Explicació: com el programari espia Pegasus infecta un dispositiu; quines dades es poden veure compromeses - Desembre 2022

Projecte Pegasus: el programari espia israelià, que s'ha revelat que s'ha utilitzat per apuntar a centenars de telèfons a l'Índia, s'ha fet menys dependent dels clics. Pegasus pot infectar un dispositiu sense la implicació o el coneixement de l'objectiu.

Pegasus és el producte estrella del grup NSO (il·lustració expressa)

El novembre de 2019, un periodista tecnològic de la ciutat de Nova York va fotografiar un dispositiu d'intercepció mostrat a Milipol, una fira comercial sobre seguretat nacional a París. L'expositor, NSO Group, va col·locar el maquinari a la part posterior d'una furgoneta, potser suggerint la comoditat de la portabilitat, i va dir que no funcionaria als números de telèfon dels EUA, possiblement a causa d'una restricció autoimposada per l'empresa.



Des que el cibergegant israelià es va fundar el 2010, probablement aquesta va ser la primera vegada que una estació de transceptor base (BTS) portàtil feta per NSO apareixia en un informe dels mitjans.

Un BTS (o 'torre de mòbils canalla' o 'IMSI Catcher' o 'raia') suplanta torres cel·lulars legítimes i obliga els telèfons mòbils dins d'un radi a connectar-s'hi, de manera que el trànsit interceptat pugui ser manipulat per un atacant. El BTS fotografiat el 2019 estava format per targetes apilades horitzontalment, probablement permetrien la intercepció en diverses bandes de freqüència.





L'altra opció és aprofitar l'accés al propi operador mòbil de l'objectiu. En aquest escenari, un atacant no necessitaria cap torre de telefonia mòbil, sinó que es basaria en la infraestructura de xarxa habitual per a la seva manipulació.

De qualsevol manera, la capacitat de llançar atacs d''injecció de xarxa' es realitza de forma remota sense la participació de l'objectiu (per tant, també anomenat clic zero ) o coneixement —va donar Pegàs , el producte insígnia del grup NSO, un avantatge únic sobre els seus competidors en el mercat global del programari espia.




quant val kevin feige

Pegasus és ara al centre d'un projecte d'investigació col·laboratiu global que ha descobert que el programari espia s'utilitzava per apuntar, entre d'altres, centenars de telèfons mòbils a l'Índia .

No us perdeu| La creació de Pegasus, des de l'inici fins al líder de la tecnologia espia

En què es diferencia Pegasus d'altres programes espia?

Pegasus aka Q Suite, comercialitzat pel Grup NSO també conegut com Q Cyber ​​Technologies com una solució d'intel·ligència cibernètica líder a nivell mundial que permet a les forces de l'ordre i les agències d'intel·ligència extreure dades de forma remota i encoberta de pràcticament qualsevol dispositiu mòbil, va ser desenvolupada per veterans de les agències d'intel·ligència israelianes.



Fins a principis de 2018, els clients del grup NSO confiaven principalment en els missatges SMS i WhatsApp per enganyar els objectius perquè obríssin un enllaç maliciós, cosa que provocaria la infecció dels seus dispositius mòbils. Un fulletó de Pegasus ho descriu com a missatge d'enginyeria social millorat (ESEM). Quan es fa clic en un enllaç maliciós empaquetat com a ESEM, el telèfon es dirigeix ​​a un servidor que verifica el sistema operatiu i ofereix l'explotació remota adequada.

En el seu informe d'octubre de 2019, Amnistia Internacional va documentar per primera vegada l'ús de 'injeccions de xarxa' que permetien als atacants instal·lar el programari espia sense requerir cap interacció per part de l'objectiu. Pegasus pot aconseguir aquestes instal·lacions de clic zero de diverses maneres. Una opció a l'aire (OTA) és enviar un missatge push de manera encoberta que fa que el dispositiu objectiu carregui el programari espia, sense que l'objectiu sigui conscient de la instal·lació sobre la qual de totes maneres no té control.



Això, un fulletó de Pegasus presumeix, és la singularitat de NSO, que diferencia significativament la solució Pegasus de qualsevol altre programari espia disponible al mercat.

També llegiu|Onze telèfons dirigits: de dona que va acusar l'ex-CJI d'assetjament, familiars

Quin tipus de dispositius són vulnerables?

Tots els dispositius, pràcticament. Els iPhones s'han orientat àmpliament amb Pegasus mitjançant l'aplicació iMessage predeterminada d'Apple i el protocol Push Notification Service (APNs) en què es basa. El programari espia pot suplantar la identitat d'una aplicació baixada a un iPhone i transmetre's com a notificacions push mitjançant els servidors d'Apple.



L'agost de 2016, el Citizen Lab, un laboratori interdisciplinari amb seu a la Universitat de Toronto, va informar de l'existència de Pegasus a la firma de seguretat cibernètica Lookout, i tots dos van marcar l'amenaça per a Apple. L'abril de 2017, Lookout i Google van publicar detalls sobre una versió d'Android de Pegasus.

L'octubre de 2019, WhatsApp va culpar el grup NSO d'explotar una vulnerabilitat a la seva funció de videotrucada. Un usuari rebria el que semblava una videotrucada, però aquesta no era una trucada normal. Després de sonar el telèfon, l'atacant va transmetre secretament codi maliciós per intentar infectar el telèfon de la víctima amb programari espia. La persona ni tan sols va haver de respondre la trucada, va dir el cap de WhatsApp Will Cathcart.



El desembre de 2020, un informe de Citizen Lab va marcar com els operaris governamentals van utilitzar Pegasus per piratejar 37 telèfons de periodistes, productors, presentadors i executius d'Al Jazeera i Al Araby TV, amb seu a Londres, durant els mesos de juliol i agost de 2020, aprofitant un dia zero ( una vulnerabilitat desconeguda pels desenvolupadors) contra almenys iOS 13.5.1 que podria piratejar el darrer iPhone 11 d'Apple. Tot i que l'atac no va funcionar contra iOS 14 i superior, l'informe deia que les infeccions que va observar probablement eren una minúscula fracció del total. atacs, donada la difusió global de la base de clients del Grup NSO i l'aparent vulnerabilitat de gairebé tots els dispositius iPhone abans de l'actualització d'iOS 14.

El programari espia sempre entra a qualsevol dispositiu al qual es dirigeix?

Normalment, un atacant necessita alimentar el sistema Pegasus només el número de telèfon objectiu per a una injecció de xarxa. La resta la fa automàticament el sistema, diu un fulletó de Pegasus, i el programari espia s'instal·la en la majoria dels casos.

En alguns casos, però, és possible que les injeccions de xarxa no funcionin. Per exemple, la instal·lació remota falla quan el dispositiu de destinació no és compatible amb el sistema NSO o quan el seu sistema operatiu s'actualitza amb noves proteccions de seguretat.

Pel que sembla, una manera d'esquivar Pegasus és canviar el navegador del telèfon predeterminat. Segons un fulletó de Pegasus, el sistema no admet la instal·lació des de navegadors diferents dels predeterminats del dispositiu (i també de Chrome per a dispositius basats en Android).

En tots aquests casos, la instal·lació s'avortarà i el navegador del dispositiu de destinació mostrarà una pàgina web innòcua predeterminada perquè l'objectiu no tingui cap idea de l'intent fallit. A continuació, és probable que un atacant torni a utilitzar els esquers de clic d'ESEM. Si tot falla, diu el fulletó, Pegasus es pot injectar i instal·lar manualment en menys de cinc minuts si un atacant obté accés físic al dispositiu objectiu.

També llegiu|2019 i ara, el govern fa la pregunta clau: va comprar Pegasus?

Quina informació es pot comprometre?

Un cop infectat, un telèfon es converteix en un espia digital sota el control total de l'atacant.

Després de la instal·lació, Pegasus es posa en contacte amb els servidors de comandament i control (C&C) de l'atacant per rebre i executar instruccions i enviar les dades privades de l'objectiu, incloses les contrasenyes, llistes de contactes, esdeveniments del calendari, missatges de text i trucades de veu en directe (fins i tot aquelles a través d'extrems). -aplicacions de missatgeria xifrada final). L'atacant pot controlar la càmera i el micròfon del telèfon i utilitzar la funció GPS per rastrejar un objectiu.

Per evitar un consum extens d'ample de banda que pugui alertar un objectiu, Pegasus només envia actualitzacions programades a un servidor C&C. El programari espia està dissenyat per evadir l'anàlisi forense, evitar la detecció del programari antivirus i pot ser desactivat i eliminat per l'atacant, quan i si cal.

Quines precaucions es pot prendre?

Teòricament, una ciberhigiene astuta pot protegir contra els esquers ESEM. Però quan Pegasus explota una vulnerabilitat del sistema operatiu del telèfon, no hi ha res que pugui fer per aturar una injecció de xarxa. Pitjor encara, ni tan sols se n'adonarà tret que el dispositiu s'escanegi en un laboratori de seguretat digital.

Canviar a un telèfon arcaic que només permeti trucades i missatges bàsics, sens dubte, limitarà l'exposició de dades, però potser no reduirà significativament el risc d'infecció. A més, qualsevol dispositiu alternatiu utilitzat per a correus electrònics i aplicacions seguirà sent vulnerable tret que es deixi d'utilitzar aquests serveis essencials.

Per tant, el millor que es pot fer és mantenir-se al dia amb cada actualització del sistema operatiu i cada pegat de seguretat llançat pels fabricants de dispositius, i esperar que els atacs de dia zero siguin més rars. I si un té el pressupost, canviar els telèfons periòdicament és potser el remei més eficaç, encara que costós.

Com que el programari espia resideix al maquinari, l'atacant haurà d'infectar amb èxit el nou dispositiu cada vegada que un canviï. Això pot suposar reptes tant logístics (costos) com tècnics (actualització de seguretat). A menys que s'enfronti a recursos il·limitats, normalment associats al poder de l'estat.