Як працює Pegasus: таємниці шпигунського ПЗ NSO Group

alt

Pegasus — це не звичайний троян чи шкідливе ПЗ, що краде паролі, а передова цифрова зброя, створена ізраїльською компанією NSO Group. За лічені секунди вона перетворює смартфон на повноцінного шпигуна, який працює 24/7. Програма діє на рівні ядра системи, використовуючи вразливості zero-day і zero-click, завдяки чому інфікує пристрій без жодного кліку, завантаження файлів чи участі користувача. Після встановлення отримує повні права адміністратора, читає повідомлення ще до їхнього шифрування, активує мікрофон і камеру, відстежує розташування в реальному часі та передає дані оператору через приховану мережу серверів.

На практиці Pegasus далеко виходить за межі того, що ми зазвичай вважаємо приватністю. Він не обмежується копіюванням екрана чи логів — створює повну картину життя жертви: від видалених повідомлень до аудіозаписів оточення. У 2026 році, попри численні судові позови та оновлення від Apple і Google, інструмент продовжує еволюціонувати. Його використання в Польщі стало символом напруги між забезпеченням безпеки та зловживаннями влади. Це історія про те, як технологія, що мала захищати від тероризму, перетворилася на знаряддя тотального стеження.

Механізм геніальний у своїй простоті й водночас лякає масштабом: від ідентифікації цілі оператором через точний експлойт до тихої інсталяції та постійної передачі даних. Pegasus не залишає слідів, які міг би виявити звичайний антивірус, — він ховається глибоко в системі й може самознищитися при найменшій загрозі. У цій статті ми розберемо все по поличках, крок за кроком, з деталями, яких не знайти в типових матеріалах.

Хто такі NSO Group і звідки взявся Pegasus

Компанія NSO Group була заснована 2010 року в Ізраїлі для постачання урядовим структурам інструментів боротьби з тероризмом і тяжкими злочинами. Назва «Pegasus» відсилає до міфічного крилатого коня — символу сили, що долає будь-які бар’єри. Перші версії з’явилися на ринку близько 2011 року, а вже 2016-го Citizen Lab виявив перші випадки використання проти правозахисників.

NSO продає ліцензії виключно урядам і розвідслужбам — одна ліцензія на одну ціль коштує сотні тисяч доларів. Виробник стверджує, що інструмент застосовують лише в обґрунтованих справах національної безпеки, але численні звіти свідчать, як часто він потрапляє до рук журналістів, опозиціонерів та звичайних громадян. До 2026 року Pegasus еволюціонував від простого фішингу до складного набору експлойтів, здатних обійти навіть найновіші захисту iOS та Android.

Історія еволюції Pegasus — від 2016 року до реалій 2026-го

Початок був вражаючим. 2016 року Lookout і Citizen Lab дослідили телефон Ахмеда Мансора і виявили три zero-day вразливості в iOS під назвою Trident. Експлойти CVE-2016-4655, -4656 і -4657 дозволяли jailbreak без взаємодії з користувачем. Apple швидко їх закрила, але NSO не дрімало — 2019 року воно перейшло на атаки через WhatsApp, де вистачало вхідного дзвінка (навіть неприйнятого), щоб інфікувати пристрій.

2021 року Google Project Zero розкрив FORCEDENTRY — експлойт в iMessage, який використовував формат JBIG2 для створення віртуального середовища всередині повідомлення. Згодом з’явилися BLASTPASS (вразливість у libwebp) і PWNYOURHOME (комбінація HomeKit та iMessage). 2023 року Pegasus ще працював на iOS до версії 16.6, а 2025 року суди США наклали на NSO штрафи й заборони через атаки на користувачів WhatsApp. Утім, у лютому 2026 року польська прокуратура висунула обвинувачення колишнім керівникам ABW і SKW за використання системи без необхідної акредитації безпеки.

Зміни торкнулися не лише техніки. Pegasus навчився самоочищення — після 60 днів без зв’язку з C&C-сервером він просто зникає, не залишаючи слідів. Це еволюція від видимого трояна до справжнього «привида» в операційній системі.

Як відбувається інфекція — zero-click стає нормою

Традиційне шкідливе ПЗ вимагає кліку на посилання чи завантаження файлу. Pegasus давно перестав просити дозволу. Найпоширеніший метод — zero-click через системні застосунки: iMessage, WhatsApp чи навіть «Фото». Достатньо отримати спеціальне повідомлення (часто схоже на звичайний GIF або push-сповіщення), і код експлуатує вразливість у графічній бібліотеці чи парсері.

Процес виглядає так: сервер оператора надсилає пакет, що запускає ланцюг експлойтів. Спочатку код виходить із пісочниці застосунку, потім псує пам’ять ядра, виконує jailbreak або root і встановлює основний шпигунський модуль. На Android намагається отримати root, а якщо не виходить — просить дозволи так, ніби це звичайне системне оновлення.

Ранні версії вимагали кліку на посилання в SMS, але з 2020 року домінують мережеві атаки та zero-click. Оператору навіть не завжди потрібен номер телефону — іноді вистачає даних із витоку чи Wi-Fi-з’єднання поблизу. Pegasus також може працювати через фізичний доступ або бездротовий трансивер біля цілі.

Технічна архітектура: як Pegasus отримує повний контроль

Після інфекції Pegasus встановлюється на рівні ядра. На iOS виконує тихий jailbreak, на Android — rooting. Завдяки цьому обходить усі системні обмеження й отримує доступ до будь-якого застосунку, файлу та сенсора. Ключові модулі:

  • модуль перехоплення даних із месенджерів (читає повідомлення ще до шифрування),
  • кейлогер, що фіксує кожне натискання клавіші,
  • модуль аудіо-відео, який активує мікрофон і камеру на запит,
  • модуль геолокації GPS і Wi-Fi з точністю до метра,
  • модуль ексфільтрації — стискає й шифрує дані AES перед надсиланням.

Усе це працює через мережу PATN (Pegasus Anonymizing Transmission Network) — складну інфраструктуру з сотнями доменів, DNS-серверів і випадкових URL-шляхів. Високі порти та рандомізація роблять трафік майже невідрізним від звичайного. Дані передаються у фоновому режимі без помітного впливу на батарею чи інтернет-трафік.

Метод інфекціїНеобхідна взаємодіяПриклад експлойтуРік впровадження
One-click (посилання в SMS/MMS)Так — клікWebKit memory corruption2016
Zero-click iMessageНіFORCEDENTRY (JBIG2)2021
Zero-click WhatsAppНіВразливість через дзвінок2019
Zero-click BLASTPASSНіlibwebp image parsing2023

Джерело даних: технічні аналізи Citizen Lab і Google Project Zero. Таблиця ілюструє, як швидко еволюціонували методи — від видимих посилань до повністю прихованих атак.

Що саме вміє Pegasus — можливості, які лякають

Після захоплення контролю оператор бачить буквально все. Читає SMS, електронні листи, чати в Signal, WhatsApp, Telegram — навіть зашифровані end-to-end, бо перехоплює їх до шифрування. Реєструє VoIP-розмови в реальному часі, записує оточення мікрофоном, робить фото передньою й задньою камерами.

Додатково: доступ до галереї, контактів, календаря, історії перегляду, збережених паролів і файлів у хмарі. Відстежує місце розташування з точністю до кількох метрів, навіть при вимкненому GPS (через тріангуляцію вишок і Wi-Fi). Відкликані повідомлення? Pegasus зберіг їх раніше. Видалені фото? Вони також у його базі.

Інструмент навіть імітує нормальну поведінку телефону, щоб не викликати підозр: батарея не розряджається швидше, процесор не перегрівається. Це рівень, коли звичайний користувач почувається абсолютно беззахисним.

Pegasus у польському контексті — від закупівлі до обвинувачень 2026 року

В Україні тема набула широкого розголосу 2021 року, коли стало відомо про закупівлю системи польськими спецслужбами. За даними Citizen Lab, активність Pegasus у польських мережах фіксували ще 2017 року. Серед жертв — Роман Гєртих, Ева Вжосек, Кшиштоф Брейза та загалом сотні людей у 2017–2022 роках.

2025 року з’явилися аудіозаписи 2019 року, нібито зроблені Pegasus під час політичних зустрічей. У лютому 2026 року прокуратура висунула обвинувачення колишнім керівникам ABW і SKW за невиконання обов’язків — зокрема відсутність акредитації безпеки та ризик витоку таємної інформації. Справа яскраво продемонструвала, як інструмент, призначений для боротьби зі злочинністю, став предметом гострих дебатів про межі стеження.

Як виявити Pegasus і реальні способи захисту

Виявити його непросто, адже Pegasus не залишає очевидних слідів. Найефективніші методи:

  1. використання Mobile Verification Toolkit (MVT) від Amnesty International — аналізує резервні копії iOS або Android;
  2. перевірка файлу shutdown.log на iOS (метод Kaspersky 2024 року — працює лише після перезавантаження в день інфекції);
  3. спостереження за нетиповою поведінкою: раптове споживання батареї, дивне нагрівання, несподівані перезавантаження.

Профілактика краща за лікування. Оновлюйте систему та застосунки відразу після виходу патчів — Apple і Google випускають їх саме проти таких загроз. Уникайте підозрілих посилань, вимкніть iMessage і FaceTime, якщо не користуєтеся, увімкніть Lockdown Mode на iOS. Використовуйте Signal або WhatsApp з перевіркою ключів і не під’єднуйтеся до публічних Wi-Fi без VPN.

Для вразливих категорій (журналісти, активісти, політики) варто мати «одноразовий» телефон для чутливих контактів. Pegasus дорогий і застосовується вибірково — він не атакує мільйони, а лише конкретні цілі.

Майбутнє Pegasus і уроки на 2026 рік

Попри судові процеси, заборони на експорт і патчі Pegasus не зникне. NSO продовжує розвиватися, а схожі інструменти з’являються в інших гравців. 2025 року код, подібний до Pegasus, виявили в руках груп, пов’язаних із Росією, — це підтверджує, що створена зброя поширюється як вірус.

Для звичайного користувача головне зрозуміти: смартфон — це не просто засіб зв’язку, а вікно в усе ваше життя. Pegasus демонструє, наскільки тонка межа між захистом і зловживанням. Обізнаність і регулярні оновлення — найкраща зброя, яка в нас є. Технології біжать уперед, але ми, користувачі, можемо навчитися бігти швидше й розумніше.

Leave a Reply

Your email address will not be published. Required fields are marked *