Tudo o que você precisa saber sobre o spyware Pegasus

O que aconteceu?

Em 18 de julho de 2021, o Projeto Pegasus (uma colaboração entre jornalistas de 17 organizações de mídia em 10 países), coordenado por Histórias proibidas, uma organização de mídia sem fins lucrativos com sede em Paris, com o apoio técnico da Anistia Internacional) relatou que obteve mais de 50.000 números de telefone de possíveis alvos dos clientes do grupo NSO, uma empresa israelense de tecnologia. A lista inclui jornalistas, ativistas, acadêmicos, advogados, políticos/funcionários do governo, empresários, médicos, promotores, amigos e parentes de pessoas aparentemente interessantes para clientes da NSO.

O Grupo NSO

Com sede em Herzliya, perto de Tel Aviv, Israel, o grupo NSO é uma empresa privada israelense de armas cibernéticas fundada em 2010 por Niv Carmi, Omri Lavie e Shalev Hulio. Empregou quase 500 pessoas em 2017 e registrou um EBITDA de USD 99 milhões em 2020, representando quase 40% de sua receita.

O que é Pegasus?

O Pegasus é um spyware de nível militar desenvolvido pelo grupo NSO com a intenção de ajudar os estados-nação e as autoridades policiais a prevenir e investigar o terrorismo, o crime e manter a segurança pública.

A superfície inicial de ataque de acesso disponível para implantar o Pegasus em qualquer dispositivo vítima é tão ampla quanto a exposição à vulnerabilidade do dispositivo, incluindo aplicativos usados, permissões concedidas e hardware. As operadoras da Pegasus têm a capacidade de abordar uma ampla variedade de vulnerabilidades de hardware e aplicativos em vários sistemas operacionais (sistemas operacionais) para implantá-la, incluindo dispositivos Android e iOS. A prevenção e a mitigação implicariam um alto grau de higiene cibernética, conscientização e segurança operacional.

Alegações de uso indevido do Pegasus foram levantadas desde 2016, quando o spear phishing foi usado como vetor de ataque para implantar o Pegasus. Em 2019, o Facebook processou o grupo NSO alegando que os servidores do Whatsapp foram usados para implantar o Pegasus em 1.400 telefones celulares na tentativa de atingir jornalistas, diplomatas, ativistas de direitos humanos, altos funcionários do governo e outras partes, explorando um dia zero. O processo alegou que o malware não conseguiu quebrar a criptografia de propriedade do Facebook e, em vez disso, infectou os telefones dos clientes, dando à NSO acesso às mensagens depois que elas foram descriptografadas no dispositivo do receptor.

Clientes conhecidos da NSO usando Pegasus

• Azerbaijão
• Barém
• Hungria
• Índia
• Cazaquistão
• México
• Marrocos
• Ruanda
• Arábia Saudita
• Togo
• Emirados Árabes Unidos (EAU)

Eventos anteriores atribuídos ao Grupo NSO

Historicamente, o malware Pegasus foi vinculado aos seguintes eventos:

O Pegasus é o único spyware disponível?

A definição clássica de spyware é “software que permite que um usuário obtenha informações secretas sobre as atividades do computador de outra pessoa transmitindo dados secretamente de seu disco rígido”.

Além do Pegasus, outros spywares foram descobertos nos últimos anos. Por exemplo, em 2019, Vice relatou que uma empresa de desenvolvimento com sede na Itália que opera sob o título eSurv havia instalado um malware baseado no Android chamado “Exodus”. O Êxodo foi descoberto por pesquisadores do site securitywithoutborders.org, quando o encontraram espionando em nome do governo italiano. O spyware Exodus foi carregado como um aplicativo legítimo na Google Playstore e disponibilizado para download pelos usuários. Após a análise, observou-se que o malware operava em vários estágios e era executado com sucesso nos dispositivos das vítimas.

O Grupo NSO alega examinar seus clientes para garantir bons registros de direitos humanos antes de integrá-los, o que indica uma aparência de regulamentação na implantação e identificação de alvos.

Impacto

• Tem a capacidade de atingir dispositivos Android e iOS
• O spyware Pegasus é capaz de
  • lendo mensagens de texto
  • rastreamento de chamadas
  • coletando senhas
  • localização de rastreamento
  • acessando o microfone e a câmera do dispositivo alvo
  • coletando informações de aplicativos
• Exponha informações confidenciais do usuário

Mitigação

• Instale atualizações do sistema e do aplicativo, especificamente atualizações do navegador.
• Não clique em links suspeitos nos SMS/e-mails.
• O último recurso deve ser atualizar o dispositivo móvel.

Nota: O Pegasus não é um malware genérico que tem como alvo populações em massa.

Análise técnica do Pegasus

A solução de vigilância Pegasus oferece recursos avançados para coleta sofisticada de inteligência dos seguintes terminais e dispositivos de destino:

• Android
• iOS
• Blackberry
• Dispositivos baseados em Symbian

Capacidades

O Pegasus tem as seguintes características:

• Extração de contatos, e-mails, fotos, arquivos, localizações, senhas, processos, intercepta chamadas e mensagens.
• Mecanismo de autodestruição para neutralizar o aplicativo em execução nos dispositivos de destino para garantir que não haja evidências.

Vetor de infecção

A maioria dos compromissos de alto perfil foi realizada por meio do envio de um link malicioso para a vítima-alvo. E quando o alvo abre o link, a carga útil do malware Pegasus é baixada e instalada no endpoint.

Agente

Um agente é um componente de software (malware) implantado por meios secretos no dispositivo alvo para iniciar a vigilância e a coleta de dados. O código do agente é escrito com base nas especificações da arquitetura do endpoint de destino.

Instalação do agente

Os vetores de instalação suportados exigem somente o número de telefone/e-mail usado pelo alvo para instalar o agente com sucesso. Os vetores de instalação suportados documentados incluem:

• Over-the-Air (OTA): Nesse método de instalação, uma mensagem/notificação push é enviada ao dispositivo móvel de destino. A mensagem aciona o dispositivo para baixar e instalar o agente no dispositivo secretamente. A interação do usuário, como clicar em um link ou abrir uma mensagem, não é necessária nesse processo.
• Mensagem aprimorada de engenharia social (ESEM): nesse método de instalação, o operador Pegasus envia um e-mail ou SMS malicioso para a vítima alvo. E quando o link é aberto, o agente é baixado e instalado no endpoint de destino.

Os vetores de instalação usados para instalar o agente quando o número de telefone/e-mail não está disponível, mas o alvo está próximo, incluem:

• Instalação tática do elemento de rede: No método de instalação tática, o número de telefone do alvo é adquirido usando a Base Transceiver Station (BTS). E usando o número de telefone, o agente é instalado no dispositivo de destino. Posicionar-se nas proximidades do alvo é, na maioria dos casos, suficiente para realizar a aquisição do número de telefone, e a instalação é feita remotamente.
• Instalação física: nesse método de instalação, um operador que tem acesso físico ao dispositivo coloca o agente no dispositivo de destino.

Coletando dados

Depois de instalar o agente com sucesso no dispositivo de destino, os dados de várias fontes são coletados. Os tipos de dados coletados incluem:

• Dados textuais como SMS, e-mail, histórico de chamadas etc.
• Dados visuais, incluindo fotos e capturas de tela
• Dados de áudio, como registros de áudio
• Arquivos, incluindo documentos e similares
• Monitoramento em tempo real da localização do dispositivo

Extração inicial de dados

Os seguintes dados são coletados do dispositivo e enviados de volta ao servidor de Comando e Controle:

• Registros de SMS
• Detalhes dos contatos
• Histórico de chamadas
• Registros do calendário
• E-mails
• Mensagens instantâneas
• Histórico de navegação

Monitoramento passivo

Após a captura inicial dos dados, o agente continua monitorando novos registros de dados, como:

• Registros de SMS
• Detalhes dos contatos
• Histórico de chamadas (registro de chamadas)
• Registros do calendário
• E-mails
• Mensagens instantâneas
• Histórico de navegação
• Rastreamento de localização (baseado em ID de célula)

Coleção ativa

A qualquer momento, o operador do malware pode enviar uma solicitação ao dispositivo infectado para obter os dados coletados e realizar ações em tempo real no dispositivo de destino. Esses dados incluem:

• Rastreamento de localização (baseado em GPS)
• Interceptação de chamadas de voz
• Recuperação de arquivos
• Gravação de som ambiental (gravação de microfone)
• Tirar fotos
• Captura de tela

Táticas, técnicas e procedimentos da Pegasus

Com base em campanhas anteriores, sabe-se que a Pegasus usa cadeias de exploração para implantar o agente de vigilância no dispositivo móvel.

• Fase 0x1 (link malicioso e exploração inicial): o método ESEM de implantação resulta em um link malicioso que um operador pode enviar para a vítima. E quando o link é aberto, ele explora uma vulnerabilidade do navegador para obter acesso ao sistema.
• Fase 0x2 (Jailbreak e implantação do agente): Depois de obter acesso ao sistema, os exploits no nível do kernel são usados para obter controle total sobre o dispositivo (jailbreak). Depois que o acesso no nível do kernel é obtido, a carga útil final que contém os módulos de vigilância é implantada por meio da persistência no nível do kernel. O agente então instala “ganchos de aplicativos” nos dispositivos desbloqueados. Esses ganchos permitem que o agente espie vários aplicativos instalados no dispositivo.
• Fase 0x3: nessa fase, o agente baixa bibliotecas usadas para realizar atividades maliciosas no sistema. Essas bibliotecas implementam a detecção e o monitoramento de vários aplicativos, como WhatsApp, Viber etc. Esses módulos também suportam gravação de chamadas e câmeras

Monitoramento via interceptação

Depois que o agente é instalado com sucesso no sistema, ele trabalha em estreita colaboração com o kernel para espionar vários aplicativos instalados no dispositivo. Isso é implementado por meio de ganchos, pois os ganchos são componentes de software para interceptar várias chamadas do sistema para o kernel, comprometendo assim os dados do aplicativo enviados ao kernel para processamento.

Mecanismo de autodestruição

O Pegasus tem um mecanismo de autodestruição para eliminar evidências do sistema comprometido. Isso inclui eliminar processos relacionados ao agente que executa o sistema e limpar módulos ou bibliotecas usados para implementar atividades de monitoramento no dispositivo móvel.

MITRE ATT&CK TTPs

Acesso inicial

• T1475: Entregue aplicativos maliciosos por meio da loja de aplicativos autorizada

Execução

• T1402: Receptores de transmissão

Persistência

• T1402: Receptores de transmissão
• T1400: Modificar a partição do sistema

Escalação de privilégios

• T1404: Explorar a vulnerabilidade do sistema operacional

Evasão de defesa

• T1418: Descoberta de aplicativos
• T1400: Modificar a partição do sistema

Acesso à credencial

• T1409: Acesse os dados armazenados do aplicativo

Descoberta

• T1418: Descoberta de aplicativos
• T1422: Descoberta da configuração de rede do sistema

Coleção

• T1435: Acessar entradas do calendário
• T1433: Acesse o registro de chamadas
• T1432: Acesse a lista de contatos
• T1409: Acesse os dados armazenados do aplicativo
• T1429: Captura de áudio
• T1512: Câmera de captura

Comando e controle

• T1438: Mídias de rede alternativas

Exfiltração

• T1438: Mídias de rede alternativas

Impacto

• T1400: Modificar a partição do sistema

Indicadores de compromisso

Os seguintes domínios são identificados como maliciosos e fazem parte de um pequeno subconjunto da campanha NSO Pegasus

Referências

• https://www.ft.com/content/4da1117e-756c-11e9-be7d-6d846537acab
• https://research.checkpoint.com/2019/the-nso-whatsapp-vulnerability-this-is-how-it-happened/
• https://www.nytimes.com/2018/12/02/world/middleeast/saudi-khashoggi-spyware-israel.html
• https://www.nytimes.com/2017/06/19/world/americas/mexico-spyware-anticrime.html
• https://www.theguardian.com/world/2020/dec/07/mexico-cartels-drugs-spying-corruption
• https://otx.alienvault.com/pulse/60f68942fafbc9a0287b9978