Posiadanie dostępu do tak potężnego narzędzia, jakim jest Pegasus, potrafi niejednemu zawrócić w głowie. Skutkiem tego mogą być nie tylko nadużycia władzy, ale także załatwianie przy okazji różnych prywatnych interesów. Posłuchajcie tych historii.
Wyobraźcie sobie, że możecie zajrzeć do dowolnego smartfona na całym świecie. To tylko teoretyczny scenariusz, ale komu przyszło już do głowy, w czyj telefon warto zajrzeć? Taka wizja musiała być szczególnie kusząca dla pewnego pracownika NSO, firmy produkującej Pegasusa, który znał możliwości tego narzędzia. Przygotował on nawet plan – tylko plan nie był zbyt sprytny.
Może nikt nie zauważy
Jak poinformował magazyn VICE (swoją drogą właśnie ogłoszono jego zamknięcie – ogromna szkoda, chociaż jego niezwykle utalentowany zespół ds. cyberbezpieczeństwa i prywatności odszedł już jakiś czas temu i założył nową stronę, 404 Media), w 2016 roku doszło do nietypowego nadużycia. Pracownik NSO użył Pegasusa, by zajrzeć do telefonu osoby stanowiącej obiekt jego uczuć. Sam nie miał jednak dostępu do tego narzędzia, więc wykorzystał wizytę techniczną u jednego z klientów firmy w Zjednoczonych Emiratach Arabskich (Pegasusa w ZEA kupiły co najmniej trzy różne służby). W trakcie pobytu na miejscu włamał się do pomieszczenia, gdzie stały terminale Pegasusa i użył systemu poza godzinami pracy obsługującego go zespołu. Klient monitorował jednak wykorzystanie narzędzia i natychmiast dowiedział się o nadużyciu. Pracownik został zatrzymany i wkrótce zwolniony z pracy, a pozostali pracownicy NSO usłyszeli pogadankę o tym, że tak nie wolno. Podobno wprowadzono także mechanizmy biometryczne ograniczające nieautoryzowany dostęp do systemu.
Czy można ukraść Pegasusa?
Pewien 38-letni pracownik NSO uznał, że do odważnych świat należy. Według tego aktu oskarżenia (Google Translate daje radę nawet z hebrajskim) zaczął pracę w NSO w październiku 2017 jako starszy programista ds. automatyzacji. Dostał komputer oraz dostęp do serwera z kodem źródłowym produktów firmy – jak się okazuje, nie potrzebował, co prawda, aż takich dostępów, ale skoro dali, to nie protestował.
Firmowe zasady zakazywały podłączania przenośnych nośników danych oraz wynoszenia danych w firmy. Respektowania zasad pilnował system McAfee Data Loss Prevention. 12 lutego 2018 nasz bohater wpisał w Google pytanie, jak DLP wyłączyć i najwyraźniej znalazł odpowiedź, ponieważ następnego dnia skutecznie podłączył zewnętrzny napęd do komputera.
29 kwietnia 2018 pracownik został wezwany przez przełożonego i poinformowany, że w związku ze słabymi wynikami pracy został zaproszony na kolejne spotkanie 2 maja 2018. Pracownik, po powrocie do biurka, podłączył do komputera przenośny dysk (DLP dalej nie działało) i w ciągu 5 godzin wykonał kopię bezpieczeństwa firmowych danych, po czym opuścił biuro wraz ze swoim dyskiem. Na dysku były kody źródłowe oraz gotowe wersje firmowych produktów – wraz ze „zdolnościami cyber”, czyli Pegasus i jego exploity.
Pracownik był sprytny – dysk z wykradzionymi danymi schował pod materacem w swoim mieszkaniu. Następnie 12 oraz 27 maja szukał w Google informacji o tym, jak sprzedać exploity. Założył konto pocztowe w serwisie Tor2Mail i najwyraźniej znalazł jakiegoś potencjalnego kupca, ponieważ 2 czerwca 2018 złożył ofertę sprzedaży posiadanych danych za jedyne 50 milionów dolarów, płatnych w kryptowalutach takich jak Monero, Verge i Zcash. Nasz bohater miał jednak sporego pecha – kupiec poinformował o ofercie NSO i pracownik firmy został trzy dni później zatrzymany. Wśród zarzutów pojawiła się nie tylko kradzież, ale także handel cyberbronią bez zezwolenia oraz narażenie bezpieczeństwa państwa Izrael. Niestety nie znamy jego dalszych losów.
Więcej takich opowieści
Oczywiście tam, gdzie są wielkie pieniądze, tajemnice i szpiedzy, ciekawych historii nie brakuje. Można poczytać na przykład:
- o tym, jak Muhammad ibn Salman, książę koronny Arabii Saudyjskiej, prawdopodobnie zhakował Pegasusem telefon Jeffa Bezosa, właściciela firmy Amazon,
- o tym, jak władca Dubaju zhakował Pegasusem telefony byłej żony i jej brytyjskich prawników w czasie walki o opiekę nad dziećmi,
- o tym, jak pracownik węgierskiego odpowiednika ABW podał swój własny numer telefonu na liście testowych infekcji Pegasusa,
- o tym, jak sędzina salwadorskiego Sądu Najwyższego, badającego sprawę zakupu Pegasusa, została zaatakowana Pegasusem
i wiele, wiele innych. Sporo z nich przedstawię już 6 i 13 marca w dwóch odcinkach webinarów poświęconych Pegasusowi. Do niedzieli można do nich dołączyć w najlepszej cenie – zapraszam!
Komentarz
No sprytny to on jednak nie był – myślał że nikt nie będzie monitorował sprzedaży całego pakietu?
Mógł sobie dorabiać pojedynczymy exploitami – może dłużej by pożył bo raczej nie ma szans żeby Żydzi darowali mu życie a raczej „wysłali wiadomość”.