Robi się coraz weselej.
jak oni to sprawdzają?
tylko gdybam… ale z wcześniejsxych badań citzenlab wynikało że mieli zidentyfikowane częściowo listę serwerów pośredniczących w komunikacji miedzy zainfekowanymi telefonami a “centralą”. i być może udało sie pozyskać dane ( np z logów) o ruchu sieciowym między fonem a takimi serwerami. i znowu być może , te podane 33 razy to jakieś odrębne w czasie sesje transmisji pomiędzy fonem a centralą. Wsxystko wskaxuje na to, że w zainfekowanych fonach pozostały ślady działamia pegasusa co jest o tyle ciekawe , ze poprzednik pegasusa, soft o nazwie RCS ( do ktorego wykradziono od producemta pełne instrukcje obsługi i kod - wisiało to potem gdzies na wikileaks) był reklamowany jako właśnie taki ktòry śladów na urządzeniu nie zostawia bo w razie prób wykrycia stara sie sam siebie skutecznie skasować. BTW te serwery pośredniczące oczywiśvie nie stoją u kamińskiego pod biurkiem tylko w zupełnie randomowych lokalizacjach wiec o ile można stwierdzić infekcję fona pegasusem to niestey trudno jednoznacznie udowodnić że fona danej osoby z Polski podsłuchiwał kamiński a nie np slużby innego państwa które też kupiły pegasusa. Tutaj przypisanie/domniemanie sprawcy odbywa się bardziej na zasadzie , kto miał największy interes żeby tą osobę rozpracowywać
Jeszcze jedna możliwa interpretacja tej liczby 33: służby kupując pegasusa mają ograniczoną skończoną liczbę licencji na równoległe jednoczesne śledzenie wielu celów. Jeżeli “nie wyrabiali się z robotą” czyli liczba celów była większa niż to czym dysponowali, to możliwe że każdy podany jeden incydent włamamia był osobną procedurą począwszy od zdalnego wgrania/aktywacji malware’u na telefon, wykonania podsluchu/pobrania danych aż do usunięcia wszystkiego z tel. żeby zwolnić licencję do użycia wobec innego celu. Jeżeli zastosowamy sposób infekcji nie wymagał żadnego działania ze strony atakowanej osoby (a wszystko na to wskaxuje) to takie “multipleksowanie” podsłuchów było by dość logiczną procedurą
Tak, każdy z 33 to osobne włamanie. Niewykluczone, że niekoniecznie związane z licencjami: Pegasus nie potrafi przetrwać restartu urządzenia – ale reinfekcja jest na tyle skuteczna, że nie jest to uznawane za problem.
Co do licencji, wiele wskazuje na to, że CBA ma ok. 25.
Co do wykrywania, ślady Pegasusa zostają często w bekapach z urządzeń. Często na tej podstawie potwierdza się infekcje. Citizen Lab stworzył też narzędzie do wykrywania Pegasusa, jest gdzieś na githubie, ale nie mogę teraz znaleźć.
Tu więcej info:
Pegasus nie potrafi przetrwać restartu urządzenia (…)
Spotkałem się już gdzieś z taką opinią - niestety nie jestem w stanie jej nigdzie potwierdzić. Nie mogę również tego znaleźć w źródłach, które udostępniłeś. Czy możesz mnie nakierować? Mogłem coś przeoczyć.
Amnesty International’s investigations, corroborated by secondary information we have received, seem to suggest that Pegasus is no longer maintaining persistence on iOS devices. Therefore, binary payloads associated with these processes are not recoverable from the non-volatile filesystem. Instead, one would need to be able to jailbreak the device without reboot, and attempt to extract payloads from memory.
O, dzięki za wyczerpującą odpowiedź!
