19 jul. 2021

Informe forense de Pegasus de NSO Group por Amnistía Internacional

NSO Group afirma que su software espía Pegasus solo se utiliza para "investigar el terrorismo y el crimen y no deja rastro alguno".

El informe "Forensic Methodology Report: How to catch NSO Group’s Pegasus" de Amnistía Internacional es una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de medios en 10 países coordinados por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional.

El Laboratorio de Seguridad de Amnistía Internacional ha realizado análisis forenses en profundidad de numerosos dispositivos móviles de Defensores de los Derechos Humanos (Human Rights Defenders - HRDs) y periodistas de todo el mundo. Esta investigación ha descubierto una vigilancia ilegal generalizada, persistente y continua y abusos de los derechos humanos perpetrados con el software espía Pegasus de NSO Group.

Como se establece en los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos, NSO Group debe tomar medidas proactivas urgentemente para garantizar que no cause ni contribuya a abusos de derechos humanos dentro de sus operaciones globales, y para responder a cualquier abuso de derechos humanos cuando ocurren. Para cumplir con esa responsabilidad, NSO Group debe llevar a cabo la debida diligencia en materia de derechos humanos y tomar las medidas necesarias para garantizar que los defensores de derechos humanos y los periodistas no sigan siendo objeto de vigilancia ilegal.

Este informe documenta los rastros forenses que se dejaron en los dispositivos iOS y Android después de la orientación con el software espía Pegasus. Esto incluye registros forenses que relacionan las infecciones recientes de Pegasus con el Pegasus de 2016, utilizado para atacar al activista Ahmed Mansoor.

En este informe sobre metodología forense, Amnistía Internacional comparte su metodología y publica una herramienta forense móvil de código abierto e indicadores técnicos detallados, con el fin de ayudar a los investigadores de seguridad de la información y a la sociedad civil a detectar y responder a estas graves amenazas.

Está herramienta, llamada Mobile Verification Toolkit (MVT) es modular y simplifica el proceso de adquisición y análisis de datos de dispositivos Android y el análisis de registros de copias de seguridad de iOS y volcados del sistema de archivos, específicamente para identificar posibles rastros de compromiso. MVT leer indicadores de compromiso en formato STIX2 e identificar cualquier indicador coincidente que se encuentre en el dispositivo. Junto con los indicadores de Pegasus, MVT puede ayudar a identificar si un iPhone se ha visto comprometido.

  • Descifrar las copias de seguridad de iOS cifradas.
  • Procesar y analizar numerosos registros del sistema y bases de datos de aplicaciones y sistemas iOS.
  • Extraer las aplicaciones instaladas de los dispositivos Android.
  • Extraier información de diagnóstico de dispositivos Android a través del protocolo ADB.
  • Comparar los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2.
  • Identificar automáticamente mensajes SMS maliciosos, sitios web visitados, procesos maliciosos y mucho más.
  • Generar registros JSON de registros extraídos de todos los rastros maliciosos detectados.
  • Generar una línea de tiempo cronológica unificada de registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.

Los ataques de Pegasus detallados en este informe y los apéndices que lo acompañan son desde 2014 hasta julio de 2021. Estos también incluyen los llamados ataques de "zero-click" que no requieren ninguna interacción del objetivo. Los ataques de cero-clic se han observado desde mayo de 2018 y continúan hasta ahora. Más recientemente, se han observado ataque exitosos que explotan varios días zero-click para atacar un iPhone 12 completamente parcheado con iOS 14.6 en julio de 2021.

Las secciones 1 a 8 de este informe describen los rastros forenses que quedan en los dispositivos móviles después de una infección por Pegasus. Esta evidencia se ha recopilado de los teléfonos de defensores y defensoras de los derechos humanos y periodistas en varios países.

Finalmente, en la sección 9 del informe se documenta la evolución de la infraestructura de red de Pegasus desde 2016. NSO Group ha rediseñado su infraestructura de ataque empleando múltiples capas de dominios y servidores. Los repetidos errores de seguridad operativa han permitido al Laboratorio de Seguridad de Amnistía Internacional mantener una visibilidad continua de esta infraestructura y publican un conjunto de 700 dominios relacionados con Pegasus.

Los nombres de varios de los objetivos de la sociedad civil en el informe se han anonimizado por razones de seguridad. A las personas que han sido anonimizadas se les ha asignado un nombre de código alfanumérico en este informe.

Acceder al informe "Forensic Methodology Report: How to catch NSO Group’s Pegasus"

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!