Dados vazados do projeto Pegasus mostra o potencial de risco dos malwares para empresas

Perguntas estão sendo feitas sobre o trabalho do Grupo NSO, especialista em vigilância cibernética baseado em Israel, após a exposição de mais de 50.000 números de telefone pertencentes a ativistas, jornalistas e outras pessoas consideradas “de interesse” para alguns dos regimes mais repressivos do mundo que vinham usando seu trojan de acesso remoto Pegasus (RAT).

Detalhes do abuso do spyware Pegasus – que é legitimamente usado por clientes de aplicação da lei e agências antiterroristas, entre outros – foram revelados no fim de semana de 17 e 18 de julho em um lançamento coordenado por vários meios de comunicação, incluindo o Guardian no Reino Unido.

Os jornais obtiveram a lista de números de uma organização francesa sem fins lucrativos Forbidden Stories e de uma instituição de caridade Anistia Internacional.

O vazamento de dados inclui detalhes de jornalistas de organizações de mídia importantes, incluindo Al Jazeera, Bloomberg, CNN, The Economist , New York Times e Wall Street Journal , entre outros.

Além disso, informações de líderes mundiais, a exemplo do presidente francês Emmanuel Macron, fazem parte da lista divulgada autoridades de outros países, como Azerbaijão, Bahrein, Emirados Árabes Unidos, Hungria, Cazaquistão, Índia, México, Marrocos, Ruanda e Arábia Saudita.

Em uma longa declaração, a NSO negou veementemente as alegações contidas nas histórias. A empresa israelense afirma que examinou todos os seus clientes governamentais e não operou os sistemas vendidos a eles, nem teve acesso aos dados que eles poderiam coletar.

Esta não é a primeira vez que questões são levantadas sobre o software Pegasus

Em 2019, o WhatsApp descobriu que o Pegasus havia sido usado para infectar mais de 1.000 dispositivos com malware por meio de uma vulnerabilidade de Zero Day.

A NSO também foi acusada de explorar vulnerabilidades em softwares da Apple para visar dispositivos iOS. A análise do Laboratório de Segurança da Anistia Internacional sugere que a empresa israelense está constantemente à procura de novos dias zero em aplicações móveis estabelecidas.

Além de explorar vulnerabilidades, ou por meio de ataques de spear-phishing contra alvos, o Pegasus também pode ser instalado via wireless se o telefone alvo estiver ao alcance de um transceptor específico, disse a Anistia.

Uma vez presente, ele pode exportar todo o conteúdo de um dispositivo, bem como assumir o controle do microfone e da câmera do telefone e gravar chamadas.

Baseado em técnicas de malware, o Pegasus é um spyware que pode hackear qualquer dispositivo iOS ou Android e roubar uma variedade de dados do dispositivo infectado, incluindo mensagens de texto, e-mails, logs de chave, áudio e informações de aplicativos instalados, como Facebook ou Instagram.

O spyware pode gravar conversas e vídeos, bem como tirar fotos da câmera do dispositivo.

Os atores da ameaça podem usar o Pegasus para coletar furtivamente informações de alvos de alto valor, incluindo executivos com informações corporativas estratégicas e funcionários do governo com acesso a segredos nacionais ou internacionais.

Como Pegasus funciona e o que faz

Um ataque Pegasus começa com um esquema simples de phishing: o invasor identifica um alvo e envia a esse alvo a URL de um site por e-mail, mídia social, mensagem de texto ou qualquer outra mensagem.

Assim que o usuário clica no link, o malware realiza secretamente um trio de explorações de dia zero contra o dispositivo da vítima, desbloqueando -o remotamente para que o spyware possa ser instalado.

A única indicação de que algo ocorreu é que o navegador fecha depois que o usuário clica no link. Não há nenhuma outra indicação de que algo aconteceu ou que novos processos estão em execução.

Após instalado, o Pegasus começa a contatar os servidores de comando e controle do operador para receber e executar os comandos do operador.

O spyware contém código malicioso, processos e aplicativos que espionam o que o usuário faz no dispositivo, coleta dados e relata o que o usuário faz. O malware pode acessar e exportar chamadas, e-mails, mensagens e registros de aplicativos, incluindo Facebook, Facetime, Gmail, WhatsApp, Tango, Viber e Skype.

Uma vez que o spyware desbloqueia o dispositivo do usuário, ele compromete os aplicativos originais já instalados no dispositivo para capturar dados em vez de baixar versões maliciosas desses aplicativos.

Explorações como a do Pegasus utiliza Zero Day para atacar alvos de alto valor

Pegasus tira proveito de vulnerabilidades de Zero Day,  uma falha que é desconhecida por parte de fabricantes de softwares, hardwares, firmwares ou responsáveis ​​por corrigir a falha, para desbloquear remotamente o dispositivo de um usuário, instalar malware e permitir que o invasor acesse virtualmente todas as informações no dispositivo.

Como uma vulnerabilidade de Zero Day não pode ser conhecida com antecedência, não há como se proteger contra uma exploração específica antes que ela aconteça. No entanto, existem ações que as empresas podem fazer para reduzir seu nível de exposição ao risco.

Embora manter um alto padrão de segurança da informação possa não impedir todos os ataques de Zero Day, o investimento em segurança da informação pode ajudar a detectar os principais sintomas dos ataques, disparando ações de prevenção e derrotá-los após as vulnerabilidades terem sido corrigidas.