Шпиона Pegasus используют для слежки за жертвами в 45 странах

Олег Иванов 19 Сентября 2018 - 13:24

Домашние пользователи

...

Исследователи в области безопасности нашли доказательства слежки государственных учреждений за целями, расположенными в 45 странах, в ходе которой используется шпионская программа Pegasus (или Trident). Поскольку эта цифра значительно превышает количество известных операторов, отдельные эпизоды слежки проводятся совершенно незаконно.

Программа Pegasus была разработана израильской ИБ-компанией NSO Group, она существует уже не менее трех лет. Впервые детальный разбор этой шпионской программы был опубликован летом 2016 года.

Pegasus может работать на устройствах под управлением мобильных операционных систем Android и iOS, но в основном аудитория использует ее для атак пользователей iPhone. Pegasus представляет собой достаточно мощный шпионский софт, который может записывать разговоры, красть личные сообщения, извлекать фотографии и много другое.

На протяжении последних трех лет специалисты Citizen Lab отслеживали использование Pegasus «в дикой природе» (in-the-wild). Во многих случаях эта программа использовалась правительствами стран, поддерживающими деспотический режим для слежки за журналистами, правозащитниками, оппозиционерами, юристами и сторонниками борьбы с коррупцией.

Однако новые данные, добытые Citizen Lab, показывают наличие 36 различных групп, которые используют Pegasus для слежки за объектами, расположенными в 45 странах. Эти список включает такие страны, как США, Франция, Канада, Швейцария и Великобритания.

Специалисты Citizen Lab пришли к выводу, что десять из этих 36 групп проводят операции слежки за пределами своих собственных стран. Эта деятельность может нарушать законы, действующие в других странах, где находятся цели для наблюдения.

Представители NSO Group заявили, что компания не нарушает законов об экспорте софта, а Pegasus должен использоваться только для борьбы с преступностью.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Марта 2026 - 10:36

Эксплойты Уязвимости программ Домашние пользователи Корпорации

Zombie ZIP: новый трюк с ZIP-архивами помогает обходить антивирусы

Исследователи обратили внимание на новую технику под названием Zombie ZIP, которая позволяет прятать вредоносную нагрузку в специально подготовленных ZIP-архивах так, чтобы большинство защитных решений её просто не распознают.

По данным автора метода Криса Азиза из Bombadil Systems, подход сработал против 50 из 51 антивирусного движка на VirusTotal.

Суть трюка в том, что архиву подменяют служебные поля в заголовке. Защитные продукты верят, что внутри лежат обычные несжатые данные и сканируют файл именно так.

Но на деле полезная нагрузка остаётся сжатой через DEFLATE, поэтому антивирус видит не подозрительный файл, а фактически «шум» из сжатых байтов. Из-за этого сигнатуры просто не срабатывают.

Самое любопытное, что для обычного пользователя такой архив тоже выглядит странно, но не опасно. Если попытаться открыть его через 7-Zip, WinRAR или unzip, можно получить ошибку, сообщение о неподдерживаемом методе или битые данные.

Это достигается, в частности, за счёт специально выставленного значения CRC, которое не совпадает с тем, что ожидают стандартные распаковщики. Но если у злоумышленника есть собственный загрузчик, который игнорирует ложный заголовок и распаковывает содержимое как DEFLATE, полезная нагрузка восстанавливается без проблем.

Крис Азиз уже выложил демонстрационный эксплойт на GitHub вместе с примерами архивов и описанием механики. А CERT/CC присвоил этой проблеме идентификатор CVE-2026-0866. Там же отмечают, что история отчасти напоминает старую уязвимость CVE-2004-0935: ещё больше двадцати лет назад уже выяснялось, что антивирусы могут слишком доверять поломанным ZIP-заголовкам.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!