Сообщившего о Pegasus журналиста New York Times взломали этой же программой

Канадская лаборатория Citizen Lab, занимающаяся исследованиями в области информационной безопасности, опубликовала отчёт о диагностике телефона журналиста New York Times (NYT) Бена Хаббарда. Согласно отчёту, он неоднократно становился мишенью для шпионской программы Pegasus с июня 2018 по июнь 2021 года. Заражение телефона происходило во время работы Хаббарда в Саудовской Аравии и написании книги о наследном принце страны — Мухаммеде бен Салмане.

Файлы эксплойта FORCEDENTRY на телефоне Бена Хаббарда
Файлы эксплойта FORCEDENTRY на телефоне Бена Хаббарда

По словам Citizen Lab, впервые Хаббард заявил о возможном заражении в группе израильской компании NSO (разработчика программы) в 2020 году. Он боялся, что стал мишенью для Pegasus. Артефакты на смартфоне, свидетельствующие о деятельности Pegasus, присутствуют ещё с 2018 года. Но специалисты Citizen Lab не уверены, что тогда он произошёл именно этой шпионской программой. Два других инцидента произошли в июле 2020 года и июне 2021 года, и в них точно участвовала Pegasus. Специалистам не удалось установить страну, ответственную за взлом.

Подробности взлома в 2021 году исследователи выяснили благодаря эксплойту FORCEDENTRY, найденному в резервной копии iPhone журналиста. Его доставили в 31 вложении, отправленными из учётной записи iMessage. Эксплойт использовался для развёртывания на телефоне Pegasus, в процессе которого в папки Библиотека/Кэш помещался файл.

Следы прошлогоднего взлома Citizen Lab нашла через файл DataUsage.sqlite. 13 июля 2020 специалисты обнаружили свидетельства активности процесса bh. Название процесса соответствует тому, что использует Pegasus в качестве термина, обозначающего начальную стадию вредоносной полезной нагрузки. Как предположили специалисты лаборатории, bh — это сокращение от bridgehead. В резервной копии iPhone от 2021 года записей в файле DataUsage.sqliteуже не было, они были удалены. Как добавила Citizen Lab, в 2020 году клиенты NSO для развёртывания Pegasus использовали преимущественно эксплойт KISMET.

В июне 2018 года, как предполагают специалисты, взлом произошёл через СМС и сообщения в WhatsApp. Они содержали ссылки, ведущие на страницу для загрузки эксплойта KINGDOM и развёртывания Pegasus. NSO опубликовала неофициальное опровержение того, что Хаббарду направляли подобные ссылки. Но специалисты практически уверены, что взлом в этому году связан именно с Pegasus.

Сообщения WhatsApp, полученные Хаббардом в 2018 году
Сообщения WhatsApp, полученные Хаббардом в 2018 году

В файлах com.apple.identityservices.idstatuscache.plist смартфонов Хаббарда Citizen Lab также обнаружила следы предполагаемого взлома с использованием функции облачных вызовов Apple Thumper. Однако неизвестно, что это было на самом деле — взлом или проверка смартфона на наличие взлома. В нескольких уже изученных достоверных свидетельств заражения есть следы использования Apple Thumper.

Подробности исследования Citizen Lab опубликованы в статье «New York Times Journalist Ben Hubbard Hacked with Pegasus after Reporting on Previous Hacking Attempts».

Бен Хаббард стал одним из журналистов, опубликовавших в середине июля этого года серию статей с результатами журналистского расследования о заражении программой Pegasus телефонов репортёров, активистов, политиков и других общественных деятелей. В них был представлен так называемый «шпионский список» из 50 тысяч потенциальных целей Pegasus. В частности, в списке оказались арабские журналистки, с чьих телефонов скачали личные фотографии, и главы 15 государств. В шпионском списке также обнаружили основателя Telegram Павла Дурова, но он не удивился этому факту. По словам Дурова, Apple и Google участвуют в глобальной программе слежки и намеренно внедряют бэкдоры в свои мобильные операционные системы, чтобы оставить лазейку для государственных спецслужб.

14 сентября Apple выпустила обновление для защиты от слежки Pegasus, заявив что устранила уязвимость в своих операционных системах. Обновления вышли для iOS, iPadOS, watchOS и macOS, начиная с версии Catalina. Citizen Lab подтвердила, что указанные уязвимости были устранены.

Читайте так же:

  • Как сделать лучшее на рынке мобильное приложение для коллекторов и не стать их клиентамиКак сделать лучшее на рынке мобильное приложение для коллекторов и не стать их клиентами В этом посте — про разработку мобильного приложения для крупного коллекторского агентства, которое оказалось аркадой с новыми, все более сложными уровнями. По мере погружения в тему, набор применяемых технологий и требуемые компетенции росли как долг в МФО. Но теперь это приложение, […]
  • О том, как правильно понимать определитель матрицыО том, как правильно понимать определитель матрицы Помните байку про интеграл, который пригодился в жизни? Так вот, у определителя тоже есть замечательное применение - пугать детей формулой Лейбница. А давайте даже перепишем ее куда-нибудь в середину, чтобы всем было хорошо видно.Расшифровывается это дело следующим образом: если у нас […]
  • Большой экран, 90 Гц, 6000 мА•ч, XOS 7.6 и Android 11 дешевле $140. Представлен Infinix Hot 10SБольшой экран, 90 Гц, 6000 мА•ч, XOS 7.6 и Android 11 дешевле $140. Представлен Infinix Hot 10S Компания Infinix. Которая является подразделением Transsion Holdings. Анонсировала смартфон Infinix Hot 10S. Он должен поступить в продажу уже 27 мая в Индии. Infinix Hot 10S получил большой 6,82-дюймовый дисплей разрешением 1640 x 720 пикселей. Который занимает 90,6% площади лицевой […]
  • Госуслуги, уязвимость сессииГосуслуги, уязвимость сессии Вход с разных устройств в ЕПГУС августа 2021 года (по информации знакомого, работающего в гос.центре) на портале госуслуг (далее ЕПГУ) ввели ограничения/усложнения на самостоятельную привязку мобильного номера телефона к действующей, подтвержденной учётной записи пользователя, подобными […]