Pegasus, ¿ El malware que descubrio a Jezz Bezos?

In Sin categoría by PRORED

Todo sabemos la notica del fundador y dueño de Amazon, se ha divorciado con su mujer al parecer, debido a un lío de faldas con una presentadora de informativos en la que realizaron una serie de silfies eróticos no apto para menores.

El períodico estadounidense National Enquirer se hizo con los datos del móvil de Jeff Befos. ¿Cómo es esto posible? en verdad nadie sabe como han ido a parar ahí pero según el consultor de seguridad contratdo por el propio Jeff, Gavin de Becker, llega a la conclusión que se cree que Arabia Saudí está detrás del asunto, las declaraciones de Becker dicen «el gobierno saudí ha estado muy interesado en dañar a Jeff Bezos desde octubre pasado, al igual que quiere dañar a más personas que no son afines a su régimen». Al parecer el gobierno de Arabia Saudí para acceder a estos datos a utilizado un spyware llamado Pegasus.

Pegasus, un viejo conocido

El spyware Pegasus no es nuevo, ya tiene sus años y ya es conocido por el mundo de la seguridad informática y criptográfica, en concreto la primera vez que Pegasus entró en acción fue en verado de 2016, personal de las empresas Citizen Lab y Lookout sospecharon sobre una amenza activa que utiliza vulnerabilidades de zero-day en sistemas iOS que cuando son utilizadas, crean una cadena de ataques que hacen temblar al seguro y sólido entorno de seguridad de Apple. Estas vulnerabilidades son tres en concreto y las bautizaron como «Vulnerabilidades Trident» y es importante explicar resumidamente de qué tratan:
  • CVE-2016-4655: Fuga de información en el kernel, es la vulnerabilidad de mapeo de la base del kernel que filtra información al atacante y le permite calcular la ubicación del kernel en la memoria.
  • CVE-2016-4656: La corrupción de la memoria del kernel lleva a Jailbreak, vulnerabilidades a nivel de kernel de iOS de 32 y 64 bits que permiten al atacante ejecutar un jailbreak silencioso en el dispositivo e instalar software de vigilancia.
  • CVE-2016-4657: Corrupción de la memoria en Webkit, una vulnerabilidad en Safari WebKit que permite al atacante poner en peligro el dispositivo cuando el usuario hace clic en un enlace.

El descubrimiento de estas vulnerabilidades fue posible gracias a Ahmed Mansoor, un activista emiratí que lleva 10 años en la cárcel que empezó a recibir una serie de mensajes con links maliciosos. Y tanto que lo eran. Mansoor mandó los enlaces a Citizen Lab, que detectaron que al pulsar el enlace el iPhone se infectaba con un malware que, importante, no requería que el dispositivo tuviese jailbreak.

El desarrollo de Pegasus se atribuye al grupo NSO, una empresa de origen israelí que, como señalan en Kaspersky; «Su forma de ganarse la vida es desarrollando software espía, lo que significa que se trata de un malware comercial que se vende a cualquiera que pague por él». Y esta empresa a conseguido la perfección de los spyware, Pegasus es el ataque más sofisticado que se ha visto visto, aprovecha las ventajas de los dispositivos móviles, integrados en nuestras vidas, y la combinación de funciones solo disponibles en dispositivos móviles; cámara, mensajería, GPS, lista de contactos, etc.

La persona o personas que hayan pagado por él, viendo sus posibilidades podemos decir que es un software caro, pueden acceder a los mensajes, llamadas, correos electrónicos, registros, aplicaciones como Gmail, Facebook, Skype, WhatsApp, FaceTime, etc. Si tenemos en cuenta que todos tenemos una parte importante de nuestra vida guardada en el móvil, quien acceda a él accederá a toda nuestra información.

Además, Pegasus parece persistir incluso cuando el software del dispositivo se actualiza e incluso se puede actualizar a sí mismo para reemplazar fácilmente los exploits si se vuelven obsoletos. Por ello, se cree que se está utilizando para atacar objetivos de alto valor para múltiples propósitos, incluido el espionaje corporativo de alto nivel en iOS, Android y Blackberry.

Un portavoz de la compañia NSO dijo en su momento que su software no se puede usar con números estadounidenses y que su tecnología, que solo ha sido licenciada para prevenir e investigar el crimen y el terror, no ha sido usada por ninguno de nuestro clientes contra el teléfono del señor Bezos. Sus últimos informes financieros muestran que actualmente tienen una cartera de clientes de unas 60 agencias gubernamentales en 30 países.

Pegasus, en cierto sentido, es bastante parecido a las herramientas de espionaje para móviles. Se instala, se esconde y todo sucede en segundo plano. Gracias a un keylogger es capaz de registrar todas las pulsaciones y toques en la pantalla, y ahí no hay cifrado de extremo a extremo que valga. También es capaz de autodestruirse si lleva 60 días sin recibir órdenes del servidor o si la instalación se ha llevado a un cabo en un dispositivo erróneo.

Malware Android

¿Y para qué quedarse en iOS cuando puedes atacar al sistema operativo móvil que está instalado en nueve de cada diez smartphones a nivel mundial? Un año más tarde y tras ser parcheado en iOS 9.3.5, la compañia NSO Group lanzó Chrysaor, que es Pegasus en versión Android. Google empezó a sospechar cuando descubrieron que unas cuantas docenas de dispositivos Android habían instalado aplicaciones relacionadas con Pegasus que, por cierto, nunca estuvieron en Google Play. La mayoría de dispositivos infectados estaban en Israel, que para sorpresa es el país de origen de la empresa NSO.

El funcionamiento era exactamente el mismo que la versión de iOS, aunque se puede decir que era algo más maquiavélica. Se cree que la víctima era engañada con algún cebo para instalar un APK infectada, con el típico anuncio de «¡Tienes malware, instala esta app para corregir el problema!» o mediante phising. Una vez hecho esto, el operador, de forma remota, podía supervisar la actividad de la víctima en el dispositivo y en las cercanías, aprovechando el micrófono, la cámara, el registro, el uso de aplicaciones de comunicación, el teléfono y los SMS.

Pegasus no conseguía hacer jailbreak al iPhone víctima, el ataque fallaba. En el caso de Chrysaor, el malware persistía y solicitaba permisos al usuario para acceder a algunos datos, Chrysaor usa las vulnerabilidades framaroot. Si estás o has estado alguna vez en el mundillo del root en Android habrás oído hablar de ellas, ya que hay una app llamada ‘Framaroot’ con diferentes exploits que sirven para conseguir acceso de superusuario en los dispositivos. Un móvil con root tiene sus ventajas, pero también es cierto que supone tener una brecha de seguridad importante que se puede aprovechar si se tienen los conocimientos adecuados y en este caso la empresa NSO las tiene.

Haciendo uso de las vulnerabilidades framaroot, Chrysaor escalaba privilegios y se protegía a sí misma instalándose en la partición del sistema, protegiéndose así de los reinicios de fábrica, deshabilitando las actualizaciones automáticas y las notificaciones push WAP, según Google para evitar análisis forenses. Una vez protegido, el spyware era capaz de tomar capturas de pantalla del dispositivo y registrar todas las pulsaciones mediante un keylogger, así como responder llamadas de teléfono o activar el micrófono de forma remota. Si el spyware se veía comprometido, como ocurría con Pegasus, Chrysaor se podía desactivar mediante un comando enviado de forma remota o automáticamente si no recibía ordenes del operador en 60 días.

Esto es lo que ocurre si te saltas los consejos de seguridad

Decíamos antes que era más maquiavélico que la versión de iOS. El motivo es que si Pegasus fallaba al hacer jailbreak, el ataque fallaba por completo. Sin embargo, si Chrysaor no conseguía el acceso root intentaba obtener todos los permisos posibles para, al menos, capturar algo de información. No se detalla cómo funciona, pero cuando se prueban las apps para espiar móviles Android se ve claramente que los APK camuflan su nombre como si fuera una app del sistema y pide permiso para acceder al almacenamiento, a las fotos, a los SMS y para sobreponerse encima de la pantalla.

Apple actualizó iOS para parchear las vulnerabilidades, pero Google prefirió deshabilitar Chrysaor en los dispositivos infectados y notificar a los usuarios. Además, según dice Google, las mejoras que hemos hecho en nuestras protecciones han sido habilitadas para todos los usuarios de nuestros servicios de seguridad, es decir, Google Play Protect y el verificador de aplicaciones.

Pero si está solucionado, ¿cómo se ha infectado Bezos?

Si has llegado hasta aquí y estás medianamente actualizado en temas tecnológicos, seguramente sabrás que iOS 9.3.5 lleva ya tiempo fuera del mercado, siendo iOS 12.2 la última versión del sistema operativo de Apple. ¿Entonces cómo se infectó Bezos? Sería raro que uno de los magnates tecnológicos más ricos del mundo usase un teléfono inseguro. Es decir, cualquier persona puede comprar un teléfono cifrado, y no creo que sea fácil imaginar a Bezos haciendo click en un anuncio de «Eres el visitante un millón» para infectarse.

Lo cierto es que todavía no se sabe qué pasó con el teléfono de Bezos. No se sabe a ciencia cierta si fue Pegasus el culpable, si fue otro malware, si fue un descuido, si fue un hackeo o qué fue. El caso es que ha pasado. Aunque NSO diga que no se puede usar su software para espiar móviles estadounidenses, John Scott-Railton, de Citizen Lab, dijo en una entrevista con Fast Company que los investigadores consiguieron infectar un móvil estadounidense con Pegasus mediante un link malicioso en 2016, así que la puerta queda abierta. De hecho, Citizen Lab dijo en un informe que había identificado a posibles clientes de Pegasus no relacionados con Estados Unidos, pero con infecciones en IP estadounidenses.

Las vulnerabilidades zero-day se pagan caras, ya que ninguna herramienta de protección las puede detectar. Si Pegasus fue parcheado y asumimos que NSO ha dejado de trabajar en él, algo que no podemos saber, la otra posibilidad que queda es un exploit zero-day, es decir, una vulnerabilidad no descubierta hasta el momento que, por supuesto, no está parcheada. Como recogen en Fast Company, de acuerdo a Domingo Guerra, Senior Director de Seguridad de Sistemas Operativos de Symantec; Los exploits zero-day para dispositivos móviles se están vendido por más de un millón de dólares, sobre todos los de iOS». Solo alguien muy interesado en dañar a Bezos pagaría semejante dinero por un spyware.

De Becker, el investigador de seguridad contratado por Bezos, parece ser el único que más o menos puede tener una idea de lo que ha pasado, pero en el artículo que publicó en ‘Daily Beast’ ya declaró que dicho texto sería su última declaración pública al respecto. Nos quedamos con la incógnita, habrá que esperar, solo el tiempo lo dirá.