เพื่อสอดแนมเหยื่อ ซอฟต์แวร์นี้อาศัยการเจลเบรคและทำให้เทอร์มินัลติดไวรัสโดยใช้ข้อบกพร่องแบบซีโรเดย์สามรายการ ช่วยให้คุณสามารถสกัดกั้นการสื่อสารทุกประเภท
ในทางใดทางหนึ่ง มันเป็นโชคครั้งใหญ่ เปิดเผยโดยนักวิจัยด้านความปลอดภัยจาก CitizenLab และ Lookoutพยายามจารกรรมโดยมี Ahmed Mansoor ผู้พิทักษ์สิทธิมนุษยชนชาวเอมิเรตส์เป็นเหยื่อ ทำให้สามารถจับกุมเพกาซัสได้ ซอฟต์แวร์สอดแนมที่ซับซ้อนมากซึ่งสร้างโดย NSO Group ผู้จัดพิมพ์ชาวอิสราเอล รางวัลแห่งสงครามนั้นหาได้ยาก เนื่องจากสปายมาสเตอร์ทำทุกอย่างเพื่อให้แน่ใจว่าซอฟต์แวร์ของพวกเขาไม่ถูกค้นพบ และผู้ปฏิบัติการที่โจมตีครั้งนี้ต้องกัดนิ้วแน่ ๆ ในวันนี้
การโจมตีดังกล่าวมาถึง iPhone 6 ของนาย Mansoor ในรูปแบบ SMS พร้อมลิงก์ ซึ่งเป็นโดเมนที่ CitizenLab สามารถเชื่อมโยงกับ NSO Group นักเคลื่อนไหวด้านสิทธิมนุษยชนมีสัญชาตญาณที่ดีในการโอนลิงก์นี้ไปยัง CitizenLab ซึ่งเปิดลิงก์นี้บน iPhone 5s ทันที มัลแวร์ถูกติดตั้งทันที ทำให้นักวิจัยด้านความปลอดภัยสามารถเริ่มการวิเคราะห์ได้
ข้อสังเกตแรก: มันหนัก. ในการทำให้ iPhone ติดเชื้อ มัลแวร์ต้องอาศัยข้อบกพร่องแบบ Zero-day สามตัวที่ถูกใช้ประโยชน์ติดต่อกัน ในตลาดมืด ช่องโหว่ประเภทนี้ขายได้ในราคาหลายแสนยูโร หรือมากกว่าล้านด้วยซ้ำ ช่องโหว่แรก (CVE-2016-4657) อยู่ในไลบรารี WebKit ซึ่งใช้โดย Safari ช่วยให้คุณสามารถรันโค้ดบน iPhone ได้โดยเพียงแค่โหลดหน้าเว็บ ในกรณีนี้ จะช่วยให้คุณสามารถเจลเบรค iPhone ได้: ข้อบกพร่องซีโร่เดย์แรก (CVE-2016-4655) ใช้เพื่อค้นหาพื้นที่หน่วยความจำของเคอร์เนล และข้อบกพร่องที่สอง (CVE-2016-4656) สำหรับการแก้ไข ซึ่งช่วยให้สามารถลบชั้นการป้องกันแอปพลิเคชันต่างๆ ออกจากระบบได้ แฮ็คจบลงด้วยการดาวน์โหลดและติดตั้ง Pegasus
ตามที่นักวิจัยของ Lookout ระบุว่าซอฟต์แวร์สอดแนมนี้มีความสมบูรณ์และเขียนได้ดี สำเนาที่พวกเขาค้นพบช่วยให้พวกเขาสามารถดูดข้อมูลจากการตั้งค่าเครือข่าย ปฏิทิน สมุดที่อยู่ และฐานข้อมูลรหัสผ่าน KeyChain นอกจากนี้ยังช่วยให้คุณสามารถสกัดกั้นการสื่อสารด้วยข้อความ เสียง หรือวิดีโอจากแอปส่งข้อความและโซเชียลเน็ตเวิร์กประมาณสิบห้าแอป: Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, WeChat, VK ฯลฯ ซอฟต์แวร์ยังสามารถบันทึกและบันทึกภาพเหยื่อได้แบบเรียลไทม์ อย่างหลังไม่เห็นอะไรเลยนอกจากไฟ การกระทำทั้งหมดนี้เกิดขึ้นในพื้นหลังโดยไม่มีสิ่งใดปรากฏบนหน้าจอ การแลกเปลี่ยนบางอย่างกับเซิร์ฟเวอร์คำสั่งและการควบคุมยังถูกปกปิดไว้ในข้อความ SMS การรับรองความถูกต้องที่ผิดพลาด ส่วนอื่นๆ ของโค้ดยังคงได้รับการวิเคราะห์ที่ Lookout
ลูกค้า Pegasus ถูกซ่อนอยู่หลังคลาวด์
โดยการขุดค้นข้อมูลที่มีอยู่รั่วไหลออกมาที่ทีมแฮ็คในเดือนกรกฎาคม 2558CitizenLab ยังสามารถเข้าไปดูหน้าเอกสารที่เกี่ยวข้องกับ Pegasus ได้อีกด้วย พวกเขาแสดงให้เห็นว่าระบบนี้ขึ้นอยู่กับองค์ประกอบหลักสามประการ: เวิร์กสเตชัน เซิร์ฟเวอร์การติดเชื้อ และโครงสร้างพื้นฐานคลาวด์ เจ้าหน้าที่เปิดฉากการโจมตีจากสถานีของเขา ซึ่งทำให้ SMS ที่ติดอยู่ถูกส่งไป ลิงก์ที่ฝังไว้ชี้ไปที่หนึ่งในเว็บเซิร์ฟเวอร์ของโครงสร้างพื้นฐานคลาวด์ เว็บเซิร์ฟเวอร์จะเปลี่ยนเส้นทางเหยื่อไปยังเซิร์ฟเวอร์การติดไวรัสซึ่งจะดำเนินการโจมตี
หากการโจมตีสำเร็จ ผู้ปฏิบัติงานจะสามารถเข้าถึงข้อมูล iPhone จากเวิร์กสเตชันของตนได้ โดยมีอินเทอร์เฟซแบบกราฟิกที่สวยงาม สายลับอย่างมีสไตล์
แหล่งที่มา:
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
