نشست بلک‌هت و کشف بدافزار پیگاسوس

به گزارش واحد امنیت سایبربان؛ جمعیتی که در اجلاس بلک‌هت اروپا 2016، حضور داشتند، شاهد رونمایی از بدافزار پیگاسوس (Pegasus) بودند. این بد‌افزار - که ازسوی 3 پژوهشگر امنیتی، سیث هاردی (Seth Hardy)، مکس بازالی (Max Bazaliy) و اندرو بلیچ (Andrew Blaich) کشف شد، در زمینه جاسوسی از مخالفان و فعالان حقوق بشر، فعالیت داشته است.
بدافزار نام‌برده، نخستین بار، در تلاش برای فیشینگ پیام‌کوتاه برای احمد منصور، فعال حقوق بشر در امارات عربی متحد و منتقد دولت‌های خودرأی، شناسایی شد. منصور در گذشته، به‌سبب پشتیبانی از تومار هواداران آزادی‌خواهی، زندانی شده بود. وی هم‌چنین در روند بازرسی سرویس‌های امنیتی امارات متحد نیز بود.
بنابراین اگر فردی، پیام‌کوتاهی به او، مبنی بر فهرست زندانیان زندان امارات می‌فرستاد، شگفت‌انگیز نبود. گرچه در این پیام کوتاه، لینک آلوده‌ای به بدافزار پیگاسوس، وجود داشت.
سیث هاردی دراین‌باره گفت: «زمانی که کسی روی لینک، کلیک کند؛ تلفن همراه، به ابزاری برای جاسوسی، تبدیل می‌شود.» معمولا گشودن چنین لینک‌هایی، به باز شدن نرم‌افزار سافاری (Safari) روی تلفن همراه، منتهی می‌گردد؛ گرچه کاربر نیز ممکن است؛ با خطا، روبه‌ررو شود. پس ‌از آن، هیچ نشانه‌ای از عبور پیگاسوس، مشاهده نخواهد شد؛ یا به گفته‌ هاردی: «ابزار به‌طور کامل، هک گردیده، هیچ نشانه‌ای، یافت نخواهد شد.»
این رخداد، ممکن است؛ نخستین رونمایی عمومی، از پیگاسوس باشد، اما این موضوع، برای منصور، قدیمی است. وی با نرم‌افزار فین‌فیشر (Finfisher) و گروه‌های هکری، چندین بار، هدف قرار گرفته بود. هاردی می‌گوید: «منصور با این مسائل، بسیار درگیر است. همیشه کسی وجود دارد که در پی او باشد و افراد از صرف هزینه در این راه، ابایی ندارند.»
گروه، یا فردی که تلاش داشته، منصور را هک کند، استیلث فالکون (Stealth Falcon) یا شاهین مخفی، نام گرفته است. وی پیشینه طولانی در جاسوسی از مخالفان امارات دارد. درحقیقت 27 منتقد دولت - که بیش‌تر آن‌ها، به‌طور مستقیم، با امارات متحد، مشکل داشته‌اند - ازطریق توئیتر و با استفاده از روش مشابه، مورد حمله، قرار گرفته‌اند.
پیگاسوس ازسوی گروه NSO در یک شرکت اسرائیلی، طراحی شده است و پیش‌تر مأموریت خود را ارزیابی دولت‌های غیررسمی، به‌وسیله فن‌آوری رویارویی با جنگ و جرم، معرفی کرده بود.
هاردی به خبرنگاران گفت: «شرکت‌هایی مانند NSO ادعا می‌کنند؛ در فروش محصولات خود، سخت‌گیر هستند؛ اما بیش‌تر این فرآورده‌ها، در گروه‌های هکری و دولت‌های دیکتاتوری، با تاریخچه‌ای خشن و ضد حقوق بشر، روبه‌رو می‌شوند.»
خود این بدافزار، نوآورانه نیست و تنها نرم‌افزاری با قدرت جاسوسی بسیار بالا، تلقی می‌شود. پیگاسوس تلفن ‌همراه را هک کرده، با استفاده از 3 زنجیره iOS همه‌چیز را در اختیار می‌گیرد.
اگرچه چندین نکته در این بدافزار، قابل توجه است. یکی این که بدافزار نام‌برده، برای پنهان ماندن، راه دشواری، در پیش دارد. زیرا این کار، مانع از به‌روزرسانی سیستم شده، تاریخچه‌ مرورگر سافاری را حذف می‌کند؛ تا هیچ نشانه‌ای از محل قرارگیری خود، باقی نگذارد و درنهایت نیز ناپدید می‌شود؛ تا هیچ نشانه‌ای، برجا نماند.
از جنبه نظارت، این بدافزار، قادر به ضبط از میکروفن تلفن ‌همراه، تا دوربین است. درست شبیه دیگر گونه‌های بدافزارهای جاسوسی. هم‌چنین اطلاعات سیم‌کارت و شبکه و موقعیت جغرافیایی نیز جمع‌آوری می‌شوند. گذرواژگان ورود به شبکه‌های امن نیز با نفوذ تلفن به آن‌ها، به‌سرقت می‌روند.
در بیش‌تر تلفن‌های همراه، نرم‌افزار‌ها، از یکدیگر، جاسوسی می‌کنند، اما تفاوت پیگاسوس این است که کل سیستم را برای روندی به نام هوکینگ (Hooking) هک، یا جیل‌برک می‌کند. به گفته‌ بلیچ، نمونه‌های جیل‌برک، اندکی عمومی شده‌اند. آخرین آن‌ها، در سال 2011 و نسخه 3 بدافزار JailbreakMe بود که البته ازسوی کاربران، اینک داوطلبانه استفاده می‌شود. این در حالی است که پیگاسوس، تلفن را از راه دور و بدون اجازه‌ کاربر، جیل‌برک می‌کند.
بلیچ در پایان گفت: «جیل‌برک از راه دور، پیش‌تر همگانی، نشده بود و همیشه تصور می‌شود که خصوصی و ویژه است.»