Proyecto Pegasus: el software espía israelí, que se reveló que se utilizó para atacar cientos de teléfonos en la India, se ha vuelto menos dependiente de los clics. Pegasus puede infectar un dispositivo sin la participación o el conocimiento del objetivo.
¿QUÉ ES PEGASUS?
En noviembre de 2019, un reportero de tecnología de la ciudad de Nueva York fotografió un dispositivo de interceptación exhibido en Milipol, una feria comercial sobre seguridad nacional en París.
El expositor, NSO Group, colocó el hardware en la parte trasera de una camioneta, tal vez sugiriendo la conveniencia de la portabilidad, y dijo que no funcionaría en números de teléfono de EE. UU., Posiblemente debido a una restricción autoimpuesta por la empresa.
Desde que se fundó el cibergigante israelí en 2010, esa fue probablemente la primera vez que se presentó una estación transceptora base portátil (BTS) fabricada por NSO en un informe de los medios.
Un BTS, o «torre celular deshonesta» o «IMSI Catcher» o «mantarraya», se hace pasar por torres celulares legítimas y obliga a los teléfonos móviles dentro de un radio a conectarse a ellas, de modo que el tráfico interceptado pueda ser manipulado por un atacante.
El BTS fotografiado en 2019 estaba compuesto por tarjetas apiladas horizontalmente, lo que probablemente permitiría la interceptación en múltiples bandas de frecuencia.
La otra opción es aprovechar el acceso al propio operador de telefonía móvil del objetivo. En ese escenario, un atacante no necesitaría ninguna torre celular deshonesta, sino que dependería de la infraestructura de red habitual para su manipulación.
De cualquier manera, la capacidad de lanzar ataques de ‘inyección de red’, realizados de forma remota sin el compromiso del objetivo (por lo tanto, también llamado cero clic) o conocimiento, le dio a Pegasus, el producto insignia de NSO Group, una ventaja única sobre sus competidores en el mercado global de software espía. .
Pegasus se encuentra ahora en el centro de un proyecto de investigación colaborativo global que ha descubierto que el software espía se utilizó para apuntar, entre otros, a cientos de teléfonos móviles en la India.
¿EN QUÉ SE DIFERENCIA PEGASUS DE OTROS PROGRAMAS ESPÍA?
Pegasus, también conocido como Q Suite, comercializado por NSO Group, también conocido como Q Cyber Technologies, como «una solución de inteligencia cibernética líder en el mundo que permite a las agencias policiales y de inteligencia extraer» datos «de forma remota y encubierta» de prácticamente cualquier dispositivo móvil», fue desarrollado por veteranos de Agencias de inteligencia israelíes.
Hasta principios de 2018, los clientes de NSO Group confiaban principalmente en los mensajes SMS y WhatsApp para engañar a los objetivos para que abrieran un enlace malicioso, lo que conduciría a la infección de sus dispositivos móviles.
Un folleto de Pegasus describió esto como Mensaje mejorado de ingeniería social (ESEM). Cuando se hace clic en un enlace malicioso empaquetado como ESEM, el teléfono se dirige a un servidor que verifica el sistema operativo y entrega el exploit remoto adecuado.
En su informe de octubre de 2019, Amnistía Internacional documentó por primera vez el uso de «inyecciones de red» que permitían a los atacantes instalar el software espía «sin requerir ninguna interacción por parte del objetivo».
Pegasus puede lograr tales instalaciones sin hacer clic de varias maneras. Una opción por aire (OTA) es enviar un mensaje push de forma encubierta que hace que el dispositivo de destino cargue el software espía, sin que el objetivo sea consciente de la instalación sobre la que, de todos modos, no tiene control.
Esto, presume un folleto de Pegasus, es “la singularidad de NSO, que diferencia significativamente la solución de Pegasus” de cualquier otro software espía disponible en el mercado.
¿QUÉ TIPO DE DISPOSITIVOS SON VULNERABLES?
Todos los dispositivos, prácticamente. Los iPhones han sido ampliamente dirigidos a Pegasus a través de la aplicación iMessage predeterminada de Apple y el protocolo del Servicio de notificaciones push (APN) en el que se basa.
El software espía puede hacerse pasar por una aplicación descargada en un iPhone y transmitirse como notificaciones automáticas a través de los servidores de Apple.
En agosto de 2016, Citizen Lab, un laboratorio interdisciplinario con sede en la Universidad de Toronto, informó la existencia de Pegasus a la firma de seguridad cibernética Lookout, y los dos señalaron la amenaza para Apple. En abril de 2017, Lookout y Google publicaron detalles sobre una versión de Android de Pegasus.
En octubre de 2019, WhatsApp culpó al Grupo NSO por explotar una vulnerabilidad en su función de videollamadas.
En diciembre de 2020, un informe de Citizen Lab señaló cómo los agentes del gobierno utilizaron a Pegasus para piratear 37 teléfonos pertenecientes a periodistas, productores, presentadores y ejecutivos de Al Jazeera y Al Araby TV, con sede en Londres, durante julio-agosto de 2020, explotando un día cero (una vulnerabilidad desconocida para los desarrolladores) contra al menos iOS 13.5.1 que podría piratear el último iPhone 11 de Apple.
Si bien el ataque no funcionó contra iOS 14 y superior, el informe dijo que las infecciones que observó fueron probablemente una fracción minúscula del total de ataques, dada la propagación global de la base de clientes del Grupo NSO y la aparente vulnerabilidad de casi todos los dispositivos iPhone antes de la actualización de iOS 14.
¿EL SOFTWARE ESPÍA SIEMPRE ENTRA EN CUALQUIER DISPOSITIVO AL QUE APUNTA?
Por lo general, un atacante necesita alimentar el sistema Pegasus solo con el número de teléfono objetivo para una inyección de red. “El resto lo hace automáticamente el sistema”, dice un folleto de Pegasus, y el software espía se instala en la mayoría de los casos.
Sin embargo, en algunos casos, es posible que las inyecciones de red no funcionen. Por ejemplo, la instalación remota falla cuando el dispositivo de destino no es compatible con el sistema NSO o su sistema operativo se actualiza con nuevas protecciones de seguridad.
