با توجه ‌به حساسیت موضوع جاسوس‌افزار پگاسوس، یک راهنما برای تشخیص آلوده بودن به این جاسوس‌افزار ارائه شد.

گفته‌می‌شود پگاسوس در سراسر دنیا برای آلوده‌سازی و جاسوسی از بیش از ۵۰ هزار فرد استفاده شده است که بیشتر آنها مقامات، افراد ذی‌نفوذ و دارای مقامات بلندپایه یا روزنامه‌نگاران و مخالفان حکومت‌ها هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جاسوسی از خبرنگاران و فعالان اجتماعی و حتی نخست‌وزیر سابق هند با استفاده از جاسوس افزاری به نام Pegasus از شرکت اسرائیلی NSO Group ازجمله مهم‌ترین خبرهای منتشر شده در چند روز گذشته  در حوزه سایبری در دنیا بود .

این سومین باری است که بحث‌ها راجع به محصولات و خدمات این شرکت در خصوص استراق و نظارت جهانی در اینترنت منتشر می‌شود. مرتبه اول که بحث‌ها راجع به این شرکت ظهور کرد سال ۲۰۱۷ بود که مشخص شد مردم و روزنامه‌نگاران معترض و مخالف حکومت بحرین با استفاده از جاسوس‌افزار Pegasus توسط حکومت بحرین مورد جاسوسی قرار گرفته‌اند.  مرتبه دوم که بحث‌ها راجع به این شرکت و جاسوس‌افزار در فضای سایبری اوج گرفت، مربوط به جمال خاشقجی، فعال سیاسی-اجتماعی مخالف حکومت عربستان سعودی بود. بعدها ادوارد اسنودن فاش کرد که تماس‌ها و تلفن‌های گوشی موبایل این فعال اجتماعی توسط جاسوس‌افزار Pegasus مورد نظارت و جاسوسی حکومت عربستان سعودی بوده است. مورد سومی که مجدداً باج‌افزار Pegasus در رأس اخبار قرار گرفت، در چند روز اخیر بود. این خبرها حاکی از استفاده گسترده از این جاسوس‌افزار علیه مخالفان سیاسی و فعالان اجتماعی در دولت هند بوده است. همچنین در سال ۲۰۲۰ روزنامه اسرائیلی هاآرتز خبر از استفاده دولت امارات متحده عربی از این جاسوس‌افزار برای جاسوسی علیه روزنامه‌نگاران و مخالفان این دولت داده بود.

پیرو اخبار جاسوسی از افراد و مقامات هندی، گروه Forbidden Stories با همکاری بسیاری از روزنامه‌نگاران تحقیقی و محققان امنیتی با انتشار یک گزارش در روزنامه گاردین فاش کرد که پگاسوس در سراسر دنیا برای آلوده‌سازی و جاسوسی از بیش از ۵۰ هزار فرد استفاده شده است که بیشتر آنها مقامات، افراد ذی‌نفوذ و دارای مقامات بلندپایه یا روزنامه‌نگاران و مخالفان حکومت‌ها هستند.

نورالدین بدوی، نخست‌وزیر سابق الجزیره، مصطفی کمال مدبولی، نخست‌وزیر مصر، رابرت مالی، نماینده ویژه ایالات متحده آمریکا در امور ایران، چارلز میشل، نخست‌وزیر سابق بلژیک و رئیس فعلی شورای اروپایی، امانوئل مکرون، رئیس‌جمهور فرانسه، ادوارد فیلیپ، نخست‌وزیر سابق فرانسه و همسرش ایدیث شاپره، بیشتر وزرای کابینه دولت فرانسه، جانوس آدر، رئیس‌جمهور مجارستان، ویکتور اوربن، نخست‌وزیر مجارستان، برهم صالح، رئیس‌جمهور عراق
باخیژان ساگینتایف، نخست‌وزیر سابق قزاقستان، سعد حریری، نخست‌وزیر لبنان، محمد السادس، پادشاه مراکش
سعدالدین العثمانی، نخست‌وزیر مراکش، عمران خان، نخست‌وزیر پاکستان، سیریل رامافوسا، رئیس‌جمهور آفریقای جنوبی، روهاکانا روگوندا، نخست‌وزیر سابق اوگاندا، احمد عبید بن دغر، نخست‌وزیر سابق یمن و رائول گاندی، رهبر حزب کنگره هند برخی از مقامات رسمی کشورها هستند که هدف کمپین جاسوسی قرار گرفته‌اند.

نکته قابل‌توجه در تمام گزارش‌هایی که دراین باره در اخبار سایبری جهانی منتشر می‌شود، نبودن نام و نشانی از مقامات ایرانی است، درحالی‌که ازیک‌طرف در اخبار، دستکم به بیش از ۵۰ هزار آلوده‌سازی افراد مختلف در دنیا شده است و از طرف دیگر شرکت NSO Group برخاسته از رژیمی است که بارها دشمن مستقیم و شماره یک خود را ایران دانسته است! لذا با یک نگاه استدلالی و منطقی می‌توان نتیجه گرفت که قطعاً مقاماتی از جمهوری اسلامی ایران هدف و قربانی این جاسوس‌افزار بوده و هستند. با توجه ‌به حساسیت موضوع و مطرح‌شدن چندباره نام این شرکت در اخبار جهانی و اطلاع‌رسانی‌های ناقص و تحلیل‌های ناکافی در مبادی رسمی، این راهنما برای تشخیص آلوده بودن به این جاسوس‌افزار تهیه شده است.

در این سند پلتفرم iOS از شرکت Apple مدنظر قرار گرفته است که روال آن کمی دشوارتر و زمان‌برتر است، درحالی‌که در پلتفرم اندروید این روند ساده‌تر و با سهولت بیشتری انجام خواهد شد.

در این سند با نادیده‌گرفتن مباحث سیاسی صرفاً مقوله نیاز به تشخیص این باج‌افزار درگوشی‌های هوشمند Apple با سیستم‌عامل iOS پرداخته می‌شود.

آشنایی با جاسوس‌افزار Pegasus
از بعد فنی جاسوس‌افزار Pegasus به‌صورت Zero-Click (بدون نیاز به اقدام و تعاملی از سمت قربانی)، می‌تواند در دستگاه قربانی مستقر شود و تقریباً به هر اطلاعات و محتوایی در دستگاه دسترسی خواهد داشت. ازجمله پیغام‌ها، لیست مخاطبان، تقویم، تصاویر، میکروفون، دوربین، ضبط تماس‌ها و حتی GPS دستگاه.

جاسوس‌افزار Pegasus در واقع یک برنامه است که شرکت اسرائیلی NSO Group آن را با هدف دسترسی دسترسی راه دور به داده‌های موجود در دستگاه قربانی ایجاد و توسعه‌ داده است.

این جاسوس‌افزار فقط توسط دولت‌ها و نهادهای زیرمجموعه دولت‌ها قابل خریداری است و امکان فروش نیز پس از کسب اجازه از وزارت دفاع رژیم صهیونیستی امکان‌پذیر است. مشتری‌ها به‌صورت ظاهری و رسمی امکان استفاده از Pegasus را فقط علیه افراد مظنون به تروریسم و جنایت دارند، اما واقعیت این است که این جاسوس‌افزار حداقل در بیش از ۱۵ کشور، علیه روزنامه‌نگاران، فعالان حقوق بشر، اپوزیسیون حکومت‌ها، وکلا و تُجار استفاده شده است. در این راستا برآورد شده که بیش از ۵۰ هزار قربانی در برآیند از این جاسوس‌افزار وجود داشته است.

نسخه‌های iOS هدف
بر اساس اطلاعاتی که در خلال این چند سال تا لحظه فعلی رصد شد، باید اذعان کرد که تقریباً امکان آلوده‌سازی هر دستگاه iPhone وجود دارد. اینکه قابلیت آلوده‌سازی Zero-Click در کدام نسخه امکان‌پذیر باشد، کاملاً مشخص نیست و به شرایط و پیش‌نیازهای مختلفی وابسته است.

به نظر می‌رسد که حتی نسخه iOS ۱۴,۶ نیز از این حمله در امان نبوده است. آسیب‌پذیر بودن نسخه iOS ۱۴.۷ یا iOS ۱۵ Beta در قبال این جاسوس‌افزار هنوز مشخص نیست، لذا نباید از لحاظ ذهنی این نسخه‌ها را مستثنی دانست.

جاسوس‌افزار Pegasus چطور به گوشی موبایل هوشمند راه می‌یابد؟
بردار حملاتی که در این جاسوس‌افزار استفاده شده است شامل پیام‌های SMS، پیام‌های WhatsApp و پیام‌های iMessage می‌شود. به‌علاوه از آسیب‌پذیری‌های zero-day مرورگرها و سایر برنامه‌های پرکاربرد نیز استفاده شده است. در برخی از موارد، نصب و استقرار باج‌افزار حتی نیاز به کلیک کردن کاربر بر لینک موجود در پیام دریافتی نیز نداشته است (Zero-Click).

جاسوس‌افزار Pegasus پس از نصب و استقرار در موبایل قربانی، به‌طورکلی قادر به استخراج هر نوع اطلاعاتی از دستگاه و ارسال آن به مهاجم است. پیام‌های SMS، iMessage، ایمیل‌ها، تصاویر، ویدئوها، پیغام‌های پیام‌رسان‌ها (از جمله WhatsApp، Telegram و غیره) از جمله این موارد هستند. همچنین جاسوس‌افزار قادر به روشن‌کردن میکروفون یا دوربین، ضبط تماس‌ها، محل‌یابی با استفاده از GPS، دسترسی به تقویم و لیست مخاطبان نیز هست.

روند تشخیص آلوده‌سازی در iOS
دستگاه‌های موبایل قانونی و معمولی (Jailbreak نشده)
اگر دستگاه قانونی و بدون Jailbreak باشد باید از یک ابزار منبع‌باز به نام MVT استفاده کرد که در ادامه به توضیح آن پرداخته خواهد شد.

اولین گام در این روال ایجاد یک پشتیبان از دستگاه خود با استفاده از iTunes در کامپیوتر است. توجه داشته باشید که این پشتیبان حتماً باید دارای رمز عبور باشد، چرا که در این حالت اطلاعات بسیار بیشتری در نسخه پشتیبان به نسبت نسخه‌های بدون رمز عبور در اختیار قرار می‌گیرد.

غیرفعال‌کردن آنتی‌ویروس
قبل از اقدام به ایجاد نسخه پشتیبان از دستگاه موبایل، بهتر است آنتی‌ویروس و سایر محصولات مشابه غیرفعال شود.

ایجاد نسخه پشتیبان در iTunes
پس از اتصال گوشی هوشمند به کامپیوتر، برنامه iTunes اجرا می‌شود و گوشی شناسایی شده از نوار بالای محصول انتخاب می‌شود. در آیتم Summary که به‌صورت پیش‌فرض باز می‌شود، مشخصات و وضعیت کلی دستگاه نمایش می‌یابد:

در این صفحه کافی است گزینه Encrypt Local Backup جهت ایجاد یک نسخه پشتیبان با رمز عبور انتخاب شود. بلافاصله پس از کلیک بر روی این گزینه از کاربر یک رمز عبور درخواست می‌شود. پس از کلیک بروی دکمه Set Password مراتب ایجاد نسخه پشتیبان شروع خواهد شد.

بسته به ظرفیت ذخیره‌سازی و حجم اشغال شده در دستگاه، این روال ممکن است چندین دقیقه طول بکشد. درنهایت پس از ایجاد موفقیت‌آمیز نسخه پشتیبان، آیتم Latest Backup به تاریخ و ساعت زمان ایجاد پشتیبان تغییر خواهد یافت.

نسخه‌های پشتیبان در iTunes به‌صورت پیش‌فرض در محل زیر ایجاد می‌شوند:
%APPDATA%\Apple Computer\MobileSync

بنابراین کافی است این محل باز شود. یک شاخه با نام Backup قابل رویت خواهد بود. درون این شاخه، پشتیبان‌های مختلف در شاخه‌ای با نام‌های شبه تصادفی قرار می‌گیرند.

نصب و استفاده از ابزار MVT در سیستم‌عامل لینوکس
ابزار MVT در بستر لینوکس قابل‌اجراست؛ لذا پس از نصب و آماده‌سازی لینوکس، اقدام به‌روزرسانی لیست بسته‌های نرم‌افزاری در آن می‌شود:
sudo apt-get update

اکنون کافی است شاخه Backup را در یک ماشین لینوکس کپی کنید. البته می‌توان این شاخه را در قالب یک دستگاه USB به ماشین لینوکس Mount کرد که نیاز به نصب کتابخانه LIBUSB برای کارکرد بهتر خواهد بود. از طرفی ابزار MVT با زبان پایتون نوشته شده است؛ لذا در گام بعد اقدام به نصب پایتون ۳ و LIBUSB خواهد شد:
sudo apt install python۳ python۳-pip libusb-۱,۰-۰

پس از نصب بسته‌ها، اقدام به نصب ابزار MVT از طریق PIP می‌شود:
pip۳ install mvt

البته بسته را می‌توان مستقیماً از GIT دریافت و نصب کرد. درهرصورت پس از نصب بسته MVT محل
نصب این ابزار را با دستور زیر در لیست PATH قرار می‌دهیم:
export PATH=$PATH:~/.local/bin

اکنون با اجرای فایل mvt-ios می‌توان بررسی کرد که آیا باینری‌های نصب شده به‌درستی قابل‌دسترس و استفاده هستند یا خیر:
mvt-ios

IOCهای مربوط به جاسوس‌افزار Pegasus در قالب یک فایل STIX به تاریخ ۱۸ جولای ۲۰۲۱ (۲۷ تیر ۱۴۰۰) توسط گروه امنیتی Forbidden Stories در همکاری با عفو بین‌الملل در یک صفحه Github قرار داده شده است:
https://github.com/AmnestyTech/investigations/tree/master/۲۰۲۱-۰۷-۱۸_nso

فایل pegasus.stix۲ از این صفحه قابل دانلود است: