Beheer

Security
NSO spyware

Zo check je of je gehackt bent met Pegasus

Toolkit van Amnesty

© Shutterstock Mundissima
26 juli 2021

Toolkit van Amnesty

Wie twijfelt of zijn smartphone gehackt is en besmet met Pegasus, de spionagesoftware van de Israëlische NSO Group, kan dit controleren met een tool.

De zogeheten Mobile Verification Toolkit (MVT) is ontwikkeld door de onderzoekers van Amnesty International die de malware Pegasus grondig hebben onderzocht en onthuld.

De tool werkt op zowel iPhones als Android-apparatuur maar wel met kleine verschillen. Volgens Amnesty waren op iPhones meer forensische sporen te vinden van Pegasus waardoor besmetting makkelijker te herkennen is dan op Android-apparate.

De toolkit controleert de volledige back up op zogeheten indicators of compromise (IOC’s) die NSO gebruikt om Pegasus op een systeem te zetten. Voorbeelden daarvan zijn domeinnamen die in de infrastructuur van NSO worden gebruikt. Ze worden onder meer verstuurd via sms en e-mail.

Encryptie

Ook een versleutelde iPhone-back up kan gecontroleerd worden door de toolkit; die ontsleutelt de back up volledig zonder dat een complete nieuwe kopie gemaakt moet worden. De toolkit werkt vergelijkbaar voor Android-apparaten.

Voor gebruik van de toolkit moeten wel de IOC’s van Amnesty geladen worden. Die staat op de GitHub-pagina van Amnesty.

Eerder deze maand werk bekend dat NSO de spyware Pegasus verkoopt die bij minstens 50.000 nummers van journalisten, politici en advocaten en activisten is geïnstalleerd. Klanten zijn overheden en opsporingsdiensten.

Dat werd duidelijk nadat de journalistieke organisatie Forbidden Stories en Amnesy International door een datalek een lijst tot hun beschikking kregen met daarop 50.000 doelwitten van overheidsdiensten.

Lees meer over Beheer OP AG Intelligence
5
Reacties
Nico 28 juli 2021 19:49

@Ron, pip is een standaard Python installatie tool....
@Eric-Jan ==> Github = Risico?.... wow dat is een aanname... Ach het is tenslotte een Microsoft onderdeel, dus mogelijk heb je gelijk.
Van het tool kan de source kan in ieder geval onderzocht worden op URL's connect routines etc. etc. Het is in python geschreven er zitten geen blobs in..
Ik ga er vanuit dat je geen WA en/of FB of met FB-toolkit gebouwde programma's op je telefoon hebt, anders maak je al zeker maandelijks een export van al je contacten en mogelijk meer.

Eric-Jan H. Hoogendijk 26 juli 2021 22:34

Ik was misschien wat te snel. De analyze tool draait niet op het device zelf maar offline tegen een back-up. Maar ook daar loop je natuurlijk risico's De analyze tool kan vertrouwelijke gegevens versturen. Draaien in een sandboxed en air gapped omgeving lijkt me raadzaam.

Eric-Jan H. Hoogendijk 26 juli 2021 22:22

Ok een tool van Github en niet vanuit de Apple- of Google-store - die natuurlijk ook niet 100% veilig zijn.

Je moet wel helemaal gek zijn om dit te installeren. Wanneer je nog niet gehackt was loop je iig nu het risico dat te worden.

Don van Riet (oud KPN strateeg) 26 juli 2021 17:04

Duidelijk geen simpele, voor consumenten geschikte procedure en of helpdesks bij electronica winkels ermee uit voeten kunnen, wordt ook afwachten. Het is in ieder geval positief dat detectie van Pegasus spyware überhaupt mogelijk is. Totnutoe althans, wie weet wat de Israeliers nog gaan aanpassen als tegenactie voor hun klanten .

Ron Amsterdam 26 juli 2021 16:13

Wat een onduidelijke en ingewikkelde procedure om die tool te installeren.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.