Pegasus – czym jest i jak się chronić

Pegasus to jedno z najbardziej zaawansowanych i kontrowersyjnych narzędzi inwigilacyjnych, które diametralnie zmieniło krajobraz prywatności cyfrowej i bezpieczeństwa na świecie. Opracowany przez izraelską firmę NSO Group, ten zaawansowany program szpiegujący posiada bezprecedensowe możliwości łamania zabezpieczeń urządzeń mobilnych z systemami iOS i Android, często bez jakiejkolwiek interakcji użytkownika. Chociaż oficjalnie narzędzie to przeznaczone jest do walki z terroryzmem oraz przestępczością zorganizowaną, śledztwa wskazują na liczne nadużycia ze strony rządów wobec dziennikarzy, obrońców praw człowieka, prawników czy dysydentów politycznych na całym świecie. Zdalny dostęp do wiadomości, rozmów, kamery, mikrofonu czy lokalizacji sprawia, że Pegasus określany jest mianem „zabójcy prywatności” oraz poważnym zagrożeniem dla wolności i praw cyfrowych. Mimo rozbudowanych technik maskowania i korzystania z luk typu zero-day, badacze oraz firmy technologiczne wdrożyli metody detekcji i przeciwdziałania, w tym Tryb Blokady dostępny w urządzeniach Apple. Artykuł ten prezentuje szczegółową analizę technicznej architektury narzędzia, sposobów działania, oddziaływania społecznego oraz skutecznych strategii ochrony, oferując kluczowe informacje, które pomagają zrozumieć i minimalizować ryzyko związane z Pegasusem.

Architektura techniczna i możliwości Pegasusa

Technologiczne zaawansowanie Pegasusa przyczyniło się do jego statusu najskuteczniejszego narzędzia inwigilacji mobilnej na świecie. System zaprojektowano w architekturze modułowej, dzięki czemu jest on niezwykle elastyczny i może być dostosowany do różnych typów celów. Po przejęciu kontroli nad urządzeniem, Pegasus doinstalowuje moduły umożliwiające między innymi czytanie wiadomości, podsłuchiwanie rozmów, wyodrębnianie historii przeglądania czy przejmowanie pełnej kontroli nad aktywnością cyfrową użytkownika. Pegasus potrafi nawet przechwytywać zaszyfrowane pliki dźwiękowe i tekstowe oraz uzyskać dostęp do wszystkich przechowywanych danych.

Infekcja urządzeń z systemem iOS i Android odbywa się z niezwykłą skutecznością – zainstalowany szpieg integruje się głęboko z systemem operacyjnym, zapewniając operatorowi pełny nadzór, o ile tylko telefon jest włączony. Operatorzy mogą zdalnie nagrywać dźwięk i obraz, pobierać lokalizację, hasła czy klucze uwierzytelniające, a wszystko to bez wiedzy ofiary.

Sposób zarządzania danymi w Pegasusie pokazuje kolejny stopień wyrafinowania – dane utrzymywane są w zaszyfrowanym buforze, zajmującym maksymalnie 5% pamięci urządzenia. Po przesłaniu na serwery dowodzenia, bufor automatycznie się usuwa, co minimalizuje ryzyko wykrycia przez późniejszą analizę śledczą.

Poniżej zestawiono przykładowe funkcje dostępne dla operatora Pegasusa:

• włączanie i wyłączanie GPS oraz śledzenie lokalizacji w czasie rzeczywistym,
• uruchamianie mikrofonu do nagrywania otoczenia lub rozmów telefonicznych,
• zdalne pobieranie plików, zdjęć, dokumentów oraz zrzutów ekranu,
• robienie zdjęć z obu kamer (przedniej i tylnej),
• przechwytywanie wszystkich wiadomości – także z szyfrowanych komunikatorów,
• możliwość manipulowania jakością zdjęć w celu szybszego transferu danych.

Efektem pracy Pegasusa jest całkowita utrata kontroli nad urządzeniem mobilnym przez ofiarę – telefon staje się narzędziem nieprzerwanej, zdalnej inwigilacji.

Historia rozwoju i ujawnienie Pegasusa

Początki Pegasusa sięgają 2011 roku, kiedy NSO Group wprowadziła pierwszą wersję narzędzia. Firma deklarowała sprzedaż wyłącznie autoryzowanym rządom do przeciwdziałania terroryzmowi i przestępczości, a także zobowiązanie do przestrzegania praw człowieka. Kolejne lata ujawniły jednak skalę nadużyć oraz prawdziwy zasięg inwigilacji.

Pierwszy międzynarodowy rozgłos narzędziu Pegasus przyniósł przypadek Ahmeda Mansoora – obrońcy praw człowieka ze Zjednoczonych Emiratów Arabskich – w sierpniu 2016 roku. Otrzymał on podejrzany SMS z linkiem, którego otwarcie rozpoczęłoby instalację Pegasusa. Dzięki współpracy z Citizen Lab i Lookout Security, ujawniono sposób działania tego narzędzia.

W wyniku analiz z 2016 roku odkryto, że Pegasus wykorzystywał aż trzy luki zero-day w systemie iOS. Odpowiedź Apple była błyskawiczna – łatki bezpieczeństwa wydano w ciągu dziesięciu dni.

Kolejne śledztwa wykazały, że Pegasus funkcjonował już od 2013 roku, biorąc pod uwagę ślady w kodzie z odniesieniami do systemu iOS 7. Wg New York Times oraz The Times of Israel, ZEA używały Pegasusa od 2013 roku, a Panama wdrożyła to narzędzie już w latach 2012–2014.

W infrastrukturze C&C Pegasusa wykorzystywano rozbudowaną sieć serwerów, indywidualne certyfikaty TLS i własne domeny internetowe, a transmisja prowadzona była przez łańcuchy proxy (tzw. Pegasus Anonymizing Transmission Network). Błędy konfiguracyjne pozwoliły badaczom powiązać konkretne serwery i domeny z NSO Group i wcześniejszymi wersjami Pegasusa.

Wektory ataku i metody infekcji

Pegasus wykorzystuje szereg niezwykle skutecznych technik, aby przeniknąć na docelowe urządzenie. Najpoważniejsze z nich to:

• zero-click – ataki nie wymagające interakcji użytkownika, uruchamiane na podstawie samej znajomości numeru telefonu lub adresu e-mail ofiary,
• zero-click oparte na aplikacjach – wykorzystujące luki w popularnych komunikatorach, gdzie nawet nieotwarta wiadomość może wywołać infekcję,
• ataki przez sieć – przechwytywanie połączeń lub wstrzykiwanie pakietów przy wykorzystaniu niezabezpieczonych stron czy ataków man-in-the-middle,
• eksploatacja powiadomień push – wykorzystanie powiadomień do przekazania szkodliwego kodu,
• instalacja przez połączenia VoIP – zainfekowanie przez nieodebrane połączenia np. FaceTime czy WhatsApp.

Metoda OTA (Over-the-Air) uchodzi za najbardziej niebezpieczną – do przejęcia telefonu wystarczy znajomość jego numeru, a infekcja przebiega całkowicie niewidocznie dla użytkownika.

Do dziś stosowane są też tradycyjne metody socjotechniczne, bazujące na wysyłaniu specjalnie przygotowanych wiadomości SMS czy e-maili zawierających zainfekowany link. Ich skuteczność, choć niższa od ataków zero-click, wciąż stanowi realne zagrożenie.

W ekstremalnych przypadkach infekcja Pegasusem polega na podłączeniu urządzenia na kilka minut do zainfekowanego komputera lub czytnika kart SIM podczas przeszukań lub kontroli granicznych. Pegasus potrafi również wykorzystywać luki sieciowe, atakując przez infrastrukturę operatorów czy manipulację DNS, co sprawia, że bezpieczeństwo komunikacji internetowej (np. użycie VPN) staje się kluczowe.

Pozyskiwanie danych i możliwości inwigilacyjne

Pegasus zamienia zwykły smartfon w wszechstronne narzędzie inwigilacji. Oto przykładowe kategorie informacji, do których zdobywa dostęp:

• przechwytywanie SMS-ów, e-maili i konwersacji z komunikatorów – nawet tych zabezpieczonych szyfrowaniem end-to-end (np. Signal, Telegram),
• tymczasowe i stałe kontrolowanie kalendarzy, historii przeglądania oraz zakładek,
• monitorowanie lokalizacji w oparciu o GPS oraz dane operatora,
• pozyskiwanie technicznych informacji o urządzeniu (model, stan baterii, aktywne połączenia, lista kontaktów),
• zdalny dostęp do kamery i mikrofonu w dowolnym momencie,
• przechwytywanie plików, zdjęć, dokumentów i zrzutów ekranu,
• zbieranie wpisywanych na klawiaturze haseł i kodów autoryzacyjnych.

Zaawansowane szyfrowanie nie chroni przed Pegasusem, ponieważ narzędzie rejestruje informacje jeszcze przed ich zaszyfrowaniem lub tuż po ich odszyfrowaniu na urządzeniu. Opcje geolokalizacji pozwalają nie tylko śledzić ruch w czasie rzeczywistym, ale również analizować zachowania i relacje społeczne ofiary.

Wyzwania wykrywania i metody analizy kryminalistycznej

Wykrycie Pegasusa stanowi potężny problem nawet dla ekspertów – nowoczesne wersje narzędzia rezydują wyłącznie w pamięci RAM, a restart telefonu często wystarcza do unikalnego „wymazania” aktywności szpiega.

Zaskoczenie użytkownika wynika z wykorzystania nieznanych luk zero-day oraz braku widocznych symptomów infekcji – brak podejrzanych powiadomień, nagłego spadku wydajności czy nietypowego obciążenia baterii.

Do głównych metod wykrywania Pegasusa należą:

• analiza ruchu sieciowego i wykrywanie komunikacji ze znanymi domenami NSO Group,
• przeglądanie logów systemowych pod kątem nietypowych wpisów związanych z exploitami,
• porównywanie „odcisków palców” serwerów Pegasus (unikalne certyfikaty TLS, konfiguracje HTTPS).

Laboratorium Bezpieczeństwa Amnesty International opracowało otwarte narzędzia forensyczne dedykowane wykrywaniu Pegasusa, jednak korzystanie z nich wymaga dużej wiedzy i natychmiastowej interwencji po podejrzeniu infekcji. Najnowocześniejsze wersje Pegasusa błyskawicznie zacierają po sobie ślady podczas restartu lub wyłączenia telefonu.

Strategie ochrony i środki zaradcze

Przeciwdziałanie atakom Pegasusa powinno uwzględniać wiele warstw zabezpieczeń. Oto najskuteczniejsze rekomendacje:

• Codzienny restart urządzenia – skutecznie usuwa Pegasusa z pamięci operacyjnej, zwiększając ryzyko wykrycia przez operatorów,
• natychmiastowe aktualizowanie oprogramowania – minimalizuje ryzyko wykorzystania znanych luk,
• unikanie klikania w podejrzane linki – szczególnie w wiadomościach SMS i e-mailach,
• korzystanie z alternatywnych przeglądarek (np. Firefox Focus) – zmniejsza skuteczność niektórych exploitów,
• używanie zawansowanych usług VPN – najlepiej takich, które akceptują płatności kryptowalutami i nie wymagają szerokiej rejestracji,
• instalacja dedykowanych aplikacji bezpieczeństwa – umożliwia wykrycie niektórych form rootowania lub jailbreaka,
• włączenie Trybu Blokady (Lockdown Mode) na iOS – radykalnie ogranicza potencjalne wektory ataku,
• redukcja liczby zainstalowanych aplikacji – im mniej oprogramowania, tym mniej możliwych podatności,
• okresowa zmiana urządzenia lub systemu operacyjnego – utrudnia atakującym długoterminowe śledzenie,
• użycie oddzielnego urządzenia do komunikacji (prepaid, tryb samolotowy, Tails, Tor),
• w skrajnych przypadkach – rezygnacja ze smartfonów na rzecz prostych telefonów (dumb phone),
• w przypadku zagrożenia inwigilacją państwową – wyłącznie korzystanie z Tailsa lub sieci Tor do aktywności internetowej.

Reakcje prawne i regulacyjne

Aktywność Pegasusa spotkała się z odpowiedzią instytucji krajowych i międzynarodowych. Najważniejsze reakcje to:

• Pozew Apple przeciwko NSO Group – z listopada 2021 roku, domagający się zaprzestania inwigilacji użytkowników oraz blokady korzystania z rozwiązań Apple przez NSO,
• Wsparcie finansowe Apple – firma przeznaczyła 10 mln dolarów na rozwój badań nad przeciwdziałaniem cyberszpiegostwu i pomoc ofiarom inwigilacji,
• wprowadzenie restrykcji handlowych – rząd USA objął NSO Group zakazem eksportu technologii amerykańskiej,
• międzynarodowe dziennikarskie śledztwa „Pegasus Project” – prowadzone przez konsorcjum dziennikarzy i organizacji, ujawniające skalę globalnych nadużyć,
• regulacje Unii Europejskiej – zaostrzenie kontroli eksportu technologii szpiegowskich i określenie standardów praw człowieka dla produktów dual-use,
• pozwy organizacji pozarządowych i inicjowanie śledztw krajowych,
• apel organizacji praw człowieka (ONZ) o globalne moratorium na sprzedaż technologii tego typu do czasu stworzenia niezbędnych ram prawnych.

Wpływ społeczny i konsekwencje dla praw człowieka

Skutki działania Pegasusa daleko wykraczają poza naruszenie indywidualnej prywatności, uderzając bezpośrednio w fundamenty praw człowieka oraz instytucje demokratyczne. Oto najważniejsze wyzwania:

• dziennikarstwo – ryzyko całkowitej inwigilacji źródeł, korespondencji czy spotkań śledczych, które prowadzi do pogorszenia sytuacji niezależnych mediów i ograniczenia śledztw dziennikarskich,
• obrońcy praw człowieka – podatność na monitorowanie finansowania, kontaktów i działań, co sprzyja dezintegracji organizacji obywatelskich i wywołuje efekt mrożący,
• prawnicy – naruszenie tajemnicy adwokackiej, możliwością podsłuchiwania spotkań i przygotowywania strategii obrony,
• relacje międzynarodowe – transgraniczna inwigilacja prowadzi do naruszeń suwerenności cyfrowej i napięć dyplomatycznych,
• efekt normalizacji nadzoru – powszechna groźba cyfrowej inwigilacji skłania do autocenzury, ogranicza debatę publiczną i zniechęca do aktywności politycznej.

Ewolucja technologiczna i prognozy przyszłości

NSO Group nieustannie modernizuje Pegasusa, aby przełamywać nowe zabezpieczenia systemów operacyjnych; w ostatnich latach umożliwiono infekowanie nawet najnowszych wersji iOS przez zero-click do wersji 16.6. Ochrona przed Pegasusem jest zatem procesem reaktywnym i wymaga dynamicznych, wielowarstwowych rozwiązań.

Tryb Blokady Apple pozostaje najskuteczniejszą metodą minimalizacji ryzyka ataku zero-click, choć wiąże się ze spadkiem funkcjonalności w codziennym użytkowaniu.

Sektor komercyjnych technologii inwigilacyjnych rozwija się bardzo szybko – pojawiają się nowe firmy, a rządy i służby wywiadowcze inwestują w coraz bardziej zaawansowane narzędzia. To napędza innowacje, ale jednocześnie utrudnia detekcję i analizę narzędzi typu „offensive security”.

Dynamicznie rozwijają się również metody obrony: otwarte narzędzia forensyczne, nowe zabezpieczenia sprzętowe i aplikacyjne oraz działania regulacyjne. Niemniej jednak, przewaga jest po stronie ataku – każda zmiana wymusza dostosowanie zarówno atakujących, jak i broniących się.

Przyszłość bezpieczeństwa mobilnego zależna jest od postępu technologii (hardware security, piaskownice, ulepszone szyfrowanie) oraz skuteczności współpracy międzynarodowej w zakresie ograniczania eksportu i uregulowania rynku narzędzi inwigilacyjnych.