Mal uso del Spyware Pegasus genera conflictos a nivel mundial

08 Octubre 2021
Alto

Organizaciones internacionales han denunciado el uso malicioso del software espía desarrollado para gobiernos por NSO Group, conocido como Pegasus, acusándolo de que sus productos se han utilizado indebidamente, y tal vez voluntariamente. Además, se ha detectado una campaña para engañar a víctimas para que descarguen el software que promete detectar a Pegasus, ofrecido originalmente por Amnistía Internacional, pero que en realidad despliega malware.

Pegasus

Pegasus es un software de ciberespionaje para dispositivos móviles, completamente legal, desarrollado por la empresa privada Israelí “NSO Group” fundada en 2010 y cuya intención original era ser adquirido únicamente por entidades gubernamentales responsables de todo el mundo.

Este software se aprovecha de vulnerabilidades desconocidas para los fabricantes permitiendo la intrusión a teléfonos Android y iPhone sin involucrar la interacción del usuario con un comportamiento casi indetectable para sus víctimas.

Este SpyWare ha sido desarrollado con la premisa clara de ser usado para “detectar y prevenir el terrorismo y crimen” a lo largo del mundo, vinculando aproximadamente 40 agencias gubernamentales como poseedores de la herramienta que mantenían un uso que no correspondería con el ofrecido por la compañía.

Acusaciones de Amnistía internacional

Amnistía Internacional ha hecho constantes denuncias públicas desde 2016 a la fecha, luego de asesorar una investigación denominada “The Pegasus Project” dirigida por Forbidden Stories, la cual dio cuenta de un listado de cerca de 50.000 números telefónicos potencialmente comprometidos por ciberespionaje y que entre los afectados por esta herramienta se encontraban figuras públicas de áreas como:

  • Activistas sociales
  • Activistas medioambientales
  • Defensores de DD.HH
  • Periodistas
  • Líderes empresariales
  • Ministros
  • Políticos de oposiciones
  • Diplomáticos
  • Integrantes de familias de la realeza árabe
  • Entre otros.

Si bien este hecho es altamente polémico y cuenta con amplia evidencia de su uso irregular, desde NSO Group aseguran que «bajo ninguna circunstancia utiliza su tecnología para espiar a personas u organizaciones, ya que ésta solo es operada por agencias de inteligencia y de aplicación de la ley», palabras altamente cuestionadas ya que se les señala como responsables de permitirlo a sabiendas de que este uso no correspondía a su declaración original.

NSO Group y Pegasus

Pese al descubrimiento de su software por un uso incorrecto, esta organización ha generado gran impacto y atención mediática debido a la alta capacidad tecnológica y de desarrollo presentada por la compañía sorprendiendo inclusive a los fabricantes de teléfonos móviles al incorporar vulnerabilidades Zero-Day y Zero-Click para el despliegue de su Spyware y acceder a teléfonos móviles de sus víctimas.

  • Zero-day: corresponde a vulnerabilidades que el fabricante aún no ha identificado y permanecen ahí desde la primera versión del software.
  • Zero-Click: corresponde a vulnerabilidades en donde no es necesario que la víctima interactúe con alguna técnica de ingeniería social (ej: malspam) para permitir al atacante explotar la vulnerabilidad.

Otra característica importante es el diseño de ataque tanto para iOS y Android, en que para ambos los rastros dejados son mínimos, dificultando en gran medida la detección del spyware.

Para esta tarea fue necesario el apoyo de un equipo especialista de Amnistía Internacional que colaboró con el análisis forense de dispositivos vulnerados para la toma de evidencias que permitieron vincularlo con su distribuidor.

Modus Operandi

Pegasus dentro de su versatilidad permite acceder a teléfonos móviles mediante el envío de mensajes a iMessage, SMS, WhatsApp, entre otros. Una vez recibido el mensaje no es necesaria la acción del usuario para que se ejecute automáticamente la descarga del spyware que es capaz de extraer:

  • Mensajes
  • Fotografías
  • E-mails
  • Localizaciones
  • Activar micrófono
  • Activar Cámara 

De la evidencia obtenida se conoce que el fabricante de iPhone lanzó parches de seguridad que permiten solucionar las vulnerabilidades Zero-Day explotadas por Pegasus (CVE-2021-30860 y CVE-2021-30858) incluidas desde la versión 14.8, ya que de momento no se conocen otras vulnerabilidades.

Por otra parte, se conoce que desde Facebook quisieron comprar la herramienta, pero ante la negativa de NSO Group por su regla de únicamente para entes gubernamentales, el mismo Facebook mediante WhatsApp, presentó una demanda contra la compañía Israelí por la explotación de su vulnerabilidad, la propagación del malware y espionaje a cerca de 1500 usuarios detectados por la misma compañía.

Actividad de Pegasus

Hasta el momento si bien no es posible adquirirlo legítimamente por privados o civiles, existen disponibles en internet múltiples códigos fuentes de gente que ha trabajado las evidencias pudiendo hacerlas útiles o inclusive decompilando el código hallado para hacerlo funcional y sin restricciones pudiendo ser usado por todo aquel que con los conocimientos suficientes pueda ponerlo en marcha. 

Este hecho es alarmante debido a que hasta en manos de entidades gubernamentales se ha mal utilizado, esto pudiese elevarse aún más el riesgo cuando se realiza sin restricciones o supervisiones en manos de ciberactores o estados nación.

Según información entregada por amnistía internacional, cada vez que se genera una liberación de indicadores de compromiso de la herramienta, esta sufre una caída en su utilización, resurgiendo rápidamente con indicadores similares pero renovados, como se aprecia en la gráfica a continuación.

Para el último tramo correspondiente a 2021, se puede observar que existe una constante disminución de sus vectores de ataque, lo cual estaría asociado a la migración de sus servicios a la nube de Digital Ocean, Linode y Amazon haciéndose mucho más difícil su detección debido a que se limitan los escaneos realizados hacia su infraestructura y ésta a su vez es utilizada en conjunto a múltiples proveedores de servicios alojados en una misma IP dificultando su bloqueo.

Herramienta compartida por Amnistía Internacional

Actualmente existe una herramienta compartida por Amnistía Internacional consistente en un kit de software que permite ejecutar un análisis a los dispositivos móviles en busca de evidencias que puedan advertir sobre una intrusión de Pegasus en el pasado o en el presente.

Lamentablemente en base a la conmoción generada, se han detectado campañas que han utilizado esta situación para engañar a víctimas convenciéndolas de que están descargando una protección contra el software espía Pegasus de NSO Group, lo que en realidad sería un malware tipo troyano.

Tras largos años de investigación y continuo seguimiento por parte de investigadores, demuestran que desde NSO Group no existe intenciones de detener el uso de su SpyWare pese a las grandes implicancias que ha tenido en la seguridad digital mundial y su ya demostrado uso fuera de los márgenes auto establecidos por la compañía. Pese a que desde la organización creadora de Pegasus niegan rotundamente esta situación irregular, existen evidencias suficientes para vincularlos con las acusaciones.

Relacionado con lo anterior existen indicios de su uso por ciberactores que han logrado tener acceso al software, permitiendo que se extienda y vuelva aún más peligrosa. Ejemplo de esto es el conocido caso de EternalBlue filtrado desde la NSA por ShadowBrokers, que desencadenó en el Ransomware WannaCry.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Malware #Pegasus #Phishing #NSO Group #SpyWare


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.