Cosa è Pegasus
“Pegasus è un potente malware sviluppato dalla società di sicurezza privata israeliana NSO Group.
Questa particolare forma di malware, nota come spyware, è progettata per raccogliere dati all’insaputa del proprietario e inoltrarli a terzi.
Sebbene la maggior parte degli spyware abbia una portata limitata, Pegasus sembra molto più potente, consentendo al suo controller di accedere e controllare quasi illimitati un dispositivo infetto, inclusi elenchi di contatti, e-mail e testi, insieme a foto, video e file audio archiviati.
Questo spyware è costituito da tre parti: la prima è il vettore di attacco, poi c’è la parte di agente e per ultima una interfaccia di comando e controllo. Le ultime due parti sono di poco conto: quella sorprendente è la prima, il vettore di attacco, che è estremamente sofisticato.
Pegasus ha un sistema di diffusione molto avanzato che non gli consente solo di raggiungere il suo target in vari modi, ma lo aiuta anche a nascondersi da numerosi controlli di sicurezza. Giunto sul bersaglio, il vettore sgancia il suo arsenale.
Come funziona
Quando si parla di device come gli smartphone, il primo obiettivo di Pegasus è quello di conquistare i privilegi di root (cioè di amministratore, software di amministrazione del device). Per riuscirci, Pegasus è dotato di un bagaglio di software conosciuti sotto diversi nomi: 0-Days, vulnerabilità, talvolta anche backdoor dei produttori che sarebbero dovute servire per tutt’altro. La scalata verso il root avviene sfruttando ogni singola vulnerabilità del device, così da avere tassello dopo tassello il controllo del device, assoggettando di volta in volta diverse aree del filesystem e della memoria del target.
Non di rado, Pegasus calls home nel corso della scalata per richiedere alla base dei componenti software aggiuntivi, dedicati per il target che deve compromettere. Questo passaggio è necessario, poiché la maggior parte delle vulnerabilità più devastanti nell’arsenale di Pegasus richiede una compilazione ad-hoc che tenga conto del device, della sua versione del firmware, del sistema operativo e talvolta anche di specifici software che Pegasus scopre installati nel corso della scalata stessa. Illustrato il meccanismo, si comprende anche che il processo di infezione può durare talvolta millisecondi, talvolta invece giorni o settimane. Gli hacker possono essere sia reverser della Nso, che persone esterne assoldate come consulenti, talvolta anche soggetti la cui professione consiste nello sviluppare segmenti per futuri attacchi e pubblicarli in marketplace dedicati, luoghi dove un singolo piolo può essere pagato anche milioni di euro.
Raggiunti i privilegi di root, Pegasus può recuperare dati sia del presente che del passato, qualsiasi informazione presente sul target, a prescindere da quanto bene o in quale modo sicuro sia stata scritta l’applicazione o il suo database locale. Nei moderni sistemi operativi per smartphone ci sono moltissimi livelli di protezione, ma nulla può proteggere un sistema operativo da un software che è in esecuzione con i diritti di root, quando questo software è scritto per prendere possesso del device stesso. Questi diritti sono normalmente delegati a programmi che devono garantire la continuità di servizio del device e che devono operare in real time, non è quindi possibile metterli in sicurezza con le tecniche applicate ai software standard. Non possono essere analizzati da un antivirus, non hanno limiti nell’accesso al sistema, nemmeno alle porzioni più sensibili, lì dove sono custodite le chiavi di cifratura.
Pegasus è un agente attivo per la raccolta delle informazioni e fa molto bene il suo lavoro. Dal punto di vista tecnico, non ci sono soluzioni semplici all’orizzonte per proteggere i devices da attacchi di questa natura. Per ora, l’ultimo baluardo della sicurezza è un vecchio Nokia 6610, possibilmente scollegato da internet o con la sola possibilità di leggere la posta elettronica (ma solo in formato testuale, poiché i vettori di Pegasus possono attaccare anche l’elaborazione della preview delle immagini ricevute per email). Confidando che il 6610 della Nokia non sia così attraente per gli sviluppatori della Nso, tanto da farli mettere a lavoro anche su quello!”
Nel 2019 Pegasus colpì Whatsapp e di conseguenza alti funzionari di governo di tutto il mondo, compresi membri della sicurezza nazionale di Paesi alleati degli Stati Uniti. Questo incidente ha spinto WhatsApp e Facebook, a citare in giudizio il gruppo Nso lo stesso anno. Tramite Pegasus avrebbero preso di mira avvocati, giornalisti, attivisti per i diritti umani, dissidenti politici e diplomatici.
https://www.wired.it/attualita/tech/2021/07/24/pegasus-spyware-cose/
