Comunicado da Apple

Em 10 de abril de 2024, a Apple emitiu um aviso sobre notificações de ameaças e defesa contra ataques mercenários de spyware que afetam usuários do iPhone em 92 países. A assessoria também observou que, com base em relatórios públicos e pesquisas conduzidas por organizações da sociedade civil, empresas de tecnologia e jornalistas, ataques de custo e complexidade extraordinários normalmente são vinculados a atores estatais ou empresas privadas que criam spyware mercenário para eles, como o Pegasus, do Grupo NSO. Este anúncio atraiu ampla atenção e cobertura da mídia em todo o mundo.

‍

‍

Embora o aviso sugira que o spyware é semelhante ao “Pegasus”, muitos artigos de notícias e postagens nas redes sociais optaram por usar o “Pegasus” em suas manchetes e atualizações, provavelmente para atrair mais atenção e aumentar a urgência, fazendo com que o leitor/espectador final atribua erroneamente esses ataques, spyware e as organizações por trás dele.

Este artigo explora como fontes subterrâneas em toda a deep and dark web historicamente aproveitaram o nome, o logotipo e a identidade da Pegasus, contribuindo para uma deturpação generalizada. É apoiado por pesquisas robustas, evidências e inteligência humana reunidas pelos pesquisadores da CloudSEK nos últimos meses.

Investigação

Ao longo dos anos, os pesquisadores do CloudSEK têm feito a triagem e investigado incidentes que ocorrem em fontes da dark and deep web, fornecendo visibilidade do cenário global de ameaças. Frequentemente encontramos menções à Pegasus e ao NSO Group e observamos várias atividades que giram em torno delas. No entanto, após o recente aviso da Apple sobre notificações de ameaças, nossos pesquisadores começaram a trabalhar neste artigo para se aprofundar em diferentes incidentes associados a essas entidades.

Uma das principais fontes abordadas como parte da análise são as plataformas de IRC. Os pesquisadores da CloudSEK analisaram cerca de 25 mil postagens no Telegram. Uma grande parte disso inclui alegações de venda de código-fonte autêntico do Pegasus. Essas postagens de alerta de venda tendem a seguir um modelo que oferece serviços ilícitos, mas um padrão comum observado entre essas milhares de postagens sempre foi a oferta da Pegasus e da NSO Tools como serviços.

‍

Nossas fontes interagiram com mais de 150 potenciais vendedores da Pegasus, o que nos permitiu obter informações sobre várias amostras e indicadores compartilhados por esses atores. Esses indicadores abrangiam o código-fonte de suas supostas amostras oficiais do Pegasus, demonstrações em vídeo ao vivo de amostras em operação, a estrutura de arquivos das amostras e instantâneos do código-fonte.

Foi observado que as amostras denominadas Pegasus HVNC (Hidden Virtual Network Computing) foram as que mais foram propagadas com 6 amostras exclusivas na mesma categoria publicadas na deep web entre maio de 2022 e janeiro de 2024.

‍

‍

‍

O mesmo uso indevido também foi observado em plataformas de compartilhamento de código web de superfície, nas quais os atores estavam disseminando seus próprios códigos-fonte gerados aleatoriamente, associando-os falsamente ao Pegasus Spyware.

‍

A tabela a seguir contém a lista de amostras propagadas em fontes subterrâneas que afirmam ser o spyware oficial do Pegasus, vendido por centenas de milhares de dólares:

‍

Resultado

Depois de obter 15 amostras e mais de 30 indicadores de fontes HUMINT, da Deep & Dark Web, descobriu-se que quase todas elas estavam criando suas próprias ferramentas e scripts fraudulentos e ineficazes, tentando distribuí-los sob o nome de Pegasus para capitalizar o nome da Pegasus e do Grupo NSO para obter ganhos financeiros substanciais.

‍

Também foi descoberto que um subconjunto dessas postagens disponibiliza amostras do Pegasus ao público. Os pesquisadores do CloudSek fizeram suas análises em mais de 15 amostras exclusivas e observaram que os atores estão disseminando malware para comprometer os dispositivos dos usuários finais, aproveitando o nome Pegasus para persuadi-los a baixar esses programas maliciosos.

Além das plataformas de IRC, uma tendência semelhante foi observada em vários fóruns clandestinos, onde os criminosos estão comercializando amostras e as distribuindo abertamente, explorando o nome Pegasus para obter ganhos monetários.

‍

‍

A pesquisa acima é uma prova do fato de que vários grupos de atores de ameaças sempre quiseram aproveitar o nome da Pegasus para comercializar e lucrar com suas amostras criadas por eles mesmos. Além da intriga, um desenvolvimento recente nas plataformas de IRC, que atraiu atenção significativa, está estreitamente alinhado com nossas discussões até agora.

‍

Em 5 de abril de 2024, um grupo TG chamado Deanon ClubV7 anunciou que havia obtido acesso legítimo ao Pegasus e estava oferecendo acesso permanente por uma taxa de USD 1,5 milhão. O grupo alegou orgulhosamente ser o primeiro a garantir o acesso ao Pegasus e conseguiu vender quatro acessos, arrecadando um total de $6.000.000, em apenas dois dias. Curiosamente, o grupo compartilhou internamente e se orgulhou do mesmo comunicado oficial divulgado pela Apple.

‍

‍

‍

‍

‍

Conclusão

Esse incidente não é isolado e, embora nada específico possa ser determinado de forma conclusiva, ele levanta uma questão crucial. Todas essas alegações internas sobre ter acesso ou vazar o código-fonte da Pegasus, capitalizando sua reputação, são apenas uma artimanha e uma manobra para distribuir e lucrar com vários spywares personalizados, garantindo que eles não atraiam o mesmo nível de atenção e permaneçam fora do radar? É importante lembrar que o Pegasus é apenas uma ferramenta — uma arma cibernética. Em última análise, a responsabilidade recai sobre os usuários que a exercem.

‍

À luz desses eventos, é essencial abordar as atribuições de tais ataques com cautela. Em vez de aceitar suposições ou potencialmente implicar indivíduos ou grupos, isso serve como um lembrete para questionar as narrativas que encontramos, incentivando um exame crítico de nossas crenças sobre as origens desses spywares.

‍