El spyware Pegasus vuelve a la carga

Se han filtrado más de 50.000 números de teléfonos de periodistas, empresarios y políticos que han sido objetivos del spyware Pegasus.

Pegasus es el nombre de uno de los software de espionaje o spyware más potentes para dispositivos iOS y Android. Algunas de las funcionalidades que se le atribuyen incluyen la copia de mensajes enviados y recibidos, recopilación de imágenes de la galería o grabación de llamadas. Asímismo, cuenta con acceso a la cámara y al micrófono del smartphone comprometido.

Esquema de vectores de ataque y accesos de Pegasus. Fuente: The Guardian
Desde la empresa desarrolladora del spyware, NSO Group, mantienen que la finalidad de Pegasus está orientada a objetivos criminales y terroristas. Sin embargo; recientemente el malware tiene como finalidad espiar a periodistas, activistas, empresarios y políticos según la filtración de 50.000 números de teléfonos de objetivos potenciales. Esta compañía israelí lleva operativa desde 2010, desarrollando malware para gobiernos y cuerpos de seguridad, aunque en anteriores posts ya hemos comentado cómo Pegasus ha sido utilizado para espiar a periodistas de Al-Jazeera.

Varios medios de comunicación, entre los que se incluyen firmas como The Washington Post o The Guardian, han aunado esfuerzos en desvelar la información sobre Pegasus, en lo que se ha conocido como Pegasus Project, coordinado por la organización periodística Forbidden Stories y con el apoyo técnico del Security Lab de Amnistía Internacional.

Mecanismos de ataque de Pegasus

Una de las múltiples técnicas utilizadas por Pegasus es el redireccionamiento a enlaces maliciosos mediante torres de telefonía móvil falsas (IMSI catcher), como publicó Security Lab en un informe de 2019 acerca del ciberataque al activista marroquí Maati Monji

Histórico de Safari (iOS) mostrando una redirección maliciosa al visitar Yahoo. Fuente: Amnistía Internacional

El sistema operativo iOS mantiene registros de los procesos y su respectivo uso de la red en dos archivos de base de datos SQLite llamados «DataUsage.sqlite» y «netusage.sqlite», que se almacenan en el dispositivo. Tanto las bases de datos de uso de red de Maati Monjib como las de otro periodista, Omar Radi, contenían registros de un proceso sospechoso llamado «bh». En el caso de Maati Monjib existen registros de ese proceso desde abril de 2018 hasta marzo de 2019. Para Omar Radi las fechas oscilan entre febrero y septiembre de 2019.

Previamente, en el año 2016, un análisis de Pegasus por Lookout mostraba cómo el malware aprovechaba una vulnerabilidad en el binario JavaScriptCore (jsc) para lograr ejecución de código dispositivos iOS. Esta vulnerabilidad se utilizaba para mantener persistencia tras el reinicio del dispositivo. En el código se encuentran varias referencias a «bh».

var compressed_bh_addr = shellcode_addr_aligned + shellcode32.byteLength;

replacePEMagics(shellcode32, dlsym_addr, compressed_bh_addr, bundle.bhCompressedByteLength);

storeU32Array(shellcode32, shellcode_addr);

storeU32Array(bundle.bhCompressed32, compressed_bh_addr);
Un fichero de configuración localizado en la ruta /var/tmp/jb_cfg se lanza junto al binario. Este fichero se exporta como _kBridgeHeadConfigurationFilePath, de lo que se asume que «bh» puede significar «BridgeHead». Este módulo era el encargado de preparar el dispositivo para la infección completa de Pegasus, ya que utilizaba funciones como BZ2_bzDecompress, chmod y malloc.

Indicadores de compromiso

Amnistía Internacional ha lanzado una herramienta, llamada Mobile Verification Toolkit (MVT), que ayuda a identificar si un dispositivo ha sido comprometido por el spyware. Además, ha recopilado en un repositorio de GitHub distintos indicadores de compromiso (IOC), entre los que se incluyen:

Listados de dominios utilizados por las distintas versiones de Pegasus.
Listado de cuentas de iCloud utilizadas para explotar vulnerabilidades de día cero en iMessage y otras aplicaciones de Apple.
Listado de ficheros sospechosos.
Fichero STIX que contiene los IOCs que pueden ser utilizados con Mobile Verification Toolkit.
Listado de nombres de procesos relacionados con Pegasus que han sido identificados en teléfonos comprometidos

Ver información original al respecto en Fuente>