Spionprogramvaran Pegagus har fått stor uppmärksamhet efter att 17 mediaorganisationer nyligen kartlagt 50 000 telefonnummer som avlyssnats med hjälp av programvaran.
Men hur fungerar egentligen Pegasus och är det ens möjligt att skydda sin verksamhet mot att utsättas för avancerade spionprogramvaror?
”Det var vi på Lookout som i samarbete med Citizen Lab upptäckte Pegagus redan 2016, och vi har även kunnat kartlägga hur programmet fungerar. Pegasus är speciellt eftersom det ger en ovanligt stor kontroll över offrets mobil, vilket gör det användbart för allt från affärsspionage till att avlyssna oppositionella”, säger Sara Fernholm, partneransvarig för Norden på Lookout.
Pegasus kan bland annat komma åt GPS-koordinator, foton, epostfiler och krypterade meddelande i appar som WhatsApp och Signal. Det kan även slå på mobilens mikrofon för att på så sätt kunna lyssna på vad som händer där mobilen befinner sig eller på telefonsamtal. Det kan även använda kameran och spela in video.
Hur fungerar Pegasus?
I den nyligen avslöjade läckan kunde man se att många av de avlyssnade har kopplingar till länder som man vet arbetar med övervakning. Många av de avlyssnade är affärsmän, mänskliga rättigheter-aktivister, journalister, akademiker och statstjänstemän.
Pegasus attacker fungerar dock egentligen inte annorlunda än många andra spionprogram. Attackerna följer bestämda steg, och det går att hindra dem vid flera olika tillfällen.
Steg 1. Det börjar med ett farligt meddelande
Många spionprogram påbörjar sin attack genom att en skadlig länk skickas till offret. Den mest effektiva metoden är via riktade meddelanden som verkar intressanta för mottagaren. Till exempel avslöjades Pegasus 2016 genom att en journalist skickade Lookout en misstänkt länk hen fått. Länken kom från ett okänt nummer och meddelandet sa att journalisten skulle få tips om en story om mänskliga rättigheter som hen arbetade med genom att klicka på länken.
En farlig länk kan skickas via en stor mängd olika appar, inklusive SMS, epost, sociala medier eller till och med spel- eller dejtingappar. Så länge användare inte klickar på en sådan länk kan programmet inte infektera mobilen. Numera har dock Pegasus vidareutvecklats så att det inte ens krävs att användaren alls interagerar med det mottagna meddelandet. I det här fallet måste alltså meddelandet stoppas redan innan det kommer till mobilen.
För att undvika dessa risker måste verksamheter använda skydd mot farligt innehåll i mobilerna. Bara mobila enheter som använder sådana skydd ska kunna koppla upp sig mot företagets nätverk eller få tillgång till information som finns i till exempel företagets e-post från sin mobil.
Steg 2. Pegasus utnyttjar sårbarheter
Spionprogram använder sårbarheter i appar och enheter för att få tillgång till operativsystemet eller data. Användare måste använda en version som inte är sårbar. Riktigt avancerade angrepp kan dock ske genom helt nya, tidigare okända sårbarheter.
Även i det här fallet krävs det att verksamheter håller koll på vilka appar som är sårbara på varje enskild mobil som används för att det ska gå att stoppa användandet av dem.
Steg 3. Enheten ändras utan att det märks för användaren
Pegasus och liknande programvara går förbi operativsystemet i mobilen genom ett jailbreak som låser upp enheten. Detta märker vanligtvis inte användaren utan det krävs en säkerhetsprogramvara som är installerad på enheten för att upptäcka att något farligt inträffat. När väl enheten är upplåst får Pegasus större möjligheter att göra förändringar i mobilen.
Steg 4. Om kommunikationen stoppas misslyckas attacken
För att angriparna ska ha nytta av Pegasus måste de få tillgång till informationen de samlat in med hjälp av mobilen. Detta är ett av skälen till att det är viktigt för dem att kunna skicka data fram och tillbaka till en server som kontrollerar mobilen (en så kallad C2-server). Dessa servrar kan dock ofta identifieras som farliga av säkerhetsprogramvaror och kommunikationen med dem kan då förhindras. Därmed har spionprogrammets viktigaste funktion stoppats.
Mobilerna är en attraktiv måltavla
”Uppmärksamheten kring Pegasus har gjort att många, både individer och verksamheter, fått upp ögonen för mobila cyberangrepp. Företags anställda har ofta tillgång till känslig information, som forskningsdata eller information om infrastruktur, via sina Android- och iOS-enheter. Så länge det är på det viset kommer dessa mobiler vara en lockande måltavla för attacker”, säger Sara Fernholm på Lookout.