2021-07-21
Por: Paul Aguilar
Desde las primeras revelaciones en 2015 sobre la empresa israelí NSO Group y el uso de su software espía Pegasus por parte de gobiernos alrededor del mundo, han habido una serie de investigaciones y análisis que han permitido conocer más sobre Pegasus, cómo funciona y sus características.
Entre los análisis más recientes está el reporte forense realizado por Amnistía Internacional (y revisado por Citizen Lab) en el cual comparten sus últimos hallazgos sobre el uso de esta herramienta. Basados en ellos, te contamos aspectos técnicos claves para entender cómo funciona este software espía.
Te recomendamos leer también: 10 preguntas y respuestas sobre Pegasus.
El domingo 18 de julio de 2021, Forbidden Stories publicó la investigación "Pegasus Project", una colaboración con 17 medios y organizaciones alrededor del mundo. En ella se menciona que tuvo acceso a una filtración de 50,000 números telefónicos de personas que pudieron ser potenciales víctimas de NSO Group desde 2016 a la fecha. De estos 50,000 números telefónicos, 15,000 pertenecen a números mexicanos.
El equipo de investigación de Pegasus Project se puso en contacto con NSO Group para conocer qué tenían que decir al respecto de la investigación. La empresa israelí negó las afirmaciones hechas en el informe Pegasus Project. Sobre la filtración de números, indicó que se trataban de “interpretaciones erróneas sobre los datos filtrados de información básica, accesible y abierta, como los servicios HLR Lookup, que no tienen ninguna relación con la lista de los objetivos de los clientes de Pegasus o de cualquier otro producto de NSO”.
En otras palabras, NSO Group indica que esos números telefónicos se pudieron haber obtenido de cualquier proveedor de telefonía y que no están relacionados a ellos. NSO Group argumenta que estos datos se pueden llegar a obtener de distintas maneras, ya que un servicio HLR (Home Location Register) es utilizado por los proveedores de telefonía móvil para gestionar las conexiones entre dispositivos y antenas de redes 2G/3G.
Sin embargo, NSO Group tiene acceso a tecnología para intervención de líneas de comunicación y telefonía, por lo que no queda descartado que la base de datos corresponda a potenciales objetivos, personas del círculo cercano de estos objetivos, e incluso a números de la misma infraestructura de los proveedores de telefonía móvil a los que pudieran estar interviniendo también.
En todo caso, de esta lista de números se identificaron distintas personas defensoras de derechos humanos, activistas, periodistas, académicos y políticos, de las cuales Amnistía Internacional contactó a 67 para realizar pruebas forenses en sus dispositivos móviles.
De estos 67: 23 dispositivos resultaron infectados, 14 con intentos de infección, y 30 dieron resultados negativos. Esto, sumado a las listas publicadas por Citizen Lab, las cuales incluyen personas confirmadas de infección con el malware Pegasus en otros años.
Desde las filtraciones de 2015 (revisa las páginas 12 y 13), se sabe que NSO Group operaba mediante 4 tipos de ataque:
Durante las primeras apariciones de Pegasus, se documentó exitosamente que la mayoría de los ataques eran del tipo ESEM, donde se utilizaban SMS personalizados con ingeniería social y que contenían enlaces maliciosos a través de los cuales se descargaba e instalaba el malware.
Posteriormente, se ha visto una evolución en los ataques, y el uso de SMS y enlaces maliciosos ha disminuido. En los últimos análisis se verifica que ahora se utilizan ataques OTA, Tactical Network Element o el abuso de vulnerabilidades 0-day, los cuales se les denomina zero-click ya que no requieren de la interacción de la víctima en ningún momento.
Los ataques de NSO Group han sido efectivos ya que se aprovechan de vulnerabilidades de tipo 0-day. Una característica de estas vulnerabilidades es que son desconocidas por quienes desarrollan el software (sistemas y aplicaciones) o fabrican el hardware (teléfonos), o por otros especialistas de seguridad, y generalmente solo los atacantes las conocen.
Algunas de las aplicaciones que han sido utilizadas en los ataques se encuentran:
Si bien el listado de aplicaciones anteriores pertenece al ecosistema de iOS —y la mayoría de los análisis forenses que se han desarrollado también pertenecen a iPhones—, esto no significa que iOS o iPhone sea menos seguro. Esto se debe a que este sistema almacena mayor información útil para un análisis forense que Android, por lo que recabar información en esta plataforma ha sido más sencillo en comparación con Android.
Hasta el momento (en que se escribió esta sección del texto, julio 2021) se identifica que la infraestructura de NSO Group se encuentra en su cuarta iteración, y que se ha ido sofisticando con el tiempo.
Amnistía Internacional identifica los siguientes elementos en la infraestructura de NSO Group:
De acuerdo al reporte iPwn de Citizen Lab, desde inicios de 2021 la versión de ese momento de la infraestructura de NSO Group parece haberse ido “apagando poco a poco”, lo que significa que apagan los servidores, borran los dominios y cierran las conexiones que utilizan. Aunque en el último reporte de Amnistía Internacional (Julio de 2020) esa infraestructura siguia pareciendo activa.
También se ha observado que NSO Group ha comenzado a utilizar servicios de alojamiento en la nube cómo los de Amazon CloudFront (73 servidores), Digital Ocean (142 servidores) o Linode (114 servidores), esta práctica hace más difícil su detección.
La mayoría de los servidores utilizados de estas compañías se encuentran en la región europea, siendo Alemania (212 servidores), Reino Unido (79 servidores), Suiza (36 servidores) y Francia (35 servidores) los lugares con mayor cantidad de servidores, seguidos por Estados Unidos (28 servidores).
Para conocer el listado de dominios y direcciones IP identificadas en esta cuarta versión de la infraestructura de NSO Group, te recomendamos revisar los IoC que liberó Amnistía Internacional en su GitHub.
Si ofreces apoyo de seguridad digital a activistas y periodistas a través de alguna organización o colectivo, o lo haces de manera individual, puedes revisar la herramienta Mobile Verification Toolkit (MVT), liberada por Amnistía Internacional para realizar revisiones de dispositivos móviles con sospecha de infección por Pegasus. Esta herramienta se ha ido desarrollando desde 2018 y forma parte del proceso de análisis de Amnistía.
Inagen: https://github.com/mvt-project/mvt/blob/main/docs/mvt.png
La MVT puede analizar respaldos de iOS generados desde iTunes o Finder en una Mac, o respaldos completos del sistema (para esto se requiere hacer Jailbreak al dispositivo). En cuanto a Android puede buscar en el historial de SMS enlaces sospechosos, y ejecutar un análisis en las aplicaciones instaladas.
En todos los casos los elementos a utilizar como referencia son los disponibles en los IoCs liberados por Amnistía.
Esta herramienta por el momento no cuenta con una interfaz gráfica, por lo que se requiere utilizar mediante la línea de comandos en un equipo con GNU/Linux o Mac OS.
Para mayor información, puedes revisar su documentación.
En caso de utilizar la herramienta y encontrar indicios de infección te recomendamos contactar al equipo de Amnistía Internacional para corroborar la información, o contactarnos directamente a SocialTIC y a organizaciones como R3D, Artículo 19 o Citizen Lab en caso de requerir apoyo o vinculación.
Los esquemas de infección de Pegasus se pueden agrupar en tres tipos:
Para prevenir ataques de infección, aquí algunas recomendaciones de seguridad digital:
Recuerda, estas recomendaciones son preventivas y lo que buscan es minimizar el éxito del ataque. Para más recomendaciones de seguridad y privacidad digital, visita www.protege.la
Si sospechas que pudieras estar intervenido por Pegasus o algún otro malware, acude con tu equipo técnico o de seguridad de confianza para verificarlo.
Comentarios