Bei Pegasus handelt es sich um eine Spyware zum Ausspähen mobiler Endgeräte, die von der NSO Group entwickelt wurde.
Die NSO Group ist ein israelisches Technologieunternehmen, das hauptsächlich Software und Überwachungstechnologien entwickelt. Im Fokus der Angriffe standen bisher vor allem Journalisten, Menschenrechtsaktivisten, Geschäftsleute und Politiker.
Die NSO Group behauptet, Pegasus würde nur zur Untersuchung von Terrorismus und Kriminalität verwendet und würde keine Spuren hinterlassen. Tatsache ist jedoch, dass durch Pegasus eine weitverbreitete, anhaltende rechtswidrige Überwachung und Menschenrechtsverletzung stattfindet. Hierzu wurden von der Menschenrechtsorganisation Amnesty International zahlreiche mobile Geräte von Menschenrechtsverteidigern und Journalisten auf der ganzen Welt forensisch analysiert.
Auf die Endgeräte gelangt Pegasus derzeit über verschiedene Zero-Day Schwachstellen in beispielsweise iMessage.
Apple hat mittlerweile reagiert und die kürzlich veröffentlichten iOS 14.8, macOS 11.6 und watchOS 7.6.2 mit einem Sicherheitspatch versehen, der verhindert dass Pegasus über iMessage das Endgerät infiziert.
Um überprüfen zu können ob dein Gerät von Pegasus befallen ist, finden sie nachfolgend eine Anleitung um ihr Gerät zu scannen.
Für weitere Hilfe Siehe „Backup deines iPhone mit deinem Mac erstellen“
https://support.apple.com/de-de/guide/iphone/iph3ecf67d29/ios
Bevor ein Scan jeglicher Art gestartet werden kann benötigt ein Terminal nach Wahl Vollzugriff. Diesen kann man in den Datenschutz & Sicherheitseinstellungen dem bevorzugten Terminal gewähren.
Python muss installiert sein, ist allerdings bei heutigen Rechnern Standardmäßig vorinstalliert. Für manche Teile des Scans werden möglicherweise Root Berechtigungen benötigt. Um diese zu erhalten geben sie „sudo -s“ im Terminal ein und geben sie anschließend ihr Passwort ein.
cd /Users/%username%/Library/Application Support/MobileSync/Backup
Navigiert in den Backup Ordner
(Ersetzte %username% durch ihren Username)
pip3 install mvt
Installiert den MVT scanner
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/ -O pegasus.stix2
Download der Amnesty IOCs
mkdir results
Erstellt einen Ordner für Scan Ergebnisse
mvt-ios decrypt-backup -p '' -d '' ''
mvt-ios check-backup --iocs '' --output
'' ''
Scan des gegebenen Backups via MVT & IOCs
Wenn alles erfolgreich gelaufen ist, sollten eine reihe von json files im results Ordner sein. Alle Dateinamen, die auf _detected.json enden, zeigen an, daß eine Spur von Pegasus in ihrem Backup gefunden wurde.