Ваш надежный источник

Накануне всемирный концерн Apple подтвердил использование шпионского программного обеспечивания Pegasus против армянских пользователей, после чего бывший директор Службы нацбезопасности Армении Артур Ванецян на своей странице в Facebook написал о том, что получил уведомительное письмо от Apple о том, что его телефон прослушивался и подвергался атакам длительное время.

В связи с этим эксперт по кибербезопасности Рубен Мурадян на своей страничке в Facebook решил разъяснить, что из себя представляет данное ПО, насколько правдоподобным является уведомление Apple, как защититься от атак данной программы.

«Сейчас будет длинно и занудно про Pegasus.

Со вчерашнего дня появилось достаточно комментариев относительно опубликованных Артуром Ванецяном и мной фактов. Итак начнем. В публичном пространстве ФБ я увидел 3 содержательных статуса по теме (если я что-то пропустил, или есть неотвеченые вопросы - велкам в каменты):

https://www.facebook.com/SamiHayrapetyanPage/posts/986440772086004

https://www.facebook.com/SamiHayrapetyanPage/posts/986393528757395

https://www.facebook.com/100030109338791/posts/631821887831450/

Вычленяя из них НЕполитические и НЕполитизированные тезисы мы получаем:

1. Сомнения в том, что обнаружен именно Pegasus
2. Манипуляции на тему формулировки "State Sponsored" в письме от Apple
3. Сомнения в том, что Apple имела ввиду именно Пегасус
4. Утверждения о том, что Pegasus может быть доступен кому угодно
5. Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились
6. Утверждение о том, что Pegasus не является State Sponsored Attack
7. Утверждение о том, что "НИ ОДНА КОМПАНИЯ не может контролировать входы и выходы Pegasus-а, чтобы еще и предупреждать своих покупателей об этом"
8. Отдельной строкой идут сомнения в том, что Pegasus сажали спецслужбы именно Армении

1. Почему я уверен, что обнаружен именно Pegasus

На сегодняшний день я исследовал 4 телефона, принадлежащих 3 разным людям, получившим письма о State Sponsored Attacks от Apple. На всех 4 я обнаружил Pegasus. 3 телефона принадлежат Артуру Ванецяну и членам его семьи. Исследование проводилось с помощью
idevicebackup2

mvt (https://docs.mvt.re/en/latest/index.html)

Проверка на наличие Pegasus проводилась с использованием STIX файла с IoC Pegasus-а от Amnesty Tech (технологического подразделения Amnesty International) (https://raw.githubusercontent.com/.../2021.../pegasus.stix2).

На всех этих телефонах обнаружено наличие Pegasus-овских следов, в основном в виде специфических процессов.

2. Что означает State Sponsored в письме от Apple

NSO Group, которая производит Pegasus продает свою продукцию ТОЛЬКО государствам.
Рассылка этих писем происходила параллельно с публикацией (https://www.apple.com/.../apple-sues-nso-group-to-curb.../) новости о том, что Apple подает в суд на NSO Group за распространение малвера.

В заявлении по поводу иска, Крэйг Федериги заявил “State-sponsored actors like the NSO Group spend millions of dollars on sophisticated surveillance technologies without effective accountability. That needs to change”. Отсюда ясно видно, что и кого имеет ввиду Apple, говоря о State Sponsored Attacks

3. Сомнения в том, что Apple имела ввиду именно Пегасус

Смотри пункт 2

4. Утверждения о том, что Pegasus может быть доступен кому угодно

Как уже говорилось в пункте 2, NSO Group продает Pegasus только правительствам. Т.к. Pegasus распространяется по схеме Malware as a Service, использовать его может только NSO Group. Покупатели - государства - обращаются к NSO Group с заявками на заражение, а NSO Group сама занимается заражением.

5. Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились

Эта новость одна из самых известных за последние 2-3 дня. Поиск в Google по киворду "state sponsored attack email Apple" показывает, какое-то огромное количество результатов, эта новость во всех междуанродных медиа, а в Армении о заражении объявили несколько политических фигур.

6. Утверждение о том, что Pegasus не является State Sponsored Attack

Смотри пункт 2

7. Утверждение о том, что "НИ ОДНА КОМПАНИЯ не может контролировать входы и выходы Pegasus-а, чтобы еще и предупреждать своих покупателей об этом"

Я предпочитаю верить Крейгу Федериги, цитата из которогo приведена в пункте 2.

8. Pegasus в телефон Артура Ванецяна могли установить какие угодно спецслужбы, а не только армянские

Для начала надо перечислить следующие факты:

1. Pegasus доступен только государствам.

2. NSO Group, после серии скандалов, несколько раз заявляла, что принимает заказы на инфильтрацию только от легальных институтов - спецслужб. И только для слежки за своими же гражданами.

3. Установить, кто именно стоит за инфильтрацией того или иного телефона однозначно, на уровне доказательств невозможно, по причине того, что заражают телефоны не спецслужбы [подставьте сюда любую страну]. Телефоны заражает NSO Group, по запросу спецслужб. Соответственно нет никакой технической возможности однозначно и неоспоримо проветси атрибуцию атаки.

4. Необходимо отслеживать реакцию поля.

Как я сказал выше - однозначных и неоспоримых фактов для атрибуции у меня нет. Но есть основания для educated guess. Совмещая пункты 1 и 2 мы можем заключить, что если NSO Group говорит правду, то это должны быть только спецслужбы Армении. Но NSO Group может и врать. И вот здесь нам приходит на помощь пункт 4. Обратите внимание: спецслужбы не опровергли использование Pegasus. Использование Pegasus опровергают только политизированные спикеры.

Посмотрите на методы опровержения - они не технические, а манипулятивно-риторические.

Именно исходя из вышеперечисленного, я считаю, что у тех людей, кто получил письмо от Apple И (это важно, должно соблюдаться ОБА этих условия) в чьих телефонах обнаружен Pegasus с помощью mvt - эти люди с большой долей вероятности стали жертвой армянского оператора Pegasus».