Cel właściwie nie ma szans zobaczyć skrzydlatego konia w akcji. Może jednak podejrzewać, że zaczęło się polowanie. Tak było w przypadku meksykańskiej dziennikarki Carmen Aristegui, która odkryła aferę Casa Blanca (Biały Dom) – od nazwy posiadłości wybudowanej dla byłego prezydenta Meksyku przez firmę jego znajomego. Przypadkiem realizującej też pierwszy w kraju kontrakt na budowę kolei dużej prędkości.

Któregoś dnia w 2015 r. Aristegui zaczęła otrzymywać dziwne SMS-y. W jednym ktoś prosił ją, żeby pomogła odnaleźć zaginione dziecko. Inny informował o zablokowaniu środków na karcie kredytowej. Jeszcze inny, że jest problem z jej wnioskiem o wydanie amerykańskiej wizy. Wszystkie zawierały link, w który adresatka miała kliknąć.

Aristegui wydawało się to podejrzane, dlatego tego nie uczyniła. Gdyby jednak to zrobiła, na pierwszy rzut oka nic by się nie stało: przeglądarka internetowa załadowałaby po prostu pustą stronę. Ot, kolejny błąd w sieci. Dziennikarka nawet by się nie zorientowała, że właśnie przejęto kontrolę nad jej smartfonem. Klikając link, ściągnęłaby bowiem na urządzenie Pegasusa.

>>> Czytaj też: Ile politycy płacą za pranie nam mózgów w internecie i jak to robią

Luki dnia zerowego

Program do przejęcia kontroli nad telefonem wykorzystuje luki w systemie operacyjnym, o których istnieniu nie wie nawet jego producent (0-day exploit, luki dnia zerowego). Ich wykrywaniem zajmują się za ciężkie pieniądze specjaliści od bezpieczeństwa IT, którzy chwalą się sukcesami na branżowych konferencjach. Dla nich znaleźć taką lukę to jak dla sportowca zdobyć mistrzostwo świata. Pegasus wykorzystywał nie jedną, nie dwie – ale kilka luk. To jak zgarnąć parę tytułów w ciągu jednego sezonu. Już nie mistrzostwo, ale wirtuozeria w swojej dziedzinie.

Dzięki nim program zyskiwał bez wiedzy użytkownika dostęp do wiadomości SMS, kontaktów, haseł i zapisków w kalendarzu. Pozwalał na podsłuchiwanie rozmów telefonicznych, wykonywanie w dowolnym momencie zdjęć aparatem, filmów i zrzutów z ekranu, uruchamianie mikrofonu celem nasłuchu otoczenia. Właściciele Pegasusa nie musieli się też martwić o to, czy ich cel szyfruje swoją korespondencję, bo i tak widzieli ją przed i po zakodowaniu – bo szyfrowana jest sama transmisja, ale każdy może podejrzeć ekran telefonu, kiedy piszemy tajną wiadomość.

Zresztą wiadomości z linkiem to już przeszłość; producent Pegasusa, izraelska NSO Group, chwali się, że dzięki najnowszej wersji oprogramowania w ogóle nie trzeba się głowić, jaka wiadomość skłoni cel do kliknięcia. Do zainfekowania telefonu wystarczy np. nieodebrane połączenie w komunikatorze internetowym Whatsapp (o istnieniu tej luki świat dowiedział się dopiero w maju tego roku; została już potraktowana odpowiednią łatką). Rozwiązanie to firma zachwala swoim klientom jako „zero-click technology”.

>>> Treść całego artykułu można znaleźć w weekendowym wydaniu Magazynu DGP i na EDGP