¿Pegasus? ¿Cómo funciona? || ¡Mentiras y verdades!

Durante las últimas semanas se ha estado oyendo hablar de un spyware, llamado Pegasus (virus cuyo fin es recopilar datos de un equipo).

Este malware ha sido desarrollado por NSO Group, una compañía que se dedica a dar soluciones de ciberseguridad a gobiernos. De ahí la legalidad de la misma.

Desde este blog hemos tenido acceso a la guía oficial de Pegasus (Product Description). Vamos a explicar cómo funciona, como podemos saber si hemos sido atacados, y como protegernos ante tal malware. NSO detalla que este spyware está diseñado con fines para combatir el terrorismo ciberguerras y delitos en general.

Según nos cuenta la guía Pegasus se hace una extracción de datos una vez es instalado en el dispositivo. También realiza un monitoreo pasivo de los paquetes de red que llegan al teléfono.

En la siguiente figura podemos ver un diagrama de boques de su funcionamiento.

 

Visto grosso modo la manera de actuar del producto de NSO vamos a ir detallando cada una de las fases tal y como hemos visto en el diagrama anterior.

Una vez adquirido por el gobierno se tiene que hacer una formación para su uso, acabada la formación se proporciona un teléfono de asistencia (como el de tu compañía) incluso asistencia presencial donde te encuentres. Todo por el módico precio de 6 millones de euros.

Instalación

Infectar un dispositivo se puede hacer de muchas formas, pero nos centraremos en dos. La primera es por el clásico phishing ya sea vía e-mail, sms etc. El mayor peligro es que son dirigidos a la persona que se quiere infectar. La empresa te proporciona distintos medios para hacerlo, incluyendo los mensajes a enviar a la víctima.

Otra manera es aprovechar una vulnerabilidad, por ejemplo, de WhatsApp donde a través de una llamada perdida, nos pueden infectar.

Un usuario común pude sufrir un ataque en 5 minutos según el informe.

Si se desea se puede desinstalar el spyware o activar un modo de autodestrucción sin dejar rastros en análisis forenses.

En el siguiente diagrama de bloques podemos un método de infección.

Recopilación de datos

Tras realizar la instalación el spyware realiza su función principal, recopilar datos. 

• Datos generales del dispositivo.
• Monitoreo de datos de entrada.
• etc

Todo queda reducido a 3 niveles extracción de datos. Inicial, monitoreo pasivo y recolección activa.

En las siguientes imágenes os mostramos los datos que pueden llegar a recopilar (hasta lo que podemos saber, que no es poco).

Transmisión de datos

Con los datos extraídos ¿Cómo se envían? ¿Dónde se envían? ¿Quién tiene acceso y los procesa?

Los datos recopilados en la fase anterior son guardados en un buffer fuertemente encriptado. Este buffer está programado para no ocupar más del 5% de la memoria libre del dispositivo. (Si hay un 1 GB libre el buffer este no ocupa más de 50 MB) una vez alcanzado este límite, es eliminado a la espera de creación de otro paquete de datos para almacenarse en el buffer.

Con los datos ya listos queda enviarlos a la máquina donde se visualizan los datos. Para realizar el proceso se hace uso de un árbol de decisión.

Si el móvil tiene una batería menor al 5% no se envía nada. Si la batería es mayor se procede a enviar por wifi o por datos móviles. Si no existe ninguna posibilidad el virus continuara recopilando datos (eso sí datos que no dependan de internet) hasta encontrarse con un canal de internet disponible.

Visto el árbol la guía nos ofrece una ilustración de cómo se realiza este envío (si es posible).

La encriptación que utilizan es AES 128 bits. Como podemos apreciar hay dos elementos que no hemos visto todavía que son muy importantes.

Anonymizers: Es una pasarela al servidor que no tiene salida a internet, para no quedar registros ni poder analizar el tráfico. Sin entrar en detalles técnicos es una vía de comunicación directa con el servidor.

Servidor de datos: Los clientes que adquieren Pegasus junto con su formación se les instala dos servidores (puede sonar un poco extraño, pero este virus está dirigido a gobiernos con/y equipos profesionales de seguridad). Estos se encargan de recibir los datos y hacer un tratamiento adecuado para la visualización en un ordenador conectado al mismo. NSO detalla unos croquis de su diseño y dimensiones junto a requerimientos para su funcionamiento.

 Presentación y análisis de Datos

Llegamos a lo que es el propósito de este malware, el visualizar los datos, para ello como hemos contado estos son extraídos del servidor. Para visualizarlo hay que instalar un programa de monitoreo en el PC del cliente. A través de él podemos visualizar los datos de las diferentes víctimas que se tengan.

En la imagen superior tenemos un ejemplo de cómo se muestran las llamadas grabadas y las ocurridas en el momento, para realizar una escucha.

¿Cómo es posible esto?

Toda organización que adquiera Pegasus debe hacer una formación de 7 semanas (donde detallan lo necesario para su implementación) y hasta la semana 15 no estaría todo listo para funcionar.

Habiendo “destripado” el backend, podemos hacernos la pregunta de: ¿Cómo es posible todo esto? Obviamente la guía no nos responde a la pregunta, pero se puede llegar a la conclusión que es posible gracias a la explotación de vulnerabilidades de 0 days en su mayoría de casos. Esto es debido a que NSO cuenta con un equipo que se encuentra en busca de estas. También explota la ingeniería social para su instalación.

Como saber si somos infectados, protegernos y que hacer en caso de ataque (borrado automático)

Como siempre nos gusta explicarte las medidas más efectivas contra estos ataques recordemos que la seguridad total no existe.

Para darnos cuenta si hemos sido afectados la amnistía internacional creó una herramienta que enchufando tu dispositivo al pc puedes averiguar si estás infectado.

La puedes descargar aquí:  https://github.com/mvt-project/mvt

La solución que ofrecemos para protegernos de Pegasus son varias en función del vector de ataque. Empezando por la ingeniería social: no conectándose en wifis públicas sin VPN, estando alerta del phishing y nunca descuidar nuestros dispositivos aunque tenga algún bloqueo.

Si es por 0 days, recomendamos actualizar en un tiempo razonable (unas semanas después de salir el parche) y tener encriptado nuestro teléfono. Esta opción nos la debe realizar un experto fiable con una encriptación avalada por un colegio de ingenieros informáticos.

Estas pueden ser las mejores medidas de protección, pero no te garantizamos la seguridad al 100%.

Conclusión y a donde va a transcender, hackers malos se harán con el virus.

Hemos destripado este malware con la finalidad de aprender y poder protegernos del mismo. Pero si este spyware sirve para “pinchar teléfonos” en caso de delito. ¿Por qué debemos protegernos? Es sencillo; Pegasus ha tenido repercusión por su utilización a la hora de espiar móviles como el del presidente de España o Jeff Bezos. Podemos concluir que no existen límites en la creación de virus, y hay muchos grupos y organizaciones (no tienen por qué ser empresas) que elaboran código para fines pocos éticos. Un programa de estas características, es probable que sea transcendido en ese tipo de personas poco éticas.

Aclaraciones: Este artículo está escrito con fines éticos de informar. Se ha detallado gran parte del funcionamiento de Pegasus, pero no en su totalidad, obviando partes para una mejor compresión.

 Fuente: Guía marketing Pegasus, NSO Group.

 

Articulo elaborado por nuestro colaborador, Diego.