Онлайн-расследование. Как обнаружить в айфоне шпиона Pegasus и защититься от него

На этой неделе «Медуза» (издание признано иноагентом и нежелательной организацией) сообщила об установке шпионского ПО Pegasus на телефон своего издателя Галины Тимченко. Это выяснилось в результате проверки гаджета, которую решил провести технический директор издания после того, как на телефон Тимченко пришло уведомление от Apple о возможной атаке проправительственных хакеров. Вскоре несколько журналистов заявили, что получали такие же уведомления. Были ли и их телефоны заражены Pegasus, пока не установлено. Сегодня в рубрике «Онлайн-расследование» расскажем, какие еще признаки указывают на заражение Pegasus и как от него защититься.

Инструменты — что может защитить от Pegasus

Pegasus от израильской NSO Group — пожалуй, один из самых раскрученных в мире брендов кибероружия для взлома устройств. Во-первых, этот софт позволяет проводить атаки с нулевым кликом — то есть не требует никакого участия от пользователя, а устанавливается сам. Во-вторых, Pegasus — одна из немногих программ, позволяющих успешно взламывать iPhone. Причем шпионский софт попадает на смартфоны даже через сервисы самой Apple — iMessage и HomeKit, а также через официальные приложения других больших разработчиков вроде WhatsApp. Подробнее об этом ПО читайте в нашей технорассылке.

• В большинстве известных атак Pegasus был задействован номер телефона пользователя: жертвы получали звонок, SMS или письмо. При этом для успешной атаки этим ПО вовсе не обязательно проходить по какой-то ссылке, отвечать на SMS или совершать еще какие–то действия. В этой ситуации один из возможных способов защиты — это иметь два телефона. Один — с известным всем номером, другой — с номером, который вы тщательно скрываете и используете только для конфиденциальных контактов.
• Взлом часто происходит ночью. После отправки вредоносного SMS Pegasus получает контроль над айфоном, после чего подозрительный SMS можно тут же удалить, а ночью жертва с большой вероятностью об этом даже не узнает. Если вы всерьез опасаетесь взлома, не отключайте на ночь звуковые уведомления или наоборот — выключайте телефон.
• Главный метод защиты, который предлагают все специалисты по безопасности, — это перезагружать смартфон как можно чаще. Дело в том, что вредоносное ПО хранится в оперативной памяти, а она при перезагрузке очищается. Но и этот способ не гарантирует полного избавления от вируса.
• На Android это ПО пока не находили. Но рассчитывать на то, что Android безопаснее, тоже не стоит: вряд ли такое мощное оружие создавали только для айфонов. К уведомлениям от Apple нужно относиться внимательно. Если ваш гаджет предлагает обновить ПО, это обязательно нужно делать. В обновлениях часто содержатся дополнительные защиты от угроз, и недавно Apple выпустила обновление с защитой как раз от Pegasus.
• Если вы видите любые оповещения о нарушении системы безопасности от Apple, к ним тоже нужно отнестись серьезно и принять меры: сменить пароли, перезагрузить телефон, проверить обновления и, возможно, даже сменить sim-карту.
• Впрочем, создатели Pegasus тоже не стоят на месте. Разработчики ПО находят все новые и новые уязвимости, так что стопроцентной гарантии безопасности добиться невозможно. Так что самый важный совет — проанализировать, какие данные вы храните в своем телефоне, и перенести самые чувствительные из них на внешний диск с паролем.

Примеры

Наиболее исчерпывающая информация о выявлении Pegasus за последние годы содержится в докладах Access Now, Citizen Lab и Amnesty International. Чтобы быть в курсе новых угроз, стоит подписаться на обновления от Citizen Lab. Кроме того, Amnesty International выпустила бесплатный инструмент для проверки устройства на предмет заражения Pegasus с подробной инструкцией. Все три организации принимают сообщения от пользователей, которые подозревают заражение своих гаджетов. Если у вас есть реальные основания беспокоиться — например, вы получали уведомления о взломе от Apple, стоит обратиться в одну из этих организаций.

Что мне с этого?

Стоит иметь в виду, что Pegasus — дорогое удовольствие, которое официально продается только правительствам. Купить лицензию на софт NSO один раз и использовать его на неограниченном количестве целей ни одна страна не может. «По нашим данным, вся собранная Pegasus информация сначала передается на сервера разработчика, а уже оттуда ее получают владельцы лицензии через личный кабинет. То есть компания знает, кто и где использует ее продукт. Благодаря этому разработчик Pegasus может контролировать использование лицензий и в том числе отслеживать использование на определенных территориях — чтобы избежать попадания программы в руки третьим лицам», — говорит ведущий специалист Лаборатории компьютерной криминалистики компании F.A.C.C.T. Игорь Михайлов. По данным журналистов, помимо подключения к системе стоимостью от $1 млн, за слежку за одним абонентом нужно платить около $30 тысяч. Заражают этим ПО, как правило, политиков, журналистов и активистов. В то же время невозможно однозначно утверждать, что Pegasus не может применяться сейчас или не станет применяться в будущем более массово. К тому же способов взлома ваших гаджетов достаточно и без такого сложного ПО. В предыдущих выпусках этой рубрики мы уже рассказывали о том, как не стать жертвой фишинга и избежать прослушки.