lunes, 19 de julio de 2021

Análisis forense víctimas de Pegasus del grupo NSO: 180 periodistas de 20 países espiados

Más de 180 periodistas han sido objetivos confirmados del software de espionaje Pegasus de la empresa israelita NSO, incluidos periodistas de FT, CNN, NY Times, WSJ, The Economist, AP y Reuters.  Sólo se tiene constancia de un periodista Español afectado (corresponsal en Marruecos),así como de periodistas de México. Incluso la esposa de Jamal Khashoggi fue víctima del software espía Pegasus antes de su muerte.


  • Más de 180 periodistas del 'Financial Times', CNN, 'New York Times', France 24, 'The Economist', 'Associated Press' y Reuters figuran entre los afectados
  • La investigación revela que México fue el país que recopiló más números de teléfono. En segundo lugar están Marruecos y Emiratos Árabes Unidos EAU
  • Se revelarán las identidades de las personas que aparecían en la lista, entre ellas empresarios, figuras religiosas, académicos, personal de ONG, sindicatos y funcionarios.
 “Las cifras muestran claramente que el abuso es generalizado, pone en peligro la vida de los periodistas, la de sus familiares y asociados, socava la libertad de prensa y cierra medios críticos”, ha manifestado Agnes Callamard, secretaria general de Amnistía Internacional. "Se trata de controlar la narrativa pública, resistir el escrutinio, reprimir cualquier voz disidente". 

Pegasus es vendido por la empresa de vigilancia israelí NSO Group

  • Pegasus es un spyware creado por la empresa israelita NSO Group
  • NSO asegura que «bajo ninguna circunstancia utiliza su tecnología para espiar a personas u organizaciones, ya que ésta solo es operada por agencias de inteligencia y de aplicación de la ley»
En 2016, el New York Times informó que una herramienta NSO para espiar a 10 usuarios de iPhone costaría $ 650,000 y una tarifa de instalación de $ 500,000, probablemente por una tecnología mucho menos avanzada que la que está disponible en la actualidad. La compañía reportó ingresos de 243 millones de dólares en 2020

Según una investigación realizada por un consorcio que incluye a los diarios 'The Guardian', 'Le Monde', 'Süddeutsche Zeitung' y 'The Washington Post', entre otros 16 medios de comunicación. Una filtración masiva de datos de la compañía reveló una lista de más de 50.000 números de teléfono que, se cree, han sido identificados como posibles blancos por clientes de NSO desde 2016. Entre ellos se encuentra el periodista español  Ignacio Cembrero, quien lleva décadas cubriendo la actualidad marroquí. 

NSO asegura que su producto está destinado solo a adquirir datos de "delincuentes y terroristas", pero la investigación muestra el alcance global del abuso de un arma de cibervigilancia que la compañía israelí habría vendido a Gobiernos, en su mayoría autoritarios, de un mínimo de diez países: Azerbaiyán, Bahrein, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita, Hungría, India y los Emiratos Árabes Unidos (EAU). Sin acceso a los dispositivos, resulta imposible determinar si estos fueron finalmente hackeados, ya que los datos solo demuestran que los clientes de NSO identificaron sus números como paso previo a un posible espionaje. 




Pegasus en México


Uno de los casos de periodistas potencialmente espiados a través de 'Pegasus' que más ha resonado es el de el mexicano Cecilio Pineda, asesinado en 2017 y quien aparece en el listado dos veces. La segunda ocasión en la que su nombre fue registrado se produjo escasos días antes de que sujetos a bordo de una motocicleta lo mataran a balazos mientras esperaba en un autolavado. Hasta el momento, su teléfono no ha sido encontrado, por lo que no se ha podido realizar ningún análisis forense para determinar si estaba infectado con el software de NSO. La compañía defiende que no existen pruebas de que el homicidio esté relacionado. 

En México, se seleccionó como objetivo el teléfono del periodista Cecilio Pineda apenas unas semanas antes de su homicidio en 2017 a la edad de 38 años. El Proyecto Pegasus identificó que al menos 25 periodistas mexicanos fueron seleccionados como objetivos durante un periodo de dos años. NSO Group ha negado que los datos recolectados del teléfono de Pineda contribuyeran a su muerte, incluso en el caso de que su teléfono de hubiera sido objeto de ataques.

Otra investigación periodística reveló ese mismo año 1.400 números de teléfono de todo el mundo que habían sido objetivo de Pegasus, entre ellos el móvil del entonces presidente del Parlament de Cataluña, Roger Torrent

Investigación Proyecto Pegasus




El Proyecto Pegasus es una innovadora investigación colaborativa en la que han participado más de 80 periodistas de 17 organizaciones de medios de comunicación de 10 países

En el centro de esta investigación se encuentra el software espía Pegasus de NSO Group que, una vez instalado en el teléfono de las víctimas, proporciona al atacante pleno acceso a los mensajes, correos electrónicos, elementos multimedia, micrófono, cámara, llamadas y contactos del teléfono.

A partir de los datos filtrados y sus investigaciones, Forbidden Stories y los medios de comunicación asociados identificaron posibles clientes de NSO en 11 países: Arabia Saudí, Azerbaiyán, Bahréin, EAU, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo.

Uno de los responsables de Pegasus: Shalev Julio




Infraestructura de Pegasus


 Amnistía Internacional publica los detalles técnicos completos de las investigaciones forenses exhaustivas realizadas por su Laboratorio sobre Seguridad como parte del Proyecto Pegasus.

El informe metodológico del Laboratorio documenta la evolución de los ataques con software espía Pegasus desde 2018 y aporta datos sobre su infraestructura, incluidos más de 700 dominios relacionados con Pegasus.


Ataques contra la familia de Khashoggi  


 Durante la investigación también han aparecido pruebas de que antes y después del asesinato del periodista saudí Jamal Khashoggi en Estambul el 2 de octubre de 2018 a manos de agentes saudíes, y pese a que NSO Group lo haya negado en repetidas ocasiones, se atacó a miembros de su familia con el software Pegasus.


El Laboratorio sobre Seguridad de Amnistía Internacional estableció que se había instalado Pegasus en el teléfono de Hatice Cengiz, prometida de Khashoggi, cuatro días después de su asesinato.


Ataques contra periodistas
Hasta el momento, la investigación ha identificado al menos a 180 periodistas de 20 países que fueron seleccionados como posibles objetivos de ataques con el software espía de NSO entre 2016 y junio de 2021. Entre ellos hay periodistas de Azerbaiyán, Hungría, India y Marruecos, países donde la represión contra los medios de comunicación independientes se ha intensificado.


Análisis - Informe Forense teléfonos periodistas afectados por Pegasus

Estos descubrimientos más recientes indican que los clientes de NSO Group actualmente pueden comprometer de forma remota todos los modelos y versiones recientes de iPhone de iOS.

Gran parte de la orientación descrita en este informe implica ataques de Pegasus dirigidos a dispositivos iOS. Es importante tener en cuenta que esto no refleja necesariamente la seguridad relativa de los dispositivos iOS en comparación con los dispositivos Android u otros sistemas operativos y fabricantes de teléfonos.

Informes Análisis Forense teléfonos espiados por Pegasus muestran que actualmente pueden comprometer de forma remota todos los modelos y versiones recientes de iPhone de iOS

  • - iMessage en 2019
  • - Apple Music en 2020
  • - iMessage de nuevo en 2021 

com.apple.madrid “Madrid” era el nombre en clave interno de iMessage antes del uso del nombre de producto de iMessage. 

Herramienta Análisis Forense para teléfonos Android e iOS

Amnistía Internacional comparte su metodología y publica una herramienta forense móvil de código abierto e indicadores técnicos detallados, con el fin de ayudar a los investigadores de seguridad de la información y a la sociedad civil a detectar y responder a estas graves amenazas.

Está herramienta, llamada Mobile Verification Toolkit (MVT) es modular y simplifica el proceso de adquisición y análisis de datos de dispositivos Android y el análisis de registros de copias de seguridad de iOS y volcados del sistema de archivos, específicamente para identificar posibles rastros de compromiso. MVT leer indicadores de compromiso en formato STIX2 e identificar cualquier indicador coincidente que se encuentre en el dispositivo. Junto con los indicadores de Pegasus, MVT puede ayudar a identificar si un iPhone se ha visto comprometido.

  • Descifrar las copias de seguridad de iOS cifradas.
  • Procesar y analizar numerosos registros del sistema y bases de datos de aplicaciones y sistemas iOS.
  • Extraer las aplicaciones instaladas de los dispositivos Android.
  • Extraier información de diagnóstico de dispositivos Android a través del protocolo ADB.
  • Comparar los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2.
  • Identificar automáticamente mensajes SMS maliciosos, sitios web visitados, procesos maliciosos y mucho más.
  • Generar registros JSON de registros extraídos de todos los rastros maliciosos detectados.
  • Generar una línea de tiempo cronológica unificada de registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.
La herramienta instalable con PIP y disponible en Github es Mobile Verification Toolkit distribuida vía PyPI con CLI incluida


Los ataques de Pegasus detallados en este informe y los apéndices que lo acompañan son desde 2014 hasta julio de 2021. Estos también incluyen los llamados ataques de "zero-click" que no requieren ninguna interacción del objetivo. Los ataques de cero-clic se han observado desde mayo de 2018 y continúan hasta ahora. Más recientemente, se han observado ataque exitosos que explotan varios días zero-click para atacar un iPhone 12 completamente parcheado con iOS 14.6 en julio de 2021.

Las secciones 1 a 8 de este informe describen los rastros forenses que quedan en los dispositivos móviles después de una infección por Pegasus. Esta evidencia se ha recopilado de los teléfonos de defensores y defensoras de los derechos humanos y periodistas en varios países. 


Fuentes (Traducción)

Originales:

No hay comentarios:

Publicar un comentario