Olyan támadást fedezett fel a Cisco Talos, amely a Pegasus kémszoftvertől való félelmet lovagolja meg. A támadók egy magát az Amnesty Internation weboldalának hazudó site-on keresztül úgy terjesztenek egy kevésbé ismert Sarwent nevű trójai programot, hogy hordozójáról azt állítják: megvéd a Pegasus mobil változata ellen.

A biztonsági kutatók szerint a támadások célzottak, a Sarwent mögött álló személyek (szervezet?) elsősorban ahhoz a körhöz szeretnék eljuttatni a trójait, akik fenyegetve érzik magukat az izraeli NSO Group által fejlesztett kémprogramtól. A Talos szerint elképzelhető, hogy a támadások mögött állami szereplők vannak, bár a kutatócég közelebbről egyelőre nem nevezte meg a lehetséges államokat.

Idén erősödött a Pegasus-para

Elég a Bitporton rákeresni a "pegasus" szóra, hogy lássuk, a Pegasustól való félelem egyáltalán nem új keletű. A kémprogram körül az első, nagyobb viharokat kavaró botrány 2016-ban robbant ki, amikor a kutatók valószínűsítették, hogy a kémprogram az iOS egy nulladik napi sérülékenységét kihasználva lényegében bármihez hozzáfért az iPhone-okon.

Idén ennél sokkal súlyosabb vádakat fogalmazott meg egy nemzetközi tényfeltáró újságíró szervezet, a Forbidden Stories és az Amnesty International: elnyomó rezsimek figyeltek meg az NSO szoftverével ellenzéki politikusokat, újságírókat. (A botrány Magyarországot is komolyan érintette – bár egyelőre különösebb következményei nem lettek az ügynek.)

Hamarosan kiderült, hogy a Pegasus olyannyira profi, hogy nincs az a rendszer, amely meg tudná akadályozni a tevékenységét. Általános pánik azonban általában akkor tör ki a felhasználók körében, amikor kiderül, hogy egy vírus, kémprogram vagy más kórokozó az Apple rendszereit is érinti. Még mindig tartja magát ugyanis az a tévképzet, hogy az Apple rendszereit nem veszélyeztetik holmi csip-csup vírnyákok. De ha mégis, akkor nagy a baj...

Az Anti-Pegasus kémprogram

Ezt lovagolják meg a Talos által felfedezett támadás kiagyalói. Szeptember közepén az Apple váratlanul kiadott egy hibajavítást a rendszereihez, mert olyan sérülékenységet fedezett fel bennük a Citizen Lab, amely kémprogramok észrevétlen futtatását teszi lehetővé. A hír hatására még többen kezdtek keresni olyan megoldást, ami megvédi rendszereiket a kémprogramoktól. Egy az Amnesty International webhelyéhez megtévesztően hasonlító oldalon azzal népszerűsítették az Amnesty Anti Pegasus nevű vírusirtó eszközt, hogy az védelmet nyújt az NSO Group kémprogramjaival szemben.

A felhasználó azonban a védelem helyett egy olyan távoli elérési eszközt (ún. RAT – remote access tool) telepít, amin keresztül a támadók bármit feltölthetnek és futtathatnak távolról a megtámadott gépen, illetve szivárogtathatnak onnan tetszőleges adatokat.

A kutatók szerint a támadás nem tömegeket céloz meg, de földrajzilag kiterjedt. Találtak áldozatokat az USA-ban és Kolumbiában éppúgy, mint az Egyesült Királyságban, Csehországban, Romániában, Oroszországban, Ukrajnában vagy épp Indiában.

A támadókról egyelőre annyit sikerült kideríteni, hogy van orosz kötődésük. A támadások célját illetően csak találgatni lehet. Mindenesetre az, hogy a kiberbűnözők az autoriter kormányzatokkal szemben kritikus Amnesty International nevével éltek vissza egy olyan kémprogram kapcsán, amit több országban is az ellenzékiek megfigyelésére vetettek be, nem sok értelmezési lehetőséget hagy.