De Pegasus-spyware van de NSO Group haalt opnieuw de krantenkoppen nadat werd gemeld dat een aantal regeringen in de buurt de wereld heeft het gebruikt om de smartphones van activisten, politici, journalisten en anderen te hacken individuen.
Er is een lijst met mogelijke surveillancedoelen gelekt, met meer dan 50.000 telefoonnummers verkregen door een aantal nieuwsuitzendingen in het weekend, waardoor de bezorgdheid over het overheidstoezicht opnieuw werd aangewakkerd.
Dus, wat is Pegasus precies? En wie zou een potentieel doelwit van een aanval kunnen zijn? Hoe weet u of uw iPhone al het slachtoffer is geworden van spyware? We hebben alles verzameld wat u moet weten over Pegasus.
Wat is Pegasus?
Pegasus is geavanceerde spyware die is ontwikkeld door het Israëlische bedrijf NSO Group, ook bekend als Q Cyber Technologies. Het werd voor het eerst ontdekt op iOS in 2016 toen de Arabische mensenrechtenverdediger Ahmed Mansoor een sms ontving waarin 'geheimen' werden beloofd over gevangenissen in de Verenigde Arabische Emiraten.
Cyberbeveiligingsbedrijf Lookout, de eerste die de spyware onderzocht, denkt echter dat Pegasus al veel langer bestaat. "Wij geloven dat deze spyware is in het wild geweest voor een aanzienlijke hoeveelheid tijd op basis van enkele van de indicatoren in de code”, aldus het rapport van Lookout destijds.
Een tabel met kernelmapping die in de spyware werd ontdekt, bevatte waarden die teruggingen tot iOS 7, dat Apple eind 2013 uitbracht. En een aantal rapporten, waaronder een van The New York Times, claim gelekte e-mails bevestigen de Verenigde Arabische Emiraten gebruikt Pegasus sinds 2013.
Apple heeft natuurlijk iOS-updates uitgerold die de kwetsbaarheden oplossen die sindsdien door verschillende versies van Pegasus zijn uitgebuit. Het lijkt er echter op dat NSO Group nieuwe routes blijft vinden in de firmware van Apple. En dat doet het, zo beweert het, om regeringen te helpen misdaad te onderzoeken en terrorisme te bestrijden.
Maar dat is niet strikt hoe Pegasus tot nu toe is gebruikt. In zijn rapport uit 2016 noemde Lookout Pegasus de "meest geavanceerde aanval die we op een eindpunt hebben gezien". Lookout zei ook: de spyware werd gebruikt om "hoogwaardige doelen aan te vallen voor meerdere doeleinden, waaronder hoogwaardige zakelijke" spionage."
Hoe wordt Pegasus gedistribueerd?
Wat Pegasus bijzonder speciaal maakt, en in tegenstelling tot de meeste spyware die we doorgaans op iPhone en andere smartphones zien, is dat het een "zero-click"-aanval gebruikt. Dat betekent dat de gebruiker van de smartphone geen kwaadaardige app hoeft te installeren of op een snode link hoeft te klikken. Het vereist eigenlijk helemaal geen gebruikersinvoer.
In plaats daarvan kan Pegasus via het netwerk van de smartphone worden geïnjecteerd, hetzij door een malafide zendmast te gebruiken of met toegang tot echte netwerkinfrastructuur. NSO Group demonstreerde dit in november 2019 toen het een draagbaar Base Transceiver Station (een malafide zendmast) tentoonstelde op de Milipol-beurs in Parijs.
De BTS werd achter in een busje geplaatst en deed zich voor als een legitieme zendmast, waardoor handsets binnen een bepaalde straal automatisch verbinding moesten maken. Zodra een verbinding tot stand was gebracht, kon het verkeer van zendmasten worden onderschept en gemanipuleerd, waardoor Pegasus in die apparaten kon worden geïnjecteerd.
iPhones zijn ook het doelwit van Pegasus via iMessage en het Push Notification Service-protocol van Apple. De spyware kan zichzelf vermommen als een andere app - een app die je al hebt geïnstalleerd - en zichzelf vervolgens als een melding verzenden via de servers van Apple.
Het is dus ongelooflijk moeilijk om te voorkomen dat je wordt geïnfecteerd door de Pegasus-spyware. Er is weinig dat u kunt doen - afgezien van voorkomen dat uw apparaat verbinding maakt met zendmasten - om een mogelijke onderschepping te voorkomen. En zodra de software zijn weg vindt naar uw apparaat, kan het grote schade aanrichten.
Wat kan Pegasus doen?
Pegasus kan allerlei soorten gevoelige gegevens terugsturen naar de servers van een aanvaller. Dit omvat contacten, sms-berichten, agenda-afspraken en wachtwoorden. Het kan zelfs live spraakoproepen onderscheppen, inclusief gesprekken die worden beschermd door end-to-end-encryptie, zodat een aanvaller kan meeluisteren.
Pegasus stelt een aanvaller ook in staat om de camera en microfoon van een smartphone over te nemen. Bovendien kan het de GPS van een smartphone gebruiken om een doel te volgen, allemaal zonder medeweten van de eigenaar. Het is ontworpen om detectie door antivirussoftware te omzeilen. En zo nodig kan een aanvaller Pegasus op afstand verwijderen.
Wie loopt er gevaar?
Zoals uitgelegd in het Lookout-rapport, lijken Pegasus-aanvallen primair gericht te zijn op 'hoogwaardige doelen' zoals activisten, CEO's, journalisten, advocaten en politici. De aanvallen zouden worden verspreid door overheden die voor de spyware betalen, en niet door de NSO Group zelf.
Eind 2019 werd gemeld dat ten minste 121 mensen in India – waaronder meer dan 40 journalisten – was geraakt door een Pegasus-aanval. De Indiase minister van Technologie Ravi Shankar Prasad zei dat rond dezelfde tijd ongeveer 1.400 mensen over de hele wereld het doelwit waren.
Hoewel het mogelijk is dat de gemiddelde gebruiker het slachtoffer wordt van een Pegasus-aanval, wordt dit hoogst onwaarschijnlijk geacht. Apple-beveiligingschef Ivan Krstić vertelde: De Washington Post deze week die aanvallen zoals Pegasus “zijn geen bedreiging voor de overgrote meerderheid van onze gebruikers.”
Hoe u uzelf kunt beschermen tegen Pegasus-spyware
Ondanks dat het ongelooflijk geavanceerd is en in de meeste gevallen alleen een telefoonnummer nodig heeft voor toegang tot het apparaat van een doelwit, is Pegasus niet 100% effectief. In bepaalde scenario's mislukt het. Dat betekent dat je bepaalde stappen kunt ondernemen om te voorkomen dat je ten prooi valt aan een Pegasus-aanval.
De eenvoudigste stap die u kunt nemen, is ervoor zorgen dat u uw iPhone up-to-date houdt. Apple werkt constant aan het patchen van kwetsbaarheden die door Pegasus en andere bedreigingen worden gebruikt. Dat betekent dat een simpele software-update voldoende kan zijn om een aanval te voorkomen. Een ander ding dat u kunt doen, is het gebruik van Apple's eigen Safari-browser op de iPhone vermijden.
Volgens een brochure over Pegasus van NSO Group, "installatie van andere browsers dan de standaard apparaat (en ook Chrome voor Android gebaseerde apparaten) wordt niet door het systeem ondersteund.” Wanneer Pegasus een browser van derden tegenkomt, wordt de installatie afgebroken en wordt een onschadelijke webpagina weergegeven weergegeven.
Hoe weet u of uw iPhone is geïnfecteerd
Vroeger was het detecteren van een Pegasus-infectie bijna onmogelijk. De meeste doelwitten wisten nooit dat ze een doelwit waren - of dat hun apparaat geïnfecteerd was. Maar nu kun je een tool gebruiken, ontwikkeld door onderzoekers van Amnesty International, die sporen van een mogelijke Pegasus-infectie kan detecteren.
De Mobile Verification Toolkit (MVT) werkt op zowel iPhone- als Android-apparaten, maar vereist een Mac- of Linux-computer voor uitvoering. Het ondersteunt een aantal opdrachten waarmee u een iTunes-back-up kunt decoderen en artefacten kunt extraheren. Vervolgens kunt u ze vergelijken om tekenen van een aanval te detecteren.
Jij kan download de Mobile Verification Toolkit van Github, waar u ook een lijst met gedetailleerde installatie- en gebruiksinstructies vindt.
