อธิบาย: เพกาซัสเป็นสายลับที่ไม่ยอมรอ จะตายก่อนโดนเปิดโปง

กลุ่ม NSO แบ่งประเภทการสอดแนมออกเป็นสามระดับ: การดึงข้อมูลเบื้องต้น การตรวจสอบแบบพาสซีฟ และการรวบรวมแบบแอ็คทีฟ

Pegasus ตรวจสอบและดึงข้อมูลใหม่ตามเวลาจริง — หรือเป็นระยะหากกำหนดค่าให้ทำเช่นนั้น — จากอุปกรณ์ที่ติดไวรัส (ภาพประกอบ: สุวจิต ดี)

การติดตั้ง Zero-click ที่ไม่ต้องดำเนินการใดๆ จากเป้าหมาย ไม่ใช่ความสามารถเดียวที่ทำให้ เพกาซัส ซุปเปอร์สปายแวร์มันคือ สิ่งที่ทำให้มีเอกลักษณ์เฉพาะคือความสามารถในการเก็บรวบรวมข้อมูล ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมข้อมูลที่พวกเขาต้องการรวบรวมจากอุปกรณ์เป้าหมายได้

ชุดคุณลักษณะนี้กล่าวว่าสนามการตลาดของกลุ่ม NSO Group ของอิสราเอลที่พัฒนา Pegasus นั้นเรียกว่าใช้งานได้ในขณะที่มีการรวบรวมตามคำขอที่ชัดเจนของผู้ปฏิบัติงาน และทำให้ Pegasus แตกต่างจากโซลูชันการรวบรวมข่าวกรองอื่น ๆ นั่นคือสปายแวร์

แทนที่จะรอเพียงข้อมูลที่จะมาถึง โดยหวังว่าข้อมูลนี้จะเป็นข้อมูลที่คุณต้องการ เจ้าหน้าที่ปฏิบัติงานจะดึงข้อมูลสำคัญจากอุปกรณ์อย่างแข็งขัน เพื่อรับข้อมูลที่แน่นอนที่เขากำลังมองหา สนาม NSO กล่าว

การดึงข้อมูล 'ใช้งานอยู่'

กลุ่ม NSO แบ่งประเภทการสอดแนมออกเป็นสามระดับ: การดึงข้อมูลเบื้องต้น การตรวจสอบแบบพาสซีฟ และการรวบรวมแบบแอ็คทีฟ

ต่างจากสปายแวร์อื่น ๆ ที่ให้การตรวจสอบการสื่อสารบางส่วนในอนาคตเท่านั้น NSO กล่าว Pegasus อนุญาตให้ดึงข้อมูลที่มีอยู่ทั้งหมด รวมถึงข้อมูลในอดีตบนอุปกรณ์เพื่อสร้างภาพข่าวกรองที่ครอบคลุมและแม่นยำ การแยกข้อมูลเบื้องต้นจะส่งบันทึก SMS ผู้ติดต่อ ประวัติการโทร (บันทึก) อีเมล ข้อความ และประวัติการเรียกดูไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม

ในขณะที่ Pegasus ตรวจสอบและดึงข้อมูลใหม่ตามเวลาจริง — หรือเป็นระยะหากกำหนดค่าให้ทำ — จากอุปกรณ์ที่ติดไวรัส มันยังทำให้ชุดของคุณสมบัติการเก็บรวบรวมที่ใช้งานได้ทั้งหมด ที่อนุญาตให้ผู้โจมตีดำเนินการตามเวลาจริงกับเป้าหมาย และ ดึงข้อมูลที่ไม่ซ้ำจากอุปกรณ์และบริเวณโดยรอบในตำแหน่ง

สารสกัดที่ออกฤทธิ์ดังกล่าวได้แก่:

• การติดตามตำแหน่งตาม GPS: หากเป้าหมายปิดใช้งาน GPS เปกาซัสจะเปิดใช้งานสำหรับการสุ่มตัวอย่างและปิดทันที หากไม่มีสัญญาณ GPS เข้าถึง Cell-ID จะถูกดึงออกมา
• การบันทึกเสียงเพื่อสิ่งแวดล้อม: Pegasus ตรวจสอบว่าโทรศัพท์อยู่ในโหมดไม่ได้ใช้งานหรือไม่ก่อนที่จะเปิดไมโครโฟนผ่านสายเรียกเข้าที่เงียบ การดำเนินการใดๆ จากเป้าหมายที่เปิดหน้าจอโทรศัพท์ส่งผลให้วางสายทันทีและยุติการบันทึก
• ถ่ายภาพ: สามารถใช้กล้องหน้าและกล้องหลังได้หลังจากที่ Pegasus ตรวจสอบว่าโทรศัพท์อยู่ในโหมดปกติ ผู้โจมตีสามารถกำหนดคุณภาพของภาพถ่ายล่วงหน้าได้ เพื่อลดการใช้ข้อมูลและรับรองการส่งข้อมูลที่รวดเร็วยิ่งขึ้น NSO เตือนว่าเนื่องจากไม่เคยใช้แฟลชและโทรศัพท์อาจเคลื่อนที่หรืออยู่ในห้องที่มีแสงน้อย บางครั้งรูปภาพจึงอาจหลุดโฟกัส
• กฎและการแจ้งเตือน: สามารถตั้งค่าเงื่อนไขจำนวนหนึ่งล่วงหน้าสำหรับการดำเนินการแบบเรียลไทม์ เช่น การแจ้งเตือนการฟันดาบทางภูมิศาสตร์ (เป้าหมายเข้าหรือออกจากตำแหน่งที่กำหนด) การแจ้งเตือนการประชุม (เมื่ออุปกรณ์สองเครื่องแชร์ตำแหน่งเดียวกัน) การแจ้งเตือนการเชื่อมต่อ ( การโทรหรือข้อความที่ส่งหรือรับไปยัง/จากหมายเลขที่ระบุ) และการแจ้งเตือนเนื้อหา (คำเฉพาะที่ใช้ในข้อความ) เป็นต้น

การส่งสัญญาณที่มองไม่เห็น

ข้อมูลที่ส่งจะถูกเข้ารหัสด้วยการเข้ารหัสแบบสมมาตร AES 128 บิต แม้ในขณะที่เข้ารหัส NSO กล่าวว่าต้องใช้ความระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่า Pegasus ใช้ข้อมูลแบตเตอรี่และหน่วยความจำน้อยที่สุดเพื่อให้แน่ใจว่าเป้าหมายจะไม่สงสัย

นี่คือเหตุผลว่าทำไมจึงต้องการการเชื่อมต่อ Wi-Fi สำหรับการส่งข้อมูลที่รวบรวม NSO กล่าวว่าได้ใช้ความคิดพิเศษเกี่ยวกับวิธีการบีบอัดและมุ่งเน้นไปที่การส่งเนื้อหาข้อความเมื่อใดก็ตามที่เป็นไปได้เพื่อลดรอยเท้าข้อมูลให้เหลือเพียงไม่กี่ร้อยไบต์และเพื่อให้แน่ใจว่ามีผลกระทบน้อยที่สุดต่อแผนข้อมูลมือถือของเป้าหมาย

การส่งข้อมูลจะหยุดโดยอัตโนมัติเมื่อระดับแบตเตอรี่เหลือน้อย หรือเมื่อเป้าหมายโรมมิ่ง เมื่อไม่สามารถส่งได้ Pegasus จะจัดเก็บข้อมูลที่รวบรวมไว้ในบัฟเฟอร์ที่ซ่อนอยู่และเข้ารหัส ซึ่งตั้งค่าให้มีพื้นที่ว่างไม่เกิน 5 เปอร์เซ็นต์บนอุปกรณ์ ภายใต้สถานการณ์ที่ไม่ค่อยเกิดขึ้นนักเมื่อไม่สามารถส่งข้อมูลผ่านช่องทางที่ปลอดภัย ผู้โจมตีสามารถรวบรวมข้อมูลเร่งด่วนผ่านข้อความตัวอักษรได้ แต่สิ่งนี้เตือน NSO ว่าอาจมีค่าใช้จ่ายที่ปรากฏในบิลค่าโทรศัพท์ของเป้าหมาย

การสื่อสารระหว่าง Pegasus และเซิร์ฟเวอร์ส่วนกลางเกิดขึ้นผ่าน Pegasus Anonymizing Transmission Network (PATN) ซึ่งทำให้การติดตามกลับไปยังจุดเริ่มต้นไม่สามารถทำได้ NSO กล่าวว่าโหนด PATN นั้นกระจายไปทั่วโลก โดยเปลี่ยนเส้นทางการเชื่อมต่อ Pegasus ผ่านเส้นทางต่างๆ ก่อนที่จะไปถึงเซิร์ฟเวอร์ Pegasus

ฟังก์ชั่นทำลายตัวเอง

Pegasus มาพร้อมกับกลไกการทำลายตัวเองที่มีประสิทธิภาพ โดยทั่วไป NSO กล่าวว่า เราเข้าใจดีว่าการไม่เปิดเผยแหล่งที่มามีความสำคัญมากกว่า และเป้าหมายจะไม่สงสัยอะไรมากไปกว่าการรักษาตัวแทนให้มีชีวิตอยู่และทำงานได้ ความเสี่ยงที่จะถูกเปิดเผยจะเปิดใช้งานกลไกการทำลายตนเองโดยอัตโนมัติ ซึ่งจะมีผลหาก Pegasus ไม่สื่อสารกับเซิร์ฟเวอร์จากอุปกรณ์ที่ติดไวรัสเป็นเวลา 60 วันหรือตามระยะเวลาที่กำหนด

มีสถานการณ์ที่สามซึ่งมีการเปิดใช้งานกลไกการทำลายตนเอง นับตั้งแต่วันเปิดตัว Pegasus กลุ่ม NSO ไม่อนุญาตให้ Pegasus แพร่ระบาดในหมายเลขโทรศัพท์ของอเมริกา บริษัทไม่อนุญาตให้แม้แต่โทรศัพท์ที่ติดไวรัสเดินทางไปยังสหรัฐอเมริกา ทันทีที่เหยื่อเข้ามาในสหรัฐฯ เพกาซัสในอุปกรณ์ของเธอจะเข้าสู่โหมดทำลายตัวเอง

สิ่งจำเป็นที่เปลือยเปล่า

สิ่งที่จำเป็นในการรัน Pegasus คือเทอร์มินัลของผู้ควบคุม (เดสก์ท็อปพีซีมาตรฐาน) ที่มีข้อกำหนดดังต่อไปนี้:

• โปรเซสเซอร์ Core i5
• แรม 3GB
• ฮาร์ดไดรฟ์ 320 GB
• Windows OS

สำหรับฮาร์ดแวร์ระบบ:

• ตู้ 42U จำนวน 2 ตู้
• ฮาร์ดแวร์เครือข่าย
• พื้นที่เก็บข้อมูล 10TB
• 5 เซิร์ฟเวอร์มาตรฐาน
• UPS
• โมเด็มมือถือและซิมการ์ด

จดหมายข่าว| คลิกเพื่อรับคำอธิบายที่ดีที่สุดของวันนี้ในกล่องจดหมายของคุณ

แบ่งปันกับเพื่อนของคุณ: