
Сейчас будет длинно и занудно про Pegasus, написал в своем фейсбуке эксперт по вопросам информационной безопасности Рубен Мурадян.
«Со вчерашнего дня появилось достаточно комментариев относительно опубликованных Артуром Ванецяном и мной фактов. Итак, начнем. В публичном пространстве ФБ я увидел 3 содержательных статуса по теме (если я что-то пропустил, или есть оставшиеся без ответа вопросы — велкам в комменты):
https://www.facebook.com/SamiHayrapetyanPage/posts/986440772086004
https://www.facebook.com/SamiHayrapetyanPage/posts/986393528757395
https://www.facebook.com/100030109338791/posts/631821887831450/
Вычленяя из них НЕполитические и НЕполитизированные тезисы, мы получаем:
- Сомнения в том, что обнаружен именно Pegasus;
- Манипуляции на тему формулировки «State Sponsored» в письме от Apple;
- Сомнения в том, что Apple имела ввиду именно Pegasus;
- Утверждения о том, что Pegasus может быть доступен кому угодно;
- Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились;
- Утверждение о том, что Pegasus не является State Sponsored Attack;
- Утверждение о том, что «ՈՉ ՄԻ ԸՆԿԵՐՈՒԹՅՈՒՆ չի կարող վերահսկել Pegasus-ի մուտքերն ու ելքերը, ուր մնաց դրա մասին զգուշացնի իր գնորդներին»;
- Отдельной строкой идут сомнения в том, что Pegasus сажали спецслужбы именно Армении;
- Почему я уверен, что обнаружен именно Pegasus
На сегодняшний день я исследовал 4 телефона, принадлежащих 3 разным людям, получившим письма о State Sponsored Attacks от Apple. На всех 4-х я обнаружил Pegasus. 3 телефона принадлежат Артуру Ванецяну и членам его семьи. Исследование проводилось с помощью
idevicebackup2
mvt (https://docs.mvt.re/en/latest/index.html)
Проверка на наличие Pegasus проводилась с использованием STIX файла с IoC Pegasus-а от Amnesty Tech (технологического подразделения Amnesty International) (https://raw.githubusercontent.com/…/2021…/pegasus.stix2).
На всех этих телефонах обнаружено наличие следов Pegasus, в основном в виде специфических процессов.
- Что означает State Sponsored в письме от Apple
NSO Group, которая производит Pegasus, продает свою продукцию ТОЛЬКО государствам.
Рассылка этих писем происходила параллельно с публикацией (https://www.apple.com/…/apple-sues-nso-group-to-curb…/) новости о том, что Apple подает в суд на NSO Group за распространение малвера.
В заявлении по поводу иска, Крэйг Федериги заявил “State-sponsored actors like the NSO Group spend millions of dollars on sophisticated surveillance technologies without effective accountability. That needs to change”. Отсюда ясно видно, что и кого имеет ввиду Apple, говоря о State Sponsored Attacks
- Сомнения в том, что Apple имела ввиду именно Pegasus:
Смотри пункт 2
- Утверждения о том, что Pegasus может быть доступен кому угодно.
Как уже говорилось в пункте 2, NSO Group продает Pegasus только правительствам. Т.к. Pegasus распространяется по схеме Malware as a Service, использовать его может только NSO Group. Покупатели – государства, обращаются к NSO Group с заявками на заражение, а NSO Group сама занимается заражением.
- Утверждение о том, что только жители Армении, получившие письма от Apple обеспокоились;
Эта новость одна из самых известных за последние 2-3 дня. Поиск в Google по киворду «state sponsored attack email Apple» показывает, какое-то огромное количество результатов, эта новость во всех междуанродных медиа, а в Армении о заражении объявили несколько политических фигур.
- Утверждение о том, что Pegasus не является State Sponsored Attack
Смотри пункт 2
- Утверждение о том, что «ՈՉ ՄԻ ԸՆԿԵՐՈՒԹՅՈՒՆ չի կարող վերահսկել Pegasus-ի մուտքերն ու ելքերը, ուր մնաց դրա մասին զգուշացնի իր գնորդներին»;
Я предпочитаю верить Крейгу Федериги, цитата из которогo приведена в пункте 2.
- Pegasus в телефон Артура Ванецяна могли установить какие угодно спецслужбы, а не только армянские
Для начала надо перечислить следующие факты:
- Pegasus доступен только государствам.
- NSO Group после серии скандалов несколько раз заявляла, что принимает заказы на инфильтрацию только от легальных институтов — спецслужб. И только для слежки за своими же гражданами.
- Установить, кто именно стоит за инфильтрацией того или иного телефона однозначно, на уровне доказательств невозможно, по причине того, что заражают телефоны не спецслужбы [подставьте сюда любую страну]. Телефоны заражает NSO Group, по запросу спецслужб. Соответственно нет никакой технической возможности однозначно и неоспоримо проветси атрибуцию атаки.
- Необходимо отслеживать реакцию поля.
Как я сказал выше — однозначных и неоспоримых фактов для атрибуции у меня нет. Но есть основания для educated guess. Совмещая пункты 1 и 2, мы можем заключить, что если NSO Group говорит правду, то это должны быть только спецслужбы Армении. Но NSO Group может и врать. И вот здесь нам приходит на помощь пункт 4. Обратите внимание: спецслужбы не опровергли использование Pegasus. Использование Pegasus опровергают только политизированные спикеры. Посмотрите на методы опровержения — они не технические, а манипулятивно-риторические.
Именно исходя из вышеперечисленного, я считаю, что у тех людей, которые получили письмо от Apple, И (это важно, должно соблюдаться ОБА этих условия) в чьих телефонах обнаружен Pegasus с помощью mvt, с большой долей вероятности стали жертвой армянского оператора Pegasus.
Специальное замечание для журналистов: я запрещаю хоть как-то изменять этот текст. Либо вы публикуете его целиком, либо я запрещаю его публиковать. Если для публикации будет необходимо его перевести на армянский — обязательно нужно эмбеднуть исходный пост в вашу статью. И еще — я занимаюсь исследованиями мобильного малвера pro bono — бесплатно и вне моих рабочих обязанностей в VXSoft. Соответственно представлять меня как сотрудника VXSoft – некорректно», — написал Мурадян.






















