In questi giorni abbiamo sentito tutti palare dello spyware Pegasus, un software che pare abbia preso di mira oltre 50.000 numeri di telefono appartenenti a persone che operano in diversi settori, tra cui funzionari governativi, capi di stato ma soprattutto giornalisti di tutto il mondo.
Sperando di farti cosa gradita, ti inoltriamo di seguito un’analisi effettuata dai ricercatori di Qualys international che dettaglia come Qualys VMDR for Mobile Devices può aiutare i clienti a proteggersi dallo spyware Pegasus. Trovi anche un commento a cura di Emilio Turani, Managing Director per Italia, South Eastern Europe, Turchia e Grecia di Qualys.
——
Che cos’è lo spyware Pegasus?
Lo spyware Pegasus è un software di sorveglianza sviluppato dalla società israeliana di cyber intelligence NSO Group. Accede arbitrariamente ai cellulari per raccogliere informazioni personali e riservate da consegnare alla persona che ha avviato l’attività di spionaggio.
Quali sono i vettori di attacco e le capacità dello spyware Pegasus?
La prima versione di Pegasus è stata rilevata nel 2016, e in quell’occasione aveva infettato uno smartphone tramite lo spear-phishing. Ora colpisce i suoi bersagli in modo molto più sofisticato e riesce a infettare un dispositivo tramite un attacco “zero-clic” che sfrutta le vulnerabilità presenti nel dispositivo target. L’attacco “zero-clic” avvenuto nel dicembre 2020 sfruttava le vulnerabilità di iMessage, mentre quello del 2019 le vulnerabilità di WhatsApp.
I vettori di attacco tramite i quali agisce Pegasus sono le vulnerabilità presenti sui dispositivi, come quelle a livello del sistema operativo (SMS), le vulnerabilità di iMessage e di WhatsApp.
Una volta installato, Pegasus riesce a monitorare qualsiasi attività avvenga sul dispositivo colpito: legge e copia i messaggi inviati e ricevuti, esporta i file multimediali, consulta la cronologia dei siti visitati, registra le chiamate e molto altro.
In che modo Qualys VMDR for Mobile Devices aiuta a proteggersi dallo spyware Pegasus?
“Qualys VMDR for Mobile Devices non rileva la presenza di Pegasus sui dispositivi perché questo spyware altamente sofisticato è dotato di funzionalità che bloccano le analisi forensi e di meccanismi di autodistruzione incorporati che lo rendono estremamente difficile da individuare – sottolinea Emilio Turani, Managing Director per l’Italia, South Eastern Europe, Turchia e Grecia di Qualys – Anche se disinstallato in un secondo momento, non lascia tracce della sua presenza. Adottando un approccio proattivo, Qualys VMDR for Mobile Devices è tuttavia in grado segnalare i dispositivi suscettibili di essere infettati da Pegasus sulla base della presenza delle vulnerabilità seguenti.”
Pegasus su iOS:
Tenere presente che Pegasus potrebbe sfruttare anche altre CVE nelle versioni di iOS anteriori alla 14.5.
Pegasus su Android:
“Inoltre, Qualys VMDR for Mobile Devices rileva tutte le vulnerabilità di Android e iOS corrette da Apple e Google tramite gli aggiornamenti di sicurezza. Si tratta di vulnerabilità che consentono allo spyware Pegasus di assumere il controllo del dispositivo – prosegue Turani di Qualys. Le aziende devono tenere d’occhio le vulnerabilità rilevate da VMDR for Mobile Devices e adottare le misure appropriate per eliminarle e impedire a Pegasus di essere installato sui dispositivi. Inoltre, se sui dispositivi viene avviata una procedura di jailbreak o rooting, i dispositivi compromessi possono essere tracciati tramite il widget “Unauthorized Root Access” o il comando QQL “asset.hasUnauthorizedRootAccess: Yes”.
Nota: Apple ha negato il fatto, riportato da alcuni articoli, che iOS 14.6 possa subire attacchi “zero-clic” da parte dello spyware Pegasus. Apple ha rilasciato iOS 14.7 il 19 luglio, ma non ha ancora completato i propri aggiornamenti di sicurezza, pertanto, non è possibile sapere se in iOS 14.6 è presente una vulnerabilità zero-day suscettibile di lasciare la porta aperta agli attacchi “zero-clic”.
