Was ist Pegasus?

Was verbirgt sich hinter dem Namen Pegasus?

Bei Pegasus handelt es sich um eine Spyware zum Ausspähen mobiler Endgeräte, die von der NSO Group entwickelt wurde.

Die NSO Group ist ein israelisches Technologieunternehmen, das hauptsächlich Software und Überwachungstechnologien entwickelt. Im Fokus der Angriffe standen bisher vor allem Journalisten, Menschenrechtsaktivisten, Geschäftsleute und Politiker.

Die NSO Group behauptet, Pegasus würde nur zur Untersuchung von Terrorismus und Kriminalität verwendet und würde keine Spuren hinterlassen. Tatsache ist jedoch, dass durch Pegasus eine weitverbreitete, anhaltende rechtswidrige Überwachung und Menschenrechtsverletzung stattfindet. Hierzu wurden von der Menschenrechtsorganisation Amnesty International zahlreiche mobile Geräte von Menschenrechtsverteidigern und Journalisten auf der ganzen Welt forensisch analysiert.

Was ist das Problem und was macht Pegasus?

Die Spyware ist in der Lage, die Kamera und das Mikrofon eines Mobilgerätes zu übernehmen und somit Gespräche aufzuzeichnen. Weiterhin ist Pegasus in der Lage, auf Inhalte wie den Browser-Verlauf gespeicherte Passwörter, den Standort, Dokumente und Fotos zuzugreifen. Auch vor den zahlreichen Messenger-Diensten macht Pegasus nicht halt und liest sämtliche Nachrichten mit. Nebenbei wird noch das gesamte Adressbuch kopiert.
Pegasus auf einem Mobilfunkgerät

Wie gelangt Pegasus auf ein Mobilgerät?

Auf die Endgeräte gelangt Pegasus derzeit über verschiedene Zero-Day Schwachstellen in beispielsweise iMessage.

Apple hat mittlerweile reagiert und die kürzlich veröffentlichten iOS 14.8, macOS 11.6 und watchOS 7.6.2 mit einem Sicherheitspatch versehen, der verhindert dass Pegasus über iMessage das Endgerät infiziert.

Um überprüfen zu können ob ihr Gerät von Pegasus befallen ist, finden sie nachfolgend eine Anleitung um ihr Gerät zu scannen.

Wie gut ist Dein IT-System geschützt?
Lass Deine IT jetzt durch eine professionelle Schwachstellenanalyse überprüfen!
Zur Schwachstellenanalyse

Pegasus Detection auf IOS

IOS Encrypted Backup

  1. iPhone mit Macbook via USB Kabel verbinden.
  2. In der Finder-Seitenleiste das iPhone auswählen.
  3. Im Finder-Fenster auf „Allgemein“ Klicken
  4. Bei „Lokales Backup verschlüsseln“ einen Haken setzten um die Backup-Daten zu verschlüsseln und mit einem Passwort zu schützen.
  5. Die Option „Erstelle ein Backup aller Daten deines iPhone auf diesem Mac“ einen Haken setzten.
  6. Auf „Backup jetzt erstellen“ Klicken.
  7. Falls nötig Passcode auf iPhone eingeben.
pegasus IOS Encrypted Backup

Für weitere Hilfe Siehe „Backup deines iPhone mit deinem Mac erstellen“

https://support.apple.com/de-de/guide/iphone/iph3ecf67d29/ios

Pegasus MVT-Scan auf IOS - Step by Step Guide

Terminal Zugriff gewähren:

Bevor ein Scan jeglicher Art gestartet werden kann benötigt ein Terminal nach Wahl Vollzugriff. Diesen kann man in den Datenschutz & Sicherheitseinstellungen dem bevorzugten Terminal gewähren.

Python muss installiert sein, ist allerdings bei heutigen Rechnern Standardmäßig vorinstalliert. Für manche Teile des Scans werden möglicherweise Root Berechtigungen benötigt. Um diese zu erhalten geben sie „sudo -s“ im Terminal ein und geben sie anschließend ihr Passwort ein.

Nun folgt eine reihe von Terminal Befehlen um den Scan Vorzubereiten:

				
					cd /Users/%username%/Library/Application Support/MobileSync/Backup
				
			

Navigiert in den Backup Ordner
(Ersetzte %username% durch ihren Username)

				
					pip3 install mvt
				
			

Installiert den MVT scanner

				
					wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/ -O pegasus.stix2
				
			

Download der Amnesty IOCs

				
					mkdir results
				
			

Erstellt einen Ordner für Scan Ergebnisse

				
					mvt-ios decrypt-backup -p '<passwort>' -d '<ordner>' '<backup_ordner_name>'
				
			

Anschließend können sie den Scan mit folgendem Befehl ausführen:

				
					mvt-ios check-backup --iocs '<pegasus_test.stix2 pfad>' --output 
'<results order pfad>' '<unverschlüsseltes backup pfad>'  
				
			

Scan des gegebenen Backups via MVT & IOCs

Ergebnis des Scan

Wenn alles erfolgreich gelaufen ist, sollten eine reihe von json files im results Ordner sein. Alle Dateinamen, die auf _detected.json enden, zeigen an, daß eine Spur von Pegasus in ihrem Backup gefunden wurde.

Gerne beraten wir Dich auch bei weiteren IT-Sicherheitsthemen!
Kontaktiere uns jetzt! Per Telefon oder über unser Kontaktformular.
Jetzt kontaktieren
ANDERE BEITRÄGE
Configuration Management Darstellung Knowledge Base
Configuration Management

Was ist Configuration Management? Konfigurationsmanagement oder im englischen Configuration Management (CM) ist ein Prozess zur Herstellung und Erhaltung eines einheitlichen

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.