جاسوسی از تلفن همراه شما با Pegasus

پگاسوس یا Pegasus نام یک نرم‌افزار جاسوسی است که توسط گروه NSO توسعه‌ یافته است. هدف اصلی این بدافزار سیستم‌عامل iOS می‌باشد. به گفته محققان تا نسخه ۱۴٫۶ سیستم‌عامل مخصوص دستگاه‌های اپل یعنی iOS توسط این بدافزار مورد حمله قرار می‌گیرد. البته این بدافزار در سیستم‌عامل اندروید هم مشاهده شده است. افشاگری‌های پروژه ۲۰۲۱ پگاسوس نشان می‌دهد که نرم‌افزار کنونی می‌تواند از تمام نسخه‌های اخیر iOS تا iOS 14.6 را مورد نفوذ قرار دهد. از سال ۲۰۱۶ پگاسوس قادر به خواندن پیام‌های متنی، ردیابی تماس‌ها، جمع‌آوری رمزهای عبور، ردیابی موقعیت مکانی، دسترسی به میکروفن و دوربین دستگاه مورد نظر و برداشت اطلاعات از برنامه‌ها بود. این جاسوس‌افزار به نام اسب افسانه‌ای بالدار پگاسوس نامگذاری شده است.

NSO Group قبلا متعلق به یک شرکت سرمایه‌گذاری خصوصی آمریکایی به نام Francisco Partners بود. اما توسط موسسان آن در سال ۲۰۱۹ خریداری شد. این شرکت اظهار داشت که فناوری مجاز دولت‌هایی را که به آنها کمک می‌کند تا با ترور و جنایت مقابله کنند، فراهم می‌کند. که این یک رویکرد چالش برانگیز در زمینه حقوق بشر است.

در ابتدا Pegasus در آگوست ۲۰۱۶ کشف شد. پس از یک تلاش ناموفق در نصب آیفون یک فعال حقوق بشر، منجر به تحقیق در مورد جزئیات جاسوسی، توانایی‌های آن و آسیب‌پذیری‌های امنیتی آن گشت. اخبار مربوط به جاسوس‌افزار مورد پوشش چشمگیر رسانه‌ها قرار گرفت. این حمله پیچیده‌ترین حمله تلفن‌های هوشمند تاکنون شناخته شده است و اولین باری است که یک اکسپلویت RCE بهمراه Privilege Escalation به منظور دسترسی بدون محدودیت به آیفون شناسایی شده است.

در تاریخ ۲۳ آگوست سال ۲۰۲۰، طبق اطلاعات بدست آمده توسط روزنامه اسرائیلی هاآرتز، NSO Group نرم‌افزار جاسوسی پگاسوس را به قیمت صدها میلیون دلار به امارات متحده عربی و سایر کشورهای حاشیه خلیج‌فارس، برای نظارت بر فعالان ضد رژیم و روزنامه‌نگاران و رهبران سیاسی کشورهای رقیب و با تشویق و وساطت دولت اسرائیل فروخت.

این نرم‌افزار جاسوسی را می‌توان روی دستگاه‌هایی که نسخه‌های خاصی از iOS، سیستم‌عامل تلفن همراه اپل و همچنین برخی از دستگاه‌های Android را اجرا و نصب کرد. Pegasus بجای این که یک اکسپلویت مشخص را داشته باشد، مجموعه‌ای از اکسپلویت‌هاست که از بسیاری از آسیب‌پذیری‌های سیستم استفاده می‌کند. راه‌های نفوذ آن به وسیله کلیک بر روی لینک و همچنین از طریق نرم‌افزارهای Photos و Music و iMessage است. برخی از اکسپلویت‌های استفاده شده در پگاسوس با صفر کلیک انجام می‌شود. یعنی می‌تواند بدون هیچ‌گونه تعاملی با قربانی اجرا شود. پس از نصب، این نرم‌افزار می‌تواند کدهای دلخواه مهاجم را اجرا کند، مخاطبین را استخراج کند، گزارش تماس‌ها، پیامک‌ها، عکس‌ها، تاریخچه مرورگر وب، تنظیمات و همچنین اطلاعاتی را از برنامه‌های Gmail، Viber، Facebook، Skype، WhatsApp و Telegram استخراج نماید.

در اجلاس تحلیل‌گر امنیت ۲۰۱۷ که توسط آزمایشگاه Kaspersky برگزار شد، محققان نشان دادند که Pegasus علاوه بر iOS برای اندروید نیز در دسترس است. نام این بدافزار را chrysaor که برادر پگاسوس است، گذاشته‌اند. عملکرد آن مشابه پگاسوس است، اما حالت حمله متفاوت می‌باشد. نسخه اندروید سعی در دستیابی به دسترسی روت دارد. درصورت عدم موفقیت، از کاربر مجوزی می‌خواهد که بتواند حداقل برخی از داده‌ها را برداشت کند. به گفته گوگل، تعداد دستگاه‌های اندرویدی آلوده شده، کم است.

رویکرد هوشمندانه پگاسوس از رفتار آن مشخص است. اگر بیش از  ۶۰ روز قادر به برقراری ارتباط با سرور C&C خودر را نداشته باشد، یا اگر در دستگاه اشتباهی باشد، پگاسوس می‌تواند خود را تا آنجا که ممکن است مخفی کرده و خود را نابود می‌کند. مخفی ماندن پگاسوس می‌تواند از طریق دستور نیز انجام شود.

شماره آسیب‌پذیری‌هایی که در این نرم‌افزار مورد نفوذ قرار گرفته اند به شرح زیر می‌باشد:

• CVE-2016-4655
  • آسیب‌پذیری افشا اطلاعات در کرنل که امکان محاسبه موقعیت کرنل در حافظه را به مهاجم می‌دهد.

• CVE-2016-4656
  • آسیب‌پذیری خطا در حافظه کرنل که به jailbreak شدن دستگاه منجر می‌شود.

• CVE-2016-4657
  • آسیب‌پذیری خطا در حافظه در webkit که منجر به تسخیر دستگاه توسط مهاجم می‌شود. این آسیب‌پذیری زمانی که کاربر برروی لینک کلیک کند، در مرورگر safari اکسپلویت می‌شود.