Сегодня В Армении

Эксперт по вопросам информационной безопасности: спецслужбы не опровергли использование Pegasus

84

Сейчас будет длинно и занудно про Pegasus, написал в своем фейсбуке эксперт по вопросам информационной безопасности Рубен Мурадян.

«Со вчерашнего дня появилось достаточно комментариев относительно опубликованных Артуром Ванецяном и мной фактов. Итак, начнем. В публичном пространстве ФБ я увидел 3 содержательных статуса по теме (если я что-то пропустил, или есть оставшиеся без ответа вопросы — велкам в комменты):

https://www.facebook.com/SamiHayrapetyanPage/posts/986440772086004

https://www.facebook.com/SamiHayrapetyanPage/posts/986393528757395

https://www.facebook.com/100030109338791/posts/631821887831450/

Вычленяя из них НЕполитические и НЕполитизированные тезисы, мы получаем:

  1. Сомнения в том, что обнаружен именно Pegasus;
  2. Манипуляции на тему формулировки «State Sponsored» в письме от Apple;
  3. Сомнения в том, что Apple имела ввиду именно Pegasus;
  4. Утверждения о том, что Pegasus может быть доступен кому угодно;
  5. Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились;
  6. Утверждение о том, что Pegasus не является State Sponsored Attack;
  7. Утверждение о том, что «ՈՉ ՄԻ ԸՆԿԵՐՈՒԹՅՈՒՆ չի կարող վերահսկել Pegasus-ի մուտքերն ու ելքերը, ուր մնաց դրա մասին զգուշացնի իր գնորդներին»;
  8. Отдельной строкой идут сомнения в том, что Pegasus сажали спецслужбы именно Армении;
  9. Почему я уверен, что обнаружен именно Pegasus

На сегодняшний день я исследовал 4 телефона, принадлежащих 3 разным людям, получившим письма о State Sponsored Attacks от Apple. На всех 4-х я обнаружил Pegasus. 3 телефона принадлежат Артуру Ванецяну и членам его семьи. Исследование проводилось с помощью

idevicebackup2

mvt (https://docs.mvt.re/en/latest/index.html)

Проверка на наличие Pegasus проводилась с использованием STIX файла с IoC Pegasus-а от Amnesty Tech (технологического подразделения Amnesty International) (https://raw.githubusercontent.com/…/2021…/pegasus.stix2).

На всех этих телефонах обнаружено наличие следов Pegasus, в основном в виде специфических процессов.

  1. Что означает State Sponsored в письме от Apple

NSO Group, которая производит Pegasus, продает свою продукцию ТОЛЬКО государствам.

Рассылка этих писем происходила параллельно с публикацией (https://www.apple.com/…/apple-sues-nso-group-to-curb…/) новости о том, что Apple подает в суд на NSO Group за распространение малвера.

В заявлении по поводу иска, Крэйг Федериги заявил “State-sponsored actors like the NSO Group spend millions of dollars on sophisticated surveillance technologies without effective accountability. That needs to change”. Отсюда ясно видно, что и кого имеет ввиду Apple, говоря о State Sponsored Attacks

  1. Сомнения в том, что Apple имела ввиду именно Pegasus:

Смотри пункт 2

  1. Утверждения о том, что Pegasus может быть доступен кому угодно.

Как уже говорилось в пункте 2, NSO Group продает Pegasus только правительствам. Т.к. Pegasus распространяется по схеме Malware as a Service, использовать его может только NSO Group. Покупатели – государства, обращаются к NSO Group с заявками на заражение, а NSO Group сама занимается заражением.

  1. Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились;

Эта новость одна из самых известных за последние 2-3 дня. Поиск в Google по киворду «state sponsored attack email Apple» показывает, какое-то огромное количество результатов, эта новость во всех междуанродных медиа, а в Армении о заражении объявили несколько политических фигур.

  1. Утверждение о том, что Pegasus не является State Sponsored Attack

Смотри пункт 2

  1. Утверждение о том, что «ՈՉ ՄԻ ԸՆԿԵՐՈՒԹՅՈՒՆ չի կարող վերահսկել Pegasus-ի մուտքերն ու ելքերը, ուր մնաց դրա մասին զգուշացնի իր գնորդներին»;

Я предпочитаю верить Крейгу Федериги, цитата из которогo приведена в пункте 2.

  1. Pegasus в телефон Артура Ванецяна могли установить какие угодно спецслужбы, а не только армянские

Для начала надо перечислить следующие факты:

  1. Pegasus доступен только государствам.
  2. NSO Group после серии скандалов несколько раз заявляла, что принимает заказы на инфильтрацию только от легальных институтов — спецслужб. И только для слежки за своими же гражданами.
  3. Установить, кто именно стоит за инфильтрацией того или иного телефона однозначно, на уровне доказательств невозможно, по причине того, что заражают телефоны не спецслужбы [подставьте сюда любую страну]. Телефоны заражает NSO Group, по запросу спецслужб. Соответственно нет никакой технической возможности однозначно и неоспоримо проветси атрибуцию атаки.
  4. Необходимо отслеживать реакцию поля.

Как я сказал выше — однозначных и неоспоримых фактов для атрибуции у меня нет. Но есть основания для educated guess. Совмещая пункты 1 и 2, мы можем заключить, что если NSO Group говорит правду, то это должны быть только спецслужбы Армении. Но NSO Group может и врать. И вот здесь нам приходит на помощь пункт 4. Обратите внимание: спецслужбы не опровергли использование Pegasus. Использование Pegasus опровергают только политизированные спикеры. Посмотрите на методы опровержения — они не технические, а манипулятивно-риторические.

Именно исходя из вышеперечисленного, я считаю, что у тех людей, которые получили письмо от Apple, И (это важно, должно соблюдаться ОБА этих условия) в чьих телефонах обнаружен Pegasus с помощью mvt, с большой долей вероятности стали жертвой армянского оператора Pegasus.

Специальное замечание для журналистов: я запрещаю хоть как-то изменять этот текст. Либо вы публикуете его целиком, либо я запрещаю его публиковать. Если для публикации будет необходимо его перевести на армянский — обязательно нужно эмбеднуть исходный пост в вашу статью. И еще — я занимаюсь исследованиями мобильного малвера pro bono — бесплатно и вне моих рабочих обязанностей в VXSoft. Соответственно представлять меня как сотрудника VXSoft – некорректно», — написал Мурадян.