В выходные международный консорциум информационных агентств сообщил, что несколько авторитарных правительств, включая Мексику, Марокко и Объединенные Арабские Эмираты, использовали шпионское программное обеспечение, разработанные NSO Group, для взлома смартфонов тысяч своих самых ярых критиков, включая журналистов, активистов, политиков и предпринимателей.

Утечка из 50 000 телефонных номеров потенциальных объектов слежки была получена парижской журналистской некоммерческой организацией Forbidden Stories и Amnesty International, а позже – передана в распоряжение консорциума журналистов, включая The Washington Post и The Guardian. Исследователи проанализировали телефоны десятков жертв, и подтвердили, что те были объектами для внедрения шпионского ПО Pegasus от NSO Group, которое может получить доступ ко всем данным на смартфоне жертвы.

В отчётах также подтверждаются новые подробности о самих государственных заказчиках, которые NSO Group тщательно скрывает. Интересно, что Венгрия, член Европейского союза, где защита от слежки является одним из основных прав 500 миллионов жителей, упоминается как клиент NSO.

NSO Group категорически отвергла все обвинения.

Хакерский инструмент Pegasus используется для шпионажа за журналистами и активистами [UPD]
Представители разработчика утверждают, что информация не верна.

Исследователи из Amnesty обнаружили, что NSO может распространять Pegasus, отправляя жертве ссылку, которая при открытии заражает смартфон. Или с помощью эксплойта использовать уязвимости в программном обеспечении iPhone.

В доказательство своей работы исследователи Amnesty опубликовали разработанные технические заметки и набор инструментов, которые, по их словам, могут помочь другим людям определить, были ли их телефоны атакованы с помощью Pegasus.

Mobile Verification Toolkit, или MVT, работает как на iPhone, так и на устройствах Android, но немного по-разному. В Amnesty отметили, что на iPhone было обнаружено больше следов, чем на устройствах Android, что облегчает обнаружение вируса именно на устройствах от Apple.

MVT позволит сделать полную резервную копию iPhone (или полный дамп системы, если вы сделаете джейлбрейк телефона) и найти любые признаки взлома, которые используются NSO для распространения вредоносного ПО. Если у вас есть зашифрованная резервная копия iPhone, вы также можете использовать MVT для её расшифровки без необходимости создания новой копии.

Вывод терминала из набора инструментов MVT, который сканирует файлы резервных копий iPhone и Android на наличие признаков взлома / TechCrunch

Инструментарий работает в командной строке, поэтому он не отличается изысканным и отполированным пользовательским интерфейсом и требует некоторых базовых знаний о навигации в Терминале.

Чтобы программа была готова просканировать смартфон на наличие признаков вредоносного ПО, вам нужно будет ввести индикаторы компрометации Amnesty, которые та разместила на своей странице GitHub. Каждый раз, когда файл индикаторов компрометации обновляется, необходимо загрузить и использовать актуальную копию.

После запуска процесса MVT просканирует файл резервной копии iPhone на наличие признаков взлома. Процесс занимает около двух минут и выдаёт несколько файлов в папке с результатами сканирования. Если утилита обнаружит возможный взлом, она сообщит об этом в выведенных на экран результатах.

Поскольку обнаружить заражение на Android сложнее, MVT использует аналогичный, но более простой подход, сканируя резервную копию вашего Android-устройства на наличие текстовых сообщений со ссылками на домены, которые, как известно, используются NSO. Инструментарий также позволяет сканировать потенциально вредоносные приложения, установленные на устройстве.

Набор инструментов, как и положено утилитам для командной строки, относительно прост в использовании. Проект имеет открытый исходный код, так что не пройдет много времени, как кто-нибудь обязательно создаст для него пользовательский интерфейс. А подробная документация по работе с утилитой поможет вам разобраться во всех тонкостях работы приложения.


This tool tells you if NSO’s Pegasus spyware targeted your phone – TechCrunch
The toolkit scans iPhone and Android backup files for evidence of a compromise.

Ещё по теме: