Por: Paul Aguilar

Desde las primeras revelaciones en 2015 sobre la empresa israelí NSO Group y el uso de su software espía Pegasus por parte de gobiernos alrededor del mundo, han habido una serie de investigaciones y análisis que han permitido conocer más sobre Pegasus, cómo funciona y sus características.

Entre los análisis más recientes está el reporte forense realizado por Amnistía Internacional (y revisado por Citizen Lab) en el cual comparten sus últimos hallazgos sobre el uso de esta herramienta. Basados en ellos, te contamos aspectos técnicos claves para entender cómo funciona este software espía.

Te recomendamos leer también: 10 preguntas y respuestas sobre Pegasus.

Filtración de datos: 50 mil números telefónicos

El domingo 18 de julio de 2021, Forbidden Stories publicó la investigación "Pegasus Project",  una colaboración con 17 medios y organizaciones alrededor del mundo. En ella se menciona que tuvo acceso a una filtración de 50,000 números telefónicos de personas que pudieron ser potenciales víctimas de NSO Group desde 2016 a la fecha. De estos 50,000 números telefónicos, 15,000 pertenecen a números mexicanos.

El equipo de investigación de Pegasus Project se puso en contacto con NSO Group para conocer qué tenían que decir al respecto de la investigación. La empresa israelí negó las afirmaciones hechas en el informe Pegasus Project. Sobre la filtración de números, indicó que se trataban de “interpretaciones erróneas sobre los datos filtrados de información básica, accesible y abierta, como los servicios HLR Lookup, que no tienen ninguna relación con la lista de los objetivos de los clientes de Pegasus o de cualquier otro producto de NSO”.

En otras palabras, NSO Group indica que esos números telefónicos se pudieron haber obtenido de cualquier proveedor de telefonía y que no están relacionados a ellos. NSO Group argumenta que estos datos se pueden llegar a obtener de distintas maneras, ya que un servicio HLR (Home Location Register) es utilizado por los proveedores de telefonía móvil para gestionar las conexiones entre dispositivos y antenas de redes 2G/3G. 

Sin embargo, NSO Group tiene acceso a tecnología para intervención de líneas de comunicación y telefonía, por lo que no queda descartado que la base de datos corresponda a potenciales objetivos, personas del círculo cercano de estos objetivos, e incluso a números de la misma infraestructura de los proveedores de telefonía móvil a los que pudieran estar interviniendo también.

En todo caso, de esta lista de números se identificaron distintas personas defensoras de derechos humanos, activistas, periodistas, académicos y políticos, de las cuales Amnistía Internacional contactó a 67 para realizar pruebas forenses en sus dispositivos móviles. 

De estos 67: 23 dispositivos resultaron infectados, 14 con intentos de infección, y 30 dieron resultados negativos. Esto, sumado a las listas publicadas por Citizen Lab, las cuales incluyen personas confirmadas de infección con el malware Pegasus en otros años.

Vectores de ataque: de enlaces maliciosos al zero-click

Desde las filtraciones de 2015 (revisa las páginas 12 y 13), se sabe que NSO Group operaba mediante 4 tipos de ataque:

• Over-the-Air (OTA): basada en notificaciones push, con las cuales básicamente inducen que un servicio/servidor incite al dispositivo a realizar una acción—en este caso, la descarga del malware— sin interacción por parte de la víctima con algún enlace o archivo malicioso.
• Enhanced Social Engineering Message (ESEM): se utiliza ingeniería social para enviar enlaces maliciosos a través de SMS o correos electrónicos. Estos enlaces se encargan de descargar e instalar el malware.
• Tactical Network Element: basada en la intervención de líneas de comunicación como son las de Internet o de datos móviles. Con esto pueden monitorear y modificar el tráfico de red de la víctima para poder generar la descarga e instalación del malware.
• Instalación física: con la cual directamente al tener acceso físico al dispositivo se puede instalar el malware en cuestión de minutos.

Durante las primeras apariciones de Pegasus, se documentó exitosamente que la mayoría de los ataques eran del tipo ESEM, donde se utilizaban SMS personalizados con ingeniería social y que contenían enlaces maliciosos a través de los cuales se descargaba e instalaba el malware.

Posteriormente, se ha visto una evolución en los ataques, y el uso de SMS y enlaces maliciosos ha disminuido. En los últimos análisis se verifica que ahora se utilizan ataques OTA, Tactical Network Element o el abuso de vulnerabilidades 0-day, los cuales se les denomina zero-click ya que no requieren de la interacción de la víctima en ningún momento.

Imagen: https://neu-cdn-amnesty-org-prd.azureedge.net/cache/2/b/4/b/6/c/2b4b6c12b7ab363cbf04e46a9a6d544fcdc09882.jpg

Fuente: https://www.amnesty.org/en/latest/research/2020/06/moroccan-journalist-targeted-with-network-injection-attacks-using-nso-groups-tools/

Vulnerabilidades 0-day

Los ataques de NSO Group han sido efectivos ya que se aprovechan de vulnerabilidades de tipo 0-day. Una característica de estas vulnerabilidades es que son desconocidas por quienes desarrollan el software (sistemas y aplicaciones) o fabrican el hardware (teléfonos), o por otros especialistas de seguridad, y generalmente solo los atacantes las conocen.

Algunas de las aplicaciones que han sido utilizadas en los ataques se encuentran:

• WhatsApp
• Navegadores web
• iOS Photos
• Photostream
• iMessage
• FaceTime
• Apple Music

Si bien el listado de aplicaciones anteriores pertenece al ecosistema de iOS —y la mayoría de los análisis forenses que se han desarrollado también pertenecen a iPhones—, esto no significa que iOS o iPhone sea menos seguro. Esto se debe a que este sistema almacena mayor información útil para un análisis forense que Android, por lo que recabar información en esta plataforma ha sido más sencillo en comparación con Android.

Evolución de la infraestructura de NSO group

Hasta el momento (en que se escribió esta sección del texto, julio 2021) se identifica que la infraestructura de NSO Group se encuentra en su cuarta iteración, y que se ha ido sofisticando con el tiempo.

Amnistía Internacional identifica los siguientes elementos en la infraestructura de NSO Group:

• Servidor de validación: donde llega la primera solicitud para identificar a la víctima y comenzar el ataque.
• Servidor DNS de infección: una vez validada la solicitud de infección en el servidor anterior, éste se redirige al servidor donde se encuentra el malware. Básicamente es un intermediario y protector del servidor donde está el malware, evitando que el servidor del malware sea encontrado.
• Servidor de instalación de Pegasus: aquí se encuentra el malware, el cual es entregado a través de la “Pegasus Anonymizing Transmission Network” o “Red de Transmisión Anonimizadora de Pegasus”, la cual sigue protegiendo a este servidor y se componen de los dos servidores anteriores y otros más para seguir rebotando la información entre ellos a modo de proxy.
• Servidor de Control y Comando: desde aquí se envían comandos de control al malware, y se recibe la información reportada al atacante. En su versiones recientes se ha confirmado que NSO Group utiliza un dominio para el sistema de control y otro para el sistema de comando.

Imagen: https://neu-cdn-amnesty-org-prd.azureedge.net/cache/6/4/e/3/e/a/64e3eaaba161df99e9092464bab28cfd12862e76.jpg

Fuente: https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

De acuerdo al reporte iPwn de Citizen Lab, desde inicios de 2021 la versión de ese momento de la infraestructura de NSO Group parece haberse ido “apagando poco a poco”, lo que significa que apagan los servidores, borran los dominios y cierran las conexiones que utilizan. Aunque en el último reporte de Amnistía Internacional (Julio de 2020) esa infraestructura siguia pareciendo activa.

También se ha observado que NSO Group ha comenzado a utilizar servicios de alojamiento en la nube cómo los de Amazon CloudFront (73 servidores), Digital Ocean (142 servidores) o  Linode (114 servidores), esta práctica hace más difícil su detección.

La mayoría de los servidores utilizados de estas compañías se encuentran en la región europea, siendo Alemania (212 servidores), Reino Unido (79 servidores), Suiza (36 servidores) y Francia (35 servidores) los lugares con mayor cantidad de servidores, seguidos por Estados Unidos (28 servidores).

Para conocer el listado de dominios y direcciones IP identificadas en esta cuarta versión de la infraestructura de NSO Group, te recomendamos revisar los IoC que liberó Amnistía Internacional en su GitHub.

Herramienta de análisis: Mobile Verification Toolkit

Si ofreces apoyo de seguridad digital a activistas y periodistas a través de alguna organización o colectivo, o lo haces de manera individual, puedes revisar la herramienta Mobile Verification Toolkit (MVT), liberada por Amnistía Internacional para realizar revisiones de dispositivos móviles con sospecha de infección por Pegasus. Esta herramienta se ha ido desarrollando desde 2018 y forma parte del proceso de análisis de Amnistía.

Inagen: https://github.com/mvt-project/mvt/blob/main/docs/mvt.png 

La MVT puede analizar respaldos de iOS generados desde iTunes o Finder en una Mac, o respaldos completos del sistema (para esto se requiere hacer Jailbreak al dispositivo). En cuanto a Android puede buscar en el historial de SMS enlaces sospechosos, y ejecutar un análisis en las aplicaciones instaladas. 

En todos los casos los elementos a utilizar como referencia son los disponibles en los IoCs liberados por Amnistía.

Esta herramienta por el momento no cuenta con una interfaz gráfica, por lo que se requiere utilizar mediante la línea de comandos en un equipo con GNU/Linux o Mac OS.

Para mayor información, puedes revisar su documentación.

En caso de utilizar la herramienta y encontrar indicios de infección te recomendamos contactar al equipo de Amnistía Internacional para corroborar la información, o contactarnos directamente a SocialTIC y a organizaciones como R3D, Artículo 19 o Citizen Lab en caso de requerir apoyo o vinculación.

Recomendaciones finales para prevenir ataques de infección

Los esquemas de infección de Pegasus se pueden agrupar en tres tipos:

1. Por interacción o manipulación física del dispositivo
2. Por interacción con un enlace malicioso
3. Las zero-click, que no requieren ningún tipo de interacción por parte de la persona usuaria

Para prevenir ataques de infección, aquí algunas recomendaciones de seguridad digital:

1. La infección por interacción o manipulación física del dispositivo requiere que una persona interactúe con tu dispositivo e instale el malware.
   1. Acciones de prevención: Recuerda utilizar contraseña de acceso en tus dispositivos y activar el cifrado en estos. Y si te encuentras en espacios físicos que representan una amenaza, toma medidas físicas para evitar el acceso a tu dispositivo.
2. La infección por enlace malicioso requiere que hagas click en un enlace que descarga el malware y lo instala en tu dispositivo
   1. Acciones de prevención: Verifica siempre quién envía el enlace, y que este sea verídico. Comprueba la fuente y la información antes de hacer click. Puedes escribir a seguridad@socialtic.org si necesitas ayuda para ello.
3. La infección por zero-click tiene distintas formas de ejecución, las dos más comunes son modificar el tráfico de Internet de la persona para inyectar tráfico malicioso que permite infectar el dispositivo, y abusando de vulnerabilidad 0-day.
   1. Acciones de prevención: Para esto recuerda visitar sitios que utilizan HTTPS, utilizar algún proxy como una VPN o Tor para cifrar tus conexiones, y mantener actualizado tus sistema operativo y tus aplicaciones.

Recuerda, estas recomendaciones son preventivas y lo que buscan es minimizar el éxito del ataque. Para más recomendaciones de seguridad y privacidad digital, visita www.protege.la 

Si sospechas que pudieras estar intervenido por Pegasus o algún otro malware, acude con tu equipo técnico o de seguridad de confianza para verificarlo.