторизованных процессов bh в моменты после перенаправления на установочный домен Pegasus. Как и еще один вредоносный файл конфигурации, зарытый глубоко в телефоне, — CrashReporter[.]plist. Этот хитроумно сконструированный файл блокировал выполнение телефоном своей запрограммированной обязанности — автоматически сообщать инженерам Apple о любом сбое программного обеспечения. Файл CrashReporter был простым и эффективным способом для NSO и их клиентов замести следы Pegasus и убедиться, что они не предупредили людей из Apple о наличии уязвимости в системе безопасности, которую необходимо устранить.
Шквал цифровых поисков помог Клаудио и Доннче определить доменные имена и выполнение процессов, которые могли бы позволить им связать других жертв с Pegasus; это также помогло им начать понимать сложную механику эксплойта с нулевым кликом. Но эти открытия также предупредили их о серьезности предстоящей задачи. Им нужно было разработать новый, более совершенный инструмент для судебной экспертизы и продолжать оттачивать его. "Большая проблема мобильных устройств — отсутствие видимости", — говорит Донн-Ча. "На настольных и портативных компьютерах у нас есть антивирусы или комплекты EDR [безопасности], но для мобильных устройств не было ничего подобного". Такие сложные атаки, особенно атаки с нулевым кликом, явно оставались незамеченными".
В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы и доменные имена новой инфраструктуры NSO версии 4. Они также усердно работали над каталогизацией миллионов имен легитимных процессов Apple, чтобы было легче выделить имена процессов шпионских программ, которые были тайно внедрены в iPhone, — те, которые им не принадлежали.
Тем временем утечка списка дала Клаудио и Доннче новые важные данные: временные метки, указывающие на то, когда телефон был выбран для атаки. Поэтому, когда криминалистический инструмент Security Lab построил подробную временную шкалу всех предыдущих действий с резервными копиями iPhone из Индии, Клаудио и Доннча знали, на чем сосредоточить свою детективную работу.
Самое важное, что у них была горстка имен процессов, основанных на Pegasus, найденных в телефоне Маати и Омара, которые помогли им выявить другие возможные случаи заражения "нулевым кликом". Теперь Клаудио и Доннча могли провести цифровой поиск этих процессов в журнале DataUsage.sqlite и журнале истории браузера. У нас были основания надеяться, что анализ Лабораторией безопасности наших делийских айфонов принесет первые маленькие самородки золота из нашего утечки.
На следующий день Клаудио позвонил Финеасу и мне с отчетом.
"Итак, с телефона М. К. ничего не поступало", — гласила статья Клаудио. "Похоже, он совсем не совпадает с нашими записями". Но на этом он не остановился и даже не сделал паузы. "Более интересен старый телефон Сиддхарта, я полагаю. И у Паранджоя тоже есть похожие артефакты". Телефон Сиддхарта действительно дал нам первые полезные улики, которые помогли создать проект "Пегас". "В общем, похоже, что произошло следующее: [Сиддхарта] начали выбирать примерно в апреле 2018 года, и, похоже, у них ничего не получалось, пока, по иронии судьбы, он не обновил свой телефон", — объяснил Клаудио. "И вот на следующий день, похоже, им это удалось".
Клаудио хотел, чтобы мы поняли, что они не обнаружили никаких дымящихся улик, но все равно это было хорошим началом. В логах Сиддхарта были записаны точно такие же имена процессов, как и в зараженных "Пегасом" айфонах, принадлежащих Маати и Омару. Первые две неудачные атаки на телефон Сиддхарта, похоже, произошли как одно целое, в течение минуты. Третья попытка принесла результат. 27 апреля 2018 года, в 4:41 утра пятницы, в корневом домене был создан CrashReporter[.]plist. Заражение заняло.
"Мы снова видим несколько процессов, которые вызывают подозрения", — сказал нам Клаудио. "И я имею в виду очень большие подозрения на то, что это компоненты NSO. Затем мы видим еще один процесс, который загрузил более трехсот мегабайт с телефона Сиддхарта. Этот же процесс мы видели и на телефоне Маати".
Клаудио объяснил, что эксплойт мог использовать уязвимость в iMessage или FaceTime, но у него не было достаточно доказательств, чтобы знать наверняка. Клаудио, как я успел понять, был
