19 juli 2021 · 5 min read

Hoe groot gevaar voor uw crypto is de Pegasus-spyware?

Een datalek bracht malware aan het licht die mogelijk is gebruikt voor het bespioneren van mensenrechtenactivisten, journalisten en advocaten over de hele wereld. Het infecteert de Android- en iOS-apparaten van mensen en extraheert alle bestaande informatie. Toch lijkt de dreiging niet zo groot te zijn voor crypto-gebruikers, volgens beveiligingsexperts die met Cryptonews.com spraken, zowel om technische redenen als om het feit dat 'gewone' mensen doorgaans niet het doelwit zijn van dergelijke tools. Dat gezegd hebbende, het risico is er nog steeds - zelfs als alle wachtwoorden veilig zijn opgeslagen.

Bron: Adobe/Ascannio

The Guardian meldde, onder verwijzing naar "een onderzoek naar een enorm datalek", gedaan met 16 andere mediaorganisaties, dat een stukje malware genaamd Pegasus, afkomstig van het Israëlische surveillancebedrijf NSO Group, is verkocht aan autoritaire regimes. Die gebruikten het om pro-democratische activisten en journalisten die corruptie onderzoeken, evenals politieke tegenstanders en regeringscritici.

NSO Group houdt vol dat de tool alleen bedoeld is voor gebruik tegen criminelen en terroristen, aldus het rapport.

Het lek bevat echter naar verluidt een lijst met meer dan 50.000 telefoonnummers die "sinds 2016 door klanten van NSO zijn geïdentificeerd als personen van belang" - inclusief de nummers van meer dan 180 journalisten, en zelfs die van naaste familieleden van de heerser van een land.

Ten minste tien regeringen, vermoedelijk NSO-klanten, voerden nummers in een systeem in, terwijl de telefoonnummers meer dan 45 landen over vier continenten besloegen.

Dit werd mogelijk gedaan voorafgaand aan een surveillance-aanval.

"Forensische analyse van een klein aantal telefoons waarvan de nummers op de gelekte lijst stonden, toonde ook aan dat meer dan de helft sporen van de Pegasus-spyware had", aldus de Guardian.

Pegasus is spyware, voor het eerst ontdekt als iOS-versie in 2016 en later ook voor Android. AVolgens Dmitry Galov, beveiligingsonderzoeker van het GReAT (Security Researcher, Global Research & Analysis Team) bij cyberbeveiligingsbedrijf Kaspersky, is het belangrijkste infectieschema het verzenden van een sms met een link naar het slachtoffer, en als ze erop klikken, wordt het apparaat besmet met de spyware. Om iOS te infecteren, maakt de spyware ook misbruik van zero-day-kwetsbaarheden in het systeem.

Zelfs in 2017 kon Pegasus voor Android sms en e-mails lezen, naar oproepen luisteren, screenshots maken en toegang krijgen tot contacten en browsergeschiedenis, naast andere functionaliteiten, zei hij.

Wat betreft hoe dit crypto zou kunnen beïnvloeden, volgens Galov, "lijkt Pegasus veel verschillende acties te kunnen uitvoeren, waaronder het opnemen van toetsaanslagen en toegang krijgen tot verschillende gegevens op de telefoon."

Als de wachtwoorden voor crypto-wallets op de telefoon worden bewaard, zijn de risico's duidelijk, vertelde hij aan Cryptonews.com. Maar zelfs als de wachtwoorden veilig worden opgeslagen, kunnen er nog steeds risico's zijn, waarschuwde Galov.

De beveiligingsonderzoeker merkte echter op dat Pegasus spyware is en dat het doel ervan, volgens openbare informatie, voornamelijk is om informatie van specifieke personen te verzamelen in plaats van een financieel misdrijf.

"Toch zijn er verschillende soorten mobiele malware die cryptovaluta kunnen stelen (zoals Cerberus bijvoorbeeld). Het beste advies hier zou zijn om een ​​betrouwbare beveiligingsoplossing te gebruiken en wachtwoorden niet onversleuteld op het apparaat op te slaan", zei hij.

Volgens de uitleg van het Kaspersky-team is Pegasus een complexe en dure malware, en het is ontworpen om "individuen van bijzonder belang te bespioneren, dus de gemiddelde gebruiker zal het waarschijnlijk niet tegenkomen".

Een andere expert vindt dat Pegasus niet per se een grote bedreiging vormt voor crypto-gebruikers, hoewel voorzichtigheid altijd geboden is.

Gina Kim, een Zuid-Koreaanse IT-beveiligingsexpert gevestigd in Seoul, vertelde Cryptonews.com dat, omdat ik het niet persoonlijk heb gezien, "het in dit stadium vrij moeilijk is om te zeggen of dit stukje 'spyware' van invloed kan zijn op crypto-apps of niet."

In deze situaties lijken multi-factor authenticatiesystemen echter te helpen.

Volgens Kim gebruiken de meeste grote Zuid-Koreaanse crypto-uitwisselingsapps "redelijk geavanceerde twee- of driefactorauthenticatiesystemen die relatief resistent zijn tegen de meeste vormen van hacking en op telefoons gebaseerde malware."

Spyware vormt echter - zoals de naam al aangeeft - in beide gevallen een aantoonbaar grote bedreiging voor de privacy van een persoon of organisatie.

"Het is waar dat dergelijke spyware kan bespioneren wat en hoeveel cryptocurrencies de gebruiker heeft, waardoor hun privacy wordt aangetast", zegt Tomáš Sušánka, Chief Technology Officer (CTO) van SatoshiLabs, de maker van hardware wallet Trezor, voor Cryptonews.com.

Echter, volgens Sušánka, als het specifiek om Trezor gaat, kunnen degenen achter de spyware de cryptocurrency in de portemonnee niet manipuleren, tenzij de gebruiker het fysiek goedkeurt. De portemonnee heeft de zogenaamde vertrouwde weergave - daarom moeten alle transacties door de gebruiker op het scherm van Trezor worden bevestigd, niet in een andere applicatie of website. "Dus zelfs in gevallen waarin de telefoon wordt aangetast door malware, toont Trezor de gegevens waarmee het daadwerkelijk werkt op het scherm", wat betekent dat "de malware bijvoorbeeld geen munten naar hun adres kan sturen, enz.", zei hij.

Aangezien Pegasus zich specifiek richt op Android- en iOS-apparaten, wordt Trezor niet rechtstreeks getroffen, zei de CTO, eraan toevoegend dat "de portemonnee single-purpose aangepaste software draait die is geschreven en onderhouden door SatoshiLabs en volledig open-source is voor hoorbaarheid."

Het is de moeite waard om onderscheid te maken tussen twee concepten: spyware en kwetsbaarheden, zei Galov van Kaspersky. Pegasus is spyware die, om iOS te infecteren, misbruik maakt van zero-day-kwetsbaarheden - die waarvan de ontwikkelaar niets weet en waarvoor nog geen oplossing is uitgebracht. Toch kunnen deze, als ze worden gevonden, door cybercriminelen worden uitgebuit om verschillende soorten aanvallen uit te voeren, waaronder gerichte aanvallen.

Zowel spyware als zero-day-kwetsbaarheden kunnen door verschillende groepen op het darknet worden verkocht en gekocht, en de prijs van kwetsbaarheden kan oplopen tot 2,5 miljoen dollar - dat is "hoeveel werd er in 2019 geboden voor de volledige keten van kwetsbaarheden in Android," zei Galov. Hij voegde eraan toe dat "interessant genoeg dat jaar voor het eerst een Android-kwetsbaarheid duurder bleek te zijn dan een iOS-kwetsbaarheid."

Over het algemeen is de beste manier om beschermd te blijven tegen tools als Pegasus door "zoveel mogelijk informatie over deze gevallen te verstrekken aan gerelateerde software- en beveiligingsleveranciers", aldus Galov.

 "Softwareontwikkelaars zullen de kwetsbaarheden herstellen die door de aanvallers worden misbruikt en beveiligingsleveranciers zullen maatregelen nemen om gebruikers te detecteren en ertegen te beschermen."