Introducción
NSO Group afirma que su software espía Pegasus solo se utiliza para «investigar el terrorismo y el crimen» y «no deja rastro alguno» . Este Informe de Metodología Forense muestra que ninguna de estas afirmaciones es cierta. Este informe acompaña el lanzamiento del Proyecto Pegasus, una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de medios en 10 países coordinada por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional. [1]
El Laboratorio de Seguridad de Amnistía Internacional ha realizado análisis forenses en profundidad de numerosos dispositivos móviles de defensores de los derechos humanos (DDH) y periodistas de todo el mundo. Esta investigación ha descubierto una vigilancia ilegal generalizada, persistente y continua y abusos de los derechos humanos perpetrados con el software espía Pegasus de NSO Group.
Como se establece en los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos, el Grupo NSO debe tomar medidas proactivas urgentemente para garantizar que no cause ni contribuya a abusos de derechos humanos dentro de sus operaciones globales, y para responder a cualquier abuso de derechos humanos cuando ocurren. Para cumplir con esa responsabilidad, NSO Group debe llevar a cabo la debida diligencia en materia de derechos humanos y tomar las medidas necesarias para garantizar que los defensores de derechos humanos y los periodistas no sigan siendo objeto de vigilancia ilegal.
En este Informe sobre metodología forense, Amnistía Internacional comparte su metodología y publica una herramienta forense móvil de código abierto e indicadores técnicos detallados, con el fin de ayudar a los investigadores de seguridad de la información y a la sociedad civil a detectar y responder a estas graves amenazas.
Este informe documenta los rastros forenses que se dejaron en los dispositivos iOS y Android después de la orientación con el software espía Pegasus. Esto incluye registros forenses que relacionan las infecciones recientes de Pegasus con la carga útil de Pegasus de 2016 utilizada para atacar al HRD Ahmed Mansoor.
Los ataques de Pegasus detallados en este informe y los apéndices que lo acompañan son desde 2014 hasta julio de 2021. Estos también incluyen los llamados ataques de «clic cero» que no requieren ninguna interacción del objetivo. Los ataques de cero clic se han observado desde mayo de 2018 y continúan hasta ahora. Más recientemente, se ha observado un ataque exitoso de «clic cero» que explota varios días cero para atacar un iPhone 12 completamente parcheado con iOS 14.6 en julio de 2021.
Las secciones 1 a 8 de este informe describen los rastros forenses que quedan en los dispositivos móviles después de una infección por Pegasus. Esta evidencia se ha recopilado de los teléfonos de defensores y defensoras de los derechos humanos y periodistas en varios países.
Finalmente, en la sección 9 del informe se documenta la evolución de la infraestructura de red de Pegasus desde 2016. NSO Group ha rediseñado su infraestructura de ataque empleando múltiples capas de dominios y servidores. Los repetidos errores de seguridad operativa han permitido al Laboratorio de Seguridad de Amnistía Internacional mantener una visibilidad continua de esta infraestructura. Estamos publicando un conjunto de 700 dominios relacionados con Pegasus.
Los nombres de varios de los objetivos de la sociedad civil en el informe se han anonimizado por razones de seguridad. A las personas que han sido anonimizadas se les ha asignado un nombre de código alfanumérico en este informe.
1. Descubriendo los ataques de inyección de red de Pegasus
La investigación técnica de Amnistía Internacional sobre Pegasus del Grupo NSO se intensificó tras nuestro descubrimiento del objetivo de un miembro del personal de Amnistía Internacional y un activista saudí, Yahya Assiri, en 2018. El Laboratorio de Seguridad de Amnistía Internacional comenzó a perfeccionar su metodología forense a través del descubrimiento de ataques contra DDH en Marruecos en 2019 , que fueron corroborados aún más por los ataques que descubrimos contra un periodista marroquí en 2020 . En esta primera sección detallamos el proceso que condujo al descubrimiento de estos compromisos.
Numerosos informes públicos habían identificado a los clientes de NSO Group utilizando mensajes SMS con dominios de explotación de Pegasus a lo largo de los años. Como resultado, surgieron mensajes similares de nuestro análisis del teléfono de la activista marroquí Maati Monjib, quien fue una de las activistas atacadas como se documenta en el informe de 2019 de Amnistía Internacional .
Sin embargo, en un análisis más detallado también notamos redireccionamientos sospechosos registrados en el historial de navegación de Safari. Por ejemplo, en un caso notamos una redirección a una URL de aspecto extraño después de que Maati Monjib intentó visitar Yahoo:
| ID de visita | Fecha (UTC) | URL | Fuente de redireccionamiento | Destino de redireccionamiento |
| 16119 | 2019-07-22 17: 42: 32.475 | http://yahoo.fr/ | nulo | 16120 |
| 16120 | 2019-07-22 17: 42: 32.478 | https: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz | 16119 | nulo |
( Tenga en cuenta : a lo largo de este documento, escapamos de los dominios maliciosos con la marca [.] Para evitar clics y visitas accidentales).
La URL https: //bun54l2b67.get1tn0w.free247downloads [.] Com: 30495 / szev4hz pareció sospechosa de inmediato, especialmente debido a la presencia de un subdominio de cuarto nivel, un número de puerto alto no estándar y un URI aleatorio similar a los enlaces contenidos en mensajes SMS previamente documentados en relación con Pegasus de NSO Group. Como puede ver en la tabla anterior, la visita a Yahoo se redirigió inmediatamente a esta URL sospechosa con el ID de base de datos 16120.
En nuestro informe de octubre de 2019 , detallamos cómo determinamos que estas redirecciones son el resultado de ataques de inyección de red realizados a través de dispositivos tácticos, como torres celulares no autorizadas, o mediante equipos dedicados colocados en el operador móvil. Cuando meses más tarde analizamos el iPhone del periodista independiente marroquí Omar Radi, quien, como se documenta en nuestro informe de 2020, fue atacado, encontramos registros similares relacionados con el dominio free247downloads [.] Com .
En noviembre de 2019, tras el informe inicial de Amnistía Internacional, se registró un nuevo dominio urlpush [.] Net . Posteriormente lo encontramos involucrado en redireccionamientos similares a la URL https: //gnyjv1xltx.info8fvhgl3.urlpush [.] Net: 30875 / zrnv5revj.
Aunque los registros del historial de Safari suelen ser de corta duración y se pierden después de unos meses (así como potencialmente eliminados intencionalmente por malware), hemos podido encontrar los dominios de infección de NSO Group en otras bases de datos del teléfono de Omar Radi que no aparecían en Safari. Historia. Por ejemplo, podríamos identificar visitas a través de la base de datos Favicon.db de Safari , que Pegasus dejó intacta:
| Fecha (UTC) | URL | URL del icono |
| 2019-02-11 14:45:53 | https: //d9z3sz93x5ueidq3.get1tn0w.free247downloads [.] com: 30897 / rdEN5YP | https: //d9z3sz93x5ueidq3.get1tn0w.free247downloads [.] com: 30897 / favicon.ico |
| 2019-09-13 17:01:38 | https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse # 011356570257117296834845704022338973133022433397236 | https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / favicon.ico |
| 2019-09-13 17:01:56 | https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse # 068099561614626278519925358638789161572427833645389 | https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / favicon.ico |
| 2020-01-17 11:06:32 | https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946% 2324 | https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / favicon.ico |
| 2020-01-27 11:06:24 | https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 | https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / favicon.ico |
Como se explica en el Apéndice técnico de nuestro informe de 2020 sobre los ataques de Pegasus en Marruecos , estos redireccionamientos no solo ocurren cuando el objetivo está navegando por Internet con la aplicación del navegador, sino también cuando usa otras aplicaciones. Por ejemplo, en un caso, Amnistía Internacional identificó una inyección de red mientras Omar Radi estaba usando la aplicación de Twitter. Al obtener una vista previa de un enlace compartido en su línea de tiempo, se invocó el servicio com.apple.SafariViewService para cargar un Safari WebView y se produjo una redirección.
Debido a esto, podemos encontrar registros adicionales relacionados con los dominios free247downloads [.] Com y urlpush [.] Net en el almacenamiento local WebKit específico de la aplicación, carpetas IndexedDB y más. En varios casos, Safari creó los archivos IndexedDB poco después de la redirección de inyección de red al servidor de instalación de Pegasus.
Además, los registros de recursos de sesión de Safari proporcionan rastros adicionales que no aparecen constantemente en el historial de navegación de Safari. Parece que Safari no registra las cadenas de redireccionamiento completas y es posible que solo mantenga registros del historial que muestren la página final que se cargó. Los registros de recursos de sesión recuperados de los teléfonos analizados demuestran que los dominios de preparación adicionales se utilizan como trampolines que eventualmente conducen a los servidores de infección. De hecho, estos registros revelan que la primera inyección de red contra Maati Monjib que describimos al principio de esta publicación también involucró al dominio documentpro [.] Org :
| Fuente de redireccionamiento | Origen | Destino de redireccionamiento |
| yahoo.fr | documentpro [.] org | free247downloads [.] com |
Maati Monjib visitó http://yahoo.fr, y una inyección de red redirigió con fuerza el navegador a documentpro [.] Org antes de redirigirlo a free247downloads [.] Com y continuar con la explotación.
Del mismo modo, en otra ocasión, Omar Radi visitó el sitio web del periódico francés Le Parisien y una inyección de red lo redirigió a través del dominio de ensayo tahmilmilafate [.] Com y, finalmente, también a free247downloads [.] Com. También vimos información de tahmilmilafate [.] Usada de la misma manera:
| Fuente de redireccionamiento | Origen | Destino de redireccionamiento |
| leparisien.fr | tahmilmilafate [.] com | free247downloads [.] com |
En los intentos más recientes que Amnistía Internacional observó contra Omar Radi en enero de 2020, su teléfono fue redirigido a una página de explotación en gnyjv1xltx.info8fvhgl3.urlpush [.] Net que pasaba por el dominio baramije [.] Net . El dominio baramije [.] Net se registró un día antes de urlpush [.] Net , y se creó un sitio web señuelo utilizando el CMS de código abierto Textpattern.
Los rastros de actividad de la red no fueron los únicos indicadores disponibles de compromiso, y una inspección adicional de los iPhones reveló procesos ejecutados que finalmente llevaron al establecimiento de un patrón consistente único para todos los iPhones posteriores que Amnistía Internacional analizó y encontró infectados.
2. Aparecen BridgeHead de Pegasus y otros procesos maliciosos
Amnistía Internacional, Citizen Lab y otros han atribuido principalmente los ataques de software espía de Pegasus en función de los nombres de dominio y otra infraestructura de red utilizada para realizar los ataques. Sin embargo, la evidencia forense dejada por el software espía Pegasus proporciona otra forma independiente de atribuir estos ataques a la tecnología de NSO Group.
iOS mantiene registros de ejecuciones de procesos y su respectivo uso de red en dos archivos de base de datos SQLite llamados » DataUsage.sqlite » y » netusage.sqlite » que se almacenan en el dispositivo. Vale la pena señalar que, si bien el primero está disponible en la copia de seguridad de iTunes, el segundo no lo está. Además, debe tenerse en cuenta que solo los procesos que realizaron actividad de red aparecerán en estas bases de datos.
Las bases de datos de uso de la red de Maati Monjib y Omar Radi contenían registros de un proceso sospechoso llamado » bh» . Este proceso «bh» se observó en múltiples ocasiones inmediatamente después de las visitas a los dominios de instalación de Pegasus.
El teléfono de Maati Monjib tiene registros de ejecución de «bh» desde abril de 2018 hasta marzo de 2019:
| Primera fecha (UTC) | Última fecha (UTC) | Nombre del proceso | WWAN EN | WWAN FUERA | Identificacion de proceso |
| 2018-04-29 00:25:12 | 2019-03-27 22:45:10 | bh | 3319875.0 | 144443.0 | 59472 |
Amnistía Internacional encontró registros similares en el teléfono de Omar Radi entre febrero y septiembre de 2019:
| Primera fecha (UTC) | Última fecha (UTC) | Nombre del proceso | WWAN EN | WWAN FUERA | Identificacion de proceso |
| 2019-02-11 14:45:56 | 2019-09-13 17:02:11 | bh | 3019409.0 | 147684.0 | 50465 |
La última ejecución registrada de «bh» ocurrió unos segundos después de una inyección de red exitosa (como se ve en los registros de favicon enumerados anteriormente en 2019-09-13 17:01:56).
De manera crucial, encontramos referencias a «bh» en la muestra de Pegasus iOS recuperada de los ataques de 2016 contra el defensor de derechos humanos de los EAU Ahmed Mansoor, descubierto por Citizen Lab y analizado en profundidad por la firma de ciberseguridad Lookout .
Como se describe en el análisis de Lookout, en 2016 NSO Group aprovechó una vulnerabilidad en iOS JavaScriptCore Binary (jsc) para lograr la ejecución de código en el dispositivo. Esta misma vulnerabilidad también se utilizó para mantener la persistencia en el dispositivo después del reinicio. Encontramos referencias a «bh» en todo el código de explotación:
| var compressed_ bh _addr = shellcode_addr_aligned + shellcode32.byteLength;replacePEMagics (shellcode32, dlsym_addr, compressed_ bh _addr, bundle. bh CompressedByteLength);storeU32Array (shellcode32, shellcode_addr);storeU32Array (paquete. bh Compressed32, compressed_ bh _addr); |
Este módulo se describe en el análisis de Lookout de la siguiente manera:
«Bh.c: carga funciones de API que se relacionan con la descompresión de las cargas útiles de la siguiente etapa y su ubicación adecuada en el iPhone de la víctima mediante el uso de funciones como BZ2_bzDecompress, chmod y malloc»
Lookout explica además que un archivo de configuración ubicado en / var / tmp / jb_cfg se coloca junto al binario. Curiosamente, encontramos la ruta a este archivo exportado como _kBridgeHeadConfigurationFilePath en la parte del archivo libaudio.dylib del paquete Pegasus:
| __const: 0001AFCC EXPORT _kBridgeHeadConfigurationFilePath__const: 0001AFCC _kBridgeHeadConfigurationFilePath DCD cfstr_VarTmpJb_cfg; «/ var / tmp / jb_cfg» |
Por lo tanto, sospechamos que «bh» podría significar «BridgeHead» , que probablemente sea el nombre interno asignado por NSO Group a este componente de su kit de herramientas.
La aparición del proceso «bh» inmediatamente después de la inyección de red exitosa del teléfono de Omar Radi es consistente con el propósito evidente del módulo BridgeHead. Completa la explotación del navegador, arraiga el dispositivo y se prepara para su infección con la suite completa de Pegasus.
2.1 Procesos sospechosos adicionales después de BridgeHead
El proceso bh apareció por primera vez en el teléfono de Omar Radi el 11 de febrero de 2019. Esto ocurrió 10 segundos después de que el servidor de instalación de Pegasus creara un archivo IndexedDB y Safari registrara una entrada de favicon. Aproximadamente al mismo tiempo, el archivo com.apple.CrashReporter.plist se escribió en / private / var / root / Library / Preferences / , lo que probablemente deshabilite la notificación de los registros de bloqueo a Apple. La cadena de exploits había obtenido permiso de root en esta etapa.
Menos de un minuto después aparece por primera vez un proceso » roleaboutd «.
| Fecha (UTC) | Evento | |
| 2019-02-11 14:45:45 | Registro IndexedDB para URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897 / | |
| 2019-02-11 14:45:53 | Registro de favicon de Safari para URL hxxps // d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com : 30897 / rdEN5YP | |
| 2019-02-11 14:45:54 | Reportero de accidentes desactivado escribiendo com.apple.CrashReporter.plist | |
| 2019-02-11 14:45:56 | Proceso: bh | |
| 2019-02-11 14:46:23 | Proceso: roleaboutd primero | |
| 2019-02-11 17:05:24 | Proceso: roleaboutd last |
El dispositivo de Omar Radi fue explotado nuevamente el 13 de septiembre de 2019. De nuevo, un proceso » bh » comenzó poco después. Alrededor de este tiempo se modificó el archivo com.apple.softwareupdateservicesd.plist . También se lanzó un proceso » msgacntd» .
| Fecha (UTC) | Evento |
| 2019-09-13 17:01:38 | Registro de favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse |
| 2019-09-13 17:02:11 | Proceso: bh |
| 2019-09-13 17:02:33 | Proceso: msgacntd primero |
| 2019-09-13 17:02:35 | Archivo modificado: com.apple.softwareupdateservicesd.plist |
| 2019-09-14 20:51:54 | Proceso: msgacntd last |
Sobre la base del momento y el contexto de la explotación, Amnistía Internacional cree que los procesos roleaboutd y msgacntd son una etapa posterior del software espía Pegasus que se cargó después de una explotación exitosa y una escalada de privilegios con la carga útil BridgeHead .
Del mismo modo, el análisis forense del teléfono de Maati Monjib reveló la ejecución de más procesos sospechosos además de bh . Un proceso llamado pcsd y uno llamado fmld aparecieron en 2018:
| Primera cita | Ultima cita | Nombre del proceso | WWAN EN | WWAN FUERA | Identificacion de proceso |
| 2018-05-04 23:30:45 | 2018-05-04 23:30:45 | pcsd | 12305.0 | 10173.0 | 14946 |
| 2018-05-21 23:46:06 | 2018-06-4 13:05:43 | fmld | 0.0 | 188326.0 | 21207 |
Amnistía Internacional verificó que no se distribuyeron archivos binarios legítimos con los mismos nombres en versiones recientes de iOS.
El descubrimiento de estos procesos en los teléfonos de Omar Radi y Maati Monjib más tarde se convirtió en un instrumento para las continuas investigaciones de Amnistía Internacional, ya que encontramos procesos con los mismos nombres en dispositivos de personas objetivo de todo el mundo.
3. Procesos de Pegasus tras la posible explotación de Apple Photos
Durante las investigaciones de Amnistía Internacional como parte del Proyecto Pegasus, descubrimos casos adicionales en los que el proceso “bh” mencionado anteriormente se registró en dispositivos comprometidos a través de diferentes vectores de ataque.
En un caso, el teléfono de un abogado de derechos humanos francés (CÓDIGO: FRHRL1) se vio comprometido y el proceso «bh» se ejecutó segundos después de que se grabara por primera vez el tráfico de red para la aplicación Fotos de iOS ( com.apple.mobileslideshow ). Nuevamente, después de una explotación exitosa, los informes de fallas se desactivaron escribiendo un archivo com.apple.CrashReporter.plist en el dispositivo.
| 2019-10-29 09:04:32 | Proceso: mobileslideshow / com.apple.mobileslideshow primero |
| 2019-10-29 09:04:58 | Proceso: bh |
| 2019-10-29 09:05:08 | com.apple.CrashReporter.plist eliminado |
| 2019-10-29 09:05:53 | Proceso: mptbd |
La siguiente y última vez que se registró la actividad de red para la aplicación Fotos de iOS fue el 18 de diciembre de 2019, una vez más antes de la ejecución de procesos maliciosos en el dispositivo.
| 2019-12-18 08:13:33 | Proceso: mobileslideshow / com.apple.mobileslideshow last |
| 2019-12-18 08:13:47 | Proceso: bh |
| 2019-12-18 11:50:15 | Proceso: ckeblld |
En un caso separado, identificamos un patrón similar con los procesos «mobilelideshow» y «bh» en el iPhone de un periodista francés (CÓDIGO: FRJRN1) en mayo de 2020:
| 24-05-2020 15:44:21 | Proceso: mobileslideshow / com.apple.mobileslideshow primero |
| 2020-05-24 15:44:39 | Proceso: bh |
| 2020-05-24 15:46:51 | Proceso: fservernetd |
| … | |
| 27-05-2020 16:58:31 | Proceso: mobileslideshow / com.apple.mobileslideshow last |
| 27-05-2020 16:58:52 | Proceso: bh |
| 27-05-2020 18:00:50 | Proceso: ckkeyrollfd |
Amnistía Internacional no pudo capturar las cargas útiles relacionadas con esta explotación, pero sospecha que la aplicación Fotos de iOS o el servicio Photostream se utilizaron como parte de una cadena de exploits para implementar Pegasus. Las aplicaciones en sí mismas pueden haber sido explotadas o su funcionalidad mal utilizada para entregar un JavaScript más tradicional o un exploit del navegador al dispositivo.
Como puede ver en las tablas anteriores , los nombres de procesos adicionales como mptbd , ckeblld , fservernetd y ckkeyrollfd aparecen justo después de bh . Al igual que con fmld y pcsd, Amnistía Internacional cree que se trata de cargas útiles adicionales descargadas y ejecutadas después de un compromiso exitoso. A medida que avanzaban nuestras investigaciones, identificamos docenas de nombres de procesos maliciosos involucrados en las infecciones de Pegasus.
Además, Amnistía Internacional encontró la misma cuenta de iCloud bogaardlisa803 [@] gmail.com registrada como vinculada al servicio “com.apple.private.alloy.photostream” en ambos dispositivos. Las cuentas de iCloud creadas intencionalmente parecen ser fundamentales para la entrega de múltiples vectores de ataque de «clic cero» en muchos casos recientes de dispositivos comprometidos analizados por Amnistía Internacional.
4. Un día 0 de iMessage sin clics que se utilizó ampliamente en 2019
Si bien los mensajes SMS con enlaces maliciosos fueron la táctica elegida por los clientes de NSO Group entre 2016 y 2018, en los últimos años parecen haberse vuelto cada vez más raros. El descubrimiento de ataques de inyección de red en Marruecos señaló que las tácticas de los atacantes estaban cambiando. La inyección de red es un vector de ataque eficaz y rentable para uso doméstico, especialmente en países con influencia sobre los operadores móviles. Sin embargo, si bien solo es eficaz en las redes nacionales, la selección de objetivos extranjeros o de personas de las comunidades de la diáspora también cambió.
A partir de 2019, una cantidad cada vez mayor de vulnerabilidades en iOS, especialmente iMessage y FaceTime, comenzaron a recibir parches gracias a sus descubrimientos por parte de investigadores de vulnerabilidades o a proveedores de ciberseguridad que informaban sobre exploits descubiertos en la naturaleza.
En respuesta, Amnistía Internacional amplió su metodología forense para recopilar cualquier rastro relevante mediante iMessage y FaceTime. iOS mantiene un registro de los ID de Apple que ve cada aplicación instalada en un archivo plist ubicado en /private/var/mobile/Library/Preferences/com.apple.identityservices. idstatuscache .plist . Este archivo también suele estar disponible en una copia de seguridad regular de iTunes, por lo que se puede extraer fácilmente sin la necesidad de un jailbreak.
Estos registros jugaron un papel fundamental en investigaciones posteriores. En muchos casos, descubrimos procesos sospechosos de Pegasus ejecutados en dispositivos inmediatamente después de búsquedas sospechosas de cuentas de iMessage. Por ejemplo, los siguientes registros se extrajeron del teléfono de un periodista francés (CÓDIGO FRJRN2):
| 2019-06-16 12:08:44 | Búsqueda de bergers.o79@gmail.com por com.apple.madrid (iMessage) |
| 2019-08-16 12:33:52 | Búsqueda de bergers.o79@gmail \ x00 \ x00 om por com.apple.madrid (iMessage) |
| 2019-08-16 12:37:55 | El archivo Library / Preferences / com.apple.CrashReporter.plist se crea dentro de RootDomain |
| 2019-08-16 12:41:25 | El archivo Library / Preferences / roleaccountd.plist se crea dentro de RootDomain |
| 2019-08-16 12:41:36 | Proceso: roleaccountd |
| 2019-08-16 12:41:52 | Proceso: stagingd |
| 2019-08-16 12:49:21 | Proceso: aggregatenotd |
El análisis forense de Amnistía Internacional de varios dispositivos encontró registros similares. En muchos casos, la misma cuenta de iMessage vuelve a aparecer en varios dispositivos específicos, lo que podría indicar que esos dispositivos han sido seleccionados por el mismo operador. Además, los procesos de roles contados y escenificados ocurren de manera consistente, junto con otros.
Por ejemplo, el iPhone de un periodista húngaro (CÓDIGO HUJRN1) mostró los siguientes registros:
| 2019-09-24 13:26:15 | Búsqueda de jessicadavies1345@outlook.com por com.apple.madrid (iMessage) |
| 2019-09-24 13:26:51 | Búsqueda de emmadavies8266@gmail.com por com.apple.madrid (iMessage) |
| 2019-09-24 13:32:10 | Proceso: roleaccountd |
| 2019-09-24 13:32:13 | Proceso: stagingd |
En este caso, los primeros procesos sospechosos que realizaron alguna actividad de red se registraron 5 minutos después de la primera búsqueda. El archivo com.apple.CrashReporter.plist ya estaba presente en este dispositivo después de una infección exitosa anterior y no se volvió a escribir.
El iPhone de otro periodista húngaro (CODE HUJRN2) muestra búsquedas de las mismas cuentas de iMessage junto con muchos otros procesos junto con roleaccountd y stagingd :
| 2019-07-15 12:01:37 | Búsqueda de mailto: e \ x00 \ x00 adavies8266@gmail.com por com.apple.madrid (iMessage) |
| 2019-07-15 14:21:40 | Proceso: accountpfd |
| 2019-08-29 10:57:43 | Proceso: roleaccountd |
| 2019-08-29 10:57:44 | Proceso: stagingd |
| 2019-08-29 10:58:35 | Proceso: launchrexd |
| 2019-09-03 07:54:26 | Proceso: roleaccountd |
| 2019-09-03 07:54:28 | Proceso: stagingd |
| 2019-09-03 07:54:51 | Proceso: seraccountd |
| 2019-09-05 13:26:38 | Proceso: seraccountd |
| 2019-09-05 13:26:55 | Proceso: misbrigd |
| 2019-09-10 06:09:04 | Búsqueda de emmadavies8266@gmail.com por com.apple.madrid (iMessage) |
| 2019-09-10 06:09:47 | Búsqueda de jessicadavies1345@outlook.com por com.apple.madrid (iMessage) |
| 2019-10-30 14:09:51 | Proceso: nehelprd |
Es interesante observar que en los rastros que Amnistía Internacional recuperó de 2019, las búsquedas de iMessage que precedieron inmediatamente a la ejecución de procesos sospechosos a menudo contenían un relleno 0x00 de dos bytes en la dirección de correo electrónico registrada por el archivo ID Status Cache.
5. Apple Music aprovechó para ofrecer Pegasus en 2020
A mediados de 2021, Amnistía Internacional identificó otro caso más de un destacado periodista de investigación de Azerbaiyán (CÓDIGO AZJRN1) que fue atacado repetidamente con los ataques de Pegasus zero-click desde 2019 hasta mediados de 2021.
Una vez más, encontramos un patrón similar de rastros forenses en el dispositivo después de la primera explotación exitosa registrada:
| 2019-03-28 07:43:14 | Archivo: Library / Preferences / com.apple.CrashReporter.plist de RootDomain |
| 2019-03-28 07:44:03 | Archivo: Library / Preferences / roleaccountd.plist de RootDomain |
| 2019-03-28 07:44:14 | Proceso: roleaccountd |
| 2019-03-28 07:44:14 | Proceso: stagingd |
Curiosamente, encontramos indicios de que se está utilizando una nueva técnica de infección de iOS para comprometer este dispositivo. Se produjo una infección exitosa el 10 de julio de 2020:
| 2020-07-06 05:22:21 | Búsqueda de f \ x00 \ x00ip.bl82@gmail.com por iMessage (com.apple.madrid) |
| 10 de julio de 2020 14:12:09 | Solicitud de Pegasus de la aplicación Apple Music: https: //x1znqjo0x8b8j.php78mp9v.opposedarrangement [.] Net: 37271 / afAVt89Wq / stadium / pop2.html? Key = 501_4 & n = 7 |
| 2020-07-10 14:12:21 | Proceso: roleaccountd |
| 2020-07-10 14:12:53 | Proceso: stagingd |
| 13 de julio de 2020 05:05:17 | Solicitud de Pegasus por la aplicación Apple Music: https: // 4n3d9ca2st.php78mp9v.opposedarrangement [.] net: 37891 / w58Xp5Z / stadium / pop2.html? key = 501_4 & n = 7 |
Poco antes de que se lanzara Pegasus en el dispositivo, vimos el tráfico de red registrado para el servicio Apple Music. Estas solicitudes HTTP se recuperaron de un archivo de caché de red ubicado en /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache. db que recuperamos haciendo jailbreak al dispositivo.
Amnistía Internacional no puede determinar a partir de los análisis forenses si Apple Music fue explotada para transmitir la infección inicial o si, en cambio, se abusó de la aplicación como parte de una cadena de escalada de privilegios y escape de la zona de pruebas. Investigaciones recientes han demostrado que se puede abusar de las aplicaciones integradas, como la aplicación iTunes Store, para ejecutar un exploit del navegador mientras se escapa de la restrictiva zona de pruebas de la aplicación Safari.
Sin embargo, lo más importante es que la solicitud HTTP realizada por la aplicación Apple Music apunta al dominio opuesto al arreglo [.] Net , que previamente habíamos identificado como perteneciente a la infraestructura de red Pegasus de NSO Group. Este dominio coincidía con una huella dactilar distintiva que diseñamos mientras realizábamos exploraciones en Internet tras nuestro descubrimiento de los ataques de inyección de red en Marruecos (consulte la sección 9).
Además, estas URL muestran características peculiares típicas de otras URL que encontramos involucradas en ataques de Pegasus a lo largo de los años, como se explica en la siguiente sección.
6. Megalodon: iMessage con devolución de 0 días sin hacer clic en 2021
El análisis que Amnistía Internacional realizó de varios dispositivos revela rastros de ataques similares a los que observamos en 2019. Estos ataques se han observado en julio de 2021. Amnistía Internacional cree que Pegasus se está administrando actualmente mediante exploits de cero clics que siguen siendo funcionales a través de los últimos versión disponible de iOS en el momento de escribir este artículo (julio de 2021).
En el iPhone de un abogado de derechos humanos francés (CODE FRHRL2), observamos una búsqueda de una cuenta de iMessage sospechosa desconocida para la víctima, seguida de una solicitud HTTP realizada por el proceso com.apple.coretelephony . Este es un componente de iOS involucrado en todas las tareas relacionadas con la telefonía y probablemente entre los explotados en este ataque. Encontramos rastros de esta solicitud HTTP en un archivo de caché almacenado en el disco en /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db que contiene metadatos sobre la solicitud y la respuesta. El teléfono envió información sobre el dispositivo, incluido el modelo 9,1 (iPhone 7) y el número de compilación de iOS 18C66(versión 14.3) a un servicio liderado por Amazon CloudFront, lo que sugiere que NSO Group ha cambiado a usar los servicios de AWS en los últimos meses. En el momento de este ataque, la nueva versión 14.4 de iOS solo se había lanzado durante un par de semanas.
| Fecha (UTC) | Evento |
| 2021-02-08 10:42:40 | Búsqueda de linakeller2203@gmail.com por iMessage (com.apple.madrid) |
| 2021-02-08 11:27:10 | com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / fV2GsPXgW // stadium / megalodon? m = iPhone9,1 & v = 18C66 |
| 2021-02-08 11:27:21 | Proceso: gatekeeperd |
| 2021-02-08 11:27:22 | gatekeeperd realiza una solicitud HTTP a https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000 |
| 2021-02-08 11:27:23 | Proceso: gatekeeperd |
El archivo Cache.db para com.apple.coretelephony contiene detalles sobre la respuesta HTTP que parece haber sido una descarga de ~ 250kb de datos binarios. De hecho, encontramos el binario descargado en la subcarpeta fsCachedData , pero desafortunadamente estaba encriptado. Amnistía Internacional cree que esta es la carga útil lanzada como guardián .
Posteriormente, Amnistía Internacional analizó el iPhone de un periodista (CÓDIGO MOJRN1), que contenía registros muy similares. Este dispositivo fue explotado repetidamente en numerosas ocasiones entre febrero y abril de 2021 y en todas las versiones de iOS. El intento más reciente mostró los siguientes indicadores de compromiso:
| Fecha (UTC) | Evento |
| 2021-04-02 10:15:38 | Búsqueda de linakeller2203@gmail.com por iMessage (com.apple.madrid) |
| 2021-04-02 10:36:00 | com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // stadium / megalodon? m = iPhone8,1 & v = 18D52 & u = [CENSURADO] |
| 2021-04-02 10:36:08 | Process PDPDialogs realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] Net / dMx1hpK // stadium / wizard / ttjuk |
| 2021-04-02 10:36:16 | Process PDPDialogs realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] Net / dMx1hpK // stadium / wizard / 01-00000000 |
| 2021-04-02 10:36:16 | com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // stadium / wizard / cszjcft = frzaslm |
| 2021-04-02 10:36:35 | Proceso: gatekeeperd |
| 2021-04-02 10:36:45 | Proceso: rolexd |
Como es evidente , la misma cuenta de iMessage observada en el caso separado anterior estuvo involucrada en esta explotación y compromiso meses después. El mismo sitio web de CloudFront fue contactado por com.apple.coretelephony y los procesos adicionales ejecutaron, descargaron y lanzaron componentes maliciosos adicionales.
El registro inicial indica que el iPhone 6s comprometido estaba ejecutando iOS 14.4 (número de compilación 18D52) en el momento del ataque. Aunque las versiones 14.4.1 y 14.4.2 ya estaban disponibles en ese momento, solo abordaron las vulnerabilidades en WebKit, por lo que es seguro asumir que la vulnerabilidad aprovechada en estos ataques de iMessage se explotó como un día 0.
Vale la pena señalar que entre los muchos otros nombres de procesos maliciosos observados ejecutados en este teléfono, vemos msgacntd , que también encontramos ejecutándose en el teléfono de Omar Radi en 2019, como se documentó anteriormente.
Además, debe tenerse en cuenta que las URL que hemos observado utilizadas en ataques durante los últimos tres años muestran un conjunto consistente de patrones. Esto respalda el análisis de Amnistía Internacional de que las tres URL son, de hecho, componentes de la infraestructura de ataque de clientes de Pegasus. El ataque de Apple Music de 2020 muestra la misma estructura de dominio de cuarto nivel y un número de puerto alto no estándar que el ataque de inyección de red de 2019. Tanto los dominios free247downloads [.] Com como opposedarrangements [.] Net coincidían con nuestra huella digital de dominio Pegasus V4.
Además, la URL de ataque de Apple Music y las URL de ataque de Megaladon 2021 comparten un patrón distintivo. Ambas rutas de URL comienzan con un identificador aleatorio vinculado al intento de ataque seguido de la palabra «estadio».
| Ataque | URL |
| Inyección de red (2019) | https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse |
| Ataque de Apple Music (2020) | https: //4n3d9ca2st.php78mp9v.opposedarrangement [.] net: 37891 / w58Xp5Z / stadium / pop2.html? key = 501_4 & n = 7 |
| iMessage sin hacer clic (2021) | https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // estadio / wizard / ttjuk |
Amnistía Internacional entregó esta información a Amazon, quien nos informó que “actuaron rápidamente para cerrar la infraestructura y las cuentas implicadas” . [2]
El iPhone 11 de un activista de derechos humanos francés (CODE FRHRD1) también mostró una búsqueda de iMessage para la cuenta linakeller2203 [@] gmail.com el 11 de junio de 2021 y procesos maliciosos posteriores. El teléfono ejecutaba iOS 14.4.2 y se actualizó a 14.6 al día siguiente.
Más recientemente, Amnistía Internacional ha observado pruebas de compromiso del iPhone XR de un periodista indio (CODE INJRN1) con iOS 14.6 (el último disponible en el momento de redactar este artículo) tan recientemente como el 16 de junio de 2021. Por último, Amnistía Internacional ha confirmado una infección activa del iPhone X de un activista (CÓDIGO RWHRD1) el 24 de junio de 2021, también con iOS 14.6. Si bien no hemos podido extraer registros de las bases de datos Cache.db debido a la imposibilidad de hacer jailbreak a estos dos dispositivos, los datos de diagnóstico adicionales extraídos de estos iPhones muestran numerosas notificaciones push de iMessage inmediatamente antes de la ejecución de los procesos de Pegasus.
El dispositivo de un activista de Ruanda (CÓDIGO RWHRD1) muestra evidencia de múltiples infecciones exitosas de cero clic en mayo y junio de 2021. Podemos ver un ejemplo de esto el 17 de mayo de 2021. Se registra una cuenta de iMessage desconocida y en los minutos siguientes al menos Se crean 20 fragmentos de archivos adjuntos de iMessage en el disco.
| Fecha (UTC) | Evento |
| 2021-05-17 13:39:16 | Búsqueda de la cuenta de iCloud benjiburns8 [@] gmail.com (iMessage) |
| 2021-05-17 13:40:12 | Archivo: /private/var/mobile/Library/SMS/Attachments/dc/12/DEAE6789-0AC4-41A9-A91C-5A9086E406A5/.eBDOuIN1wq.gif-2hN9 |
| 2021-05-17 13:40:21 | Archivo: /private/var/mobile/Library/SMS/Attachments/41/01/D146B32E-CA53-41C5-BF61-55E0FA6F5FF3/.TJi3fIbHYN.gif-bMJq |
| … | … |
| 2021-05-17 13:44:19 | Archivo: /private/var/mobile/Library/SMS/Attachments/42/02/45F922B7-E819-4B88-B79A-0FEE289701EE/.v74ViRNkCG.gif-V678 |
Amnistía Internacional no encontró pruebas de que el ataque del 17 de mayo tuviera éxito. Los ataques posteriores del 18 de junio y el 23 de junio tuvieron éxito y llevaron a que se desplegaran cargas útiles de Pegasus en el dispositivo.
Inicialmente, se recibieron muchas notificaciones push de iMessage (com.apple.madrid) y se escribieron fragmentos de archivos adjuntos en el disco. La siguiente tabla muestra una muestra de los 48 archivos adjuntos que se encuentran en el sistema de archivos.
| Fecha (UTC) | Evento |
| 2021-06-23 20:45:00 | 8 notificaciones push para el tema com.apple.madrid (iMessage) |
| 2021-06-23 20:46:00 | 46 notificaciones push para el tema com.apple.madrid (iMessage) |
| 2021-06-23 20:46:19 | Archivo: /private/var/tmp/com.apple.messages/F803EEC3-AB3A-4DC2-A5F1-9E39D7A509BB/.cs/ChunkStoreDatabase |
| 2021-06-23 20:46:20 | Archivo: /private/var/mobile/Library/SMS/Attachments/77/07/4DFA8939-EE64-4CB5-A111-B75733F603A2/.8HfhwBP5qJ.gif-u0zD |
| … | … |
| 2021-06-23 20:53:00 | 17 notificaciones push para el tema com.apple.madrid (iMessage) |
| 2021-06-23 20:53:54 | Archivo: /private/var/tmp/com.apple.messages/50439EF9-750C-4449-B7FC-851F28BD3BD3/.cs/ChunkStoreDatabase |
| 2021-06-23 20:53:54 | Archivo: /private/var/mobile/Library/SMS/Attachments/36/06/AA10C840-1776-4A51-A547-BE78A3754773/.7bb9OMWUa8.gif-UAPo |
| 2021-06-23 20:54:00 | 54 notificaciones push para el tema com.apple.madrid (iMessage) |
Se produjo un bloqueo del proceso a las 20:48:56 que resultó en el inicio del proceso ReportCrash seguido de reinicios de múltiples procesos relacionados con el procesamiento de iMessage:
| Fecha (UTC) | Evento |
| 2021-06-23 20:48:56 | Proceso con PID 1192 y nombre ReportCrash |
| 2021-06-23 20:48:56 | Proceso con PID 1190 y nombre IMTransferAgent |
| 2021-06-23 20:48:56 | Proceso con PID 1153 y nombre SCHelper |
| 2021-06-23 20:48:56 | Procesar con PID 1151 y nombrar CategoríasService |
| 2021-06-23 20:48:56 | Procesar con PID 1147 y nombrar MessagesBlastDoorService |
| 2021-06-23 20:48:56 | Proceso con PID 1145 y nombre NotificationService |
Cinco minutos después se produjo una segunda serie de bloqueos y reinicios. El proceso ReportCrash se inició junto con los procesos relacionados con el análisis del contenido de iMessage y los avatares personalizados de iMessage.
| Fecha (UTC) | Evento |
| 2021-06-23 20:54:16 | Proceso con PID 1280 y nombre ReportCrash |
| 2021-06-23 20:54:16 | Proceso con PID 1278 y nombre IMTransferAgent |
| 2021-06-23 20:54:16 | Proceso con PID 1266 y nombre com.apple.WebKit.WebContent |
| 2021-06-23 20:54:16 | Procesar con PID 1263 y denominar com.apple.accessibility.mediaac |
| 2021-06-23 20:54:16 | Procesar con PID 1262 y nombrar CategoríasService |
| 2021-06-23 20:54:16 | Proceso con PID 1261 y nombre com.apple.WebKit.Networking |
| 2021-06-23 20:54:16 | Procesar con PID 1239 y avatarsd de nombre |
Poco después, a las 20:54, la explotación tuvo éxito, y observamos que el proceso com.apple.coretelephony realizó una solicitud de red que provocó la modificación del archivo Cache.db. Esto coincide con el comportamiento que Amnistía Internacional ha observado en los otros ataques de cero clic de Pegasus en 2021.
| Fecha (UTC) | Evento |
| 2021-06-23 20:54:35 | Archivo: /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db-shm |
| 2021-06-23 20:54:35 | Archivo: /private/var/wireless/Library/Caches/com.apple.coretelephony/fsCachedData/3C73213F-73E5-4429-AAD9-0D7AD9AE83D1 |
| 2021-06-23 20:54:47 | Archivo: / private / var / root / Library / Caches / appccntd /Cache.db |
| 2021-06-23 20:54:53 | Archivo: / private / var / tmp / XtYaXXY |
| 2021-06-23 20:55:08 | Archivo: /private/var/tmp/CFNetworkDownload_JQeZFF.tmp |
| 2021-06-23 20:55:09 | Archivo: / private / var / tmp / PWg6ueAldsvV8vZ8CYpkp53D |
| 2021-06-23 20:55:10 | Archivo: /private/var/db/com.apple.xpc.roleaccountd.staging/ otpgrefd |
| 2021-06-23 20:55:10 | Archivo: / private / var / tmp / vditcfwheovjf / kk |
| 2021-06-23 20:59:35 | Proceso: appccntd |
| 2021-06-23 20:59:35 | Proceso: otpgrefd |
Por último, el análisis de un iPhone 12 completamente parcheado con iOS 14.6 de un periodista indio (CODE INJRN2) también reveló signos de compromiso exitoso. Estos descubrimientos más recientes indican que los clientes de NSO Group actualmente pueden comprometer de forma remota todos los modelos y versiones recientes de iPhone de iOS.
Hemos informado esta información a Apple, quien nos informó que están investigando el asunto. [3]
7. Intentos incompletos de ocultar pruebas de compromiso
Varios iPhones que Amnistía Internacional ha inspeccionado indican que Pegasus ha comenzado recientemente a manipular las bases de datos del sistema y los registros de los dispositivos infectados para ocultar sus rastros e impedir los esfuerzos de investigación de Amnistía Internacional y otros investigadores.
Curiosamente, esta manipulación se hace evidente al verificar la consistencia de los registros sobrantes en DataUsage.sqlite y netusage.sqliteBases de datos SQLite. Pegasus ha eliminado los nombres de los procesos maliciosos de la tabla ZPROCESS en la base de datos DataUsage, pero no las entradas correspondientes de la tabla ZLIVEUSAGE. La tabla ZPROCESS almacena filas que contienen un ID de proceso y el nombre del proceso. La tabla ZLIVEUSAGE contiene una fila para cada proceso en ejecución, incluido el volumen de transferencia de datos y el ID del proceso correspondiente a la entrada ZPROCESS. Estas inconsistencias pueden ser útiles para identificar momentos en los que pueden haber ocurrido infecciones. Se observaron indicadores de compromiso adicionales de Pegasus en todos los dispositivos donde se observó esta anomalía. No se encontraron inconsistencias similares en ningún iPhone limpio analizado por Amnistía Internacional.
Aunque ahora se están eliminando los registros más recientes de estas bases de datos, los rastros de ejecuciones de procesos recientes también se pueden recuperar de registros de diagnóstico adicionales del sistema.
Por ejemplo, los siguientes registros se recuperaron del teléfono de un DDH (CÓDIGO RWHRD1):
| Fecha (UTC) | Evento |
| 2021-01-31 23:59:02 | Proceso: libtouchregd (PID 7354) |
| 2021-02-21 23:10:09 | Proceso: mptbd (PID 5663) |
| 2021-02-21 23:10:09 | Proceso: launchrexd (PID 4634) |
| 2021-03-21 06:06:45 | Proceso: roleaboutd (PID 12645) |
| 2021-03-28 00:36:43 | Proceso: otpgrefd (PID 2786) |
| 2021-04-06 21:29:56 | Proceso: locserviced (PID 5492) |
| 2021-04-23 01:48:56 | Proceso: eventfssd (PID 4276) |
| 2021-04-23 23:01:44 | Proceso: aggregatenotd (PID 1900) |
| 28/04/2021 16:08:40 | Proceso: xpccfd (PID 1218) |
| 2021-06-14 00:17:12 | Proceso: faskeepd (PID 4427) |
| 2021-06-14 00:17:12 | Proceso: lobbrogd (PID 4426) |
| 2021-06-14 00:17:12 | Proceso: neagentd (PID 4423) |
| 2021-06-14 00:17:12 | Proceso: com.apple.rapports.events (PID 4421) |
| 2021-06-18 08:13:35 | Proceso: faskeepd (PID 4427) |
| 2021-06-18 15:31:12 | Proceso: launchrexd (PID 1169) |
| 2021-06-18 15:31:12 | Proceso: frtipd (PID 1168) |
| 2021-06-18 15:31:12 | Proceso: ReminderIntentsUIExtension (PID 1165) |
| 2021-06-23 14:31:39 | Proceso: launchrexd (PID 1169) |
| 2021-06-23 20:59:35 | Proceso: otpgrefd (PID 1301) |
| 2021-06-23 20:59:35 | Proceso: launchafd (PID 1300) |
| 2021-06-23 20:59:35 | Proceso: vm_stats (PID 1294) |
| 2021-06-24 12:24:29 | Proceso: otpgrefd (PID 1301) |
Los archivos de registro del sistema también revelan la ubicación de los binarios de Pegasus en el disco. Estos nombres de archivo coinciden con los que hemos observado constantemente en los registros de ejecución de procesos presentados anteriormente. Los archivos binarios se encuentran dentro de la carpeta /private/var/db/com.apple.xpc.roleaccountd.staging/ que es consistente con los hallazgos de Citizen Lab en un informe de diciembre de 2020 .
| /private/var/db/com.apple.xpc.roleaccountd.staging/launchrexd/EACA3532-7D15-32EE-A88A-96989F9F558A |
Las investigaciones de Amnistía Internacional, corroboradas por información secundaria que hemos recibido, parecen sugerir que Pegasus ya no mantiene la persistencia en los dispositivos iOS. Por lo tanto, las cargas útiles binarias asociadas con estos procesos no se pueden recuperar del sistema de archivos no volátil. En cambio, sería necesario poder hacer jailbreak al dispositivo sin reiniciar e intentar extraer cargas útiles de la memoria.
8. Procesos de Pegasus disfrazados de servicios del sistema iOS
En los numerosos análisis forenses realizados por Amnistía Internacional en dispositivos de todo el mundo, encontramos un conjunto coherente de nombres de procesos maliciosos ejecutados en teléfonos comprometidos. Si bien algunos procesos, por ejemplo bh , parecen ser exclusivos de un vector de ataque en particular, la mayoría de los nombres de procesos de Pegasus parecen estar simplemente disfrazados para aparecer como procesos legítimos del sistema iOS, quizás para engañar a los investigadores forenses que inspeccionan los registros.
Varios de estos nombres de procesos falsifican archivos binarios legítimos de iOS:
| Nombre del proceso de Pegasus | Binario de iOS falsificado |
| ABSCarryLog | ASPCarryLog |
| aggregatenotd | agregado |
| ckkeyrollfd | ckkeyrolld |
| com.apple.Mappit.SnapshotService | com.apple.MapKit.SnapshotService |
| com.apple.rapports.events | com.apple.rapport.events |
| CommsCenterRootHelper | CommCenterRootHelper |
| Diagnóstico-2543 | Diagnóstico-2532 |
| Diagnosticado | Diagnósticos |
| eventosfssd | fseventsd |
| fmld | fmfd |
| JarvisPluginMgr | JarvisPlugin |
| Launchafd | lanzado |
| MobileSMSd | MobileSMS |
| nehelprd | nehelper |
| pcsd | com.apple.pcs |
| PDPDialogs | PPPDialogs |
| RecordatorioIntentsUIExtension | Recordatorios Intenciones UIExtensión |
| rlaccountd | xpcroleaccountd |
| rol contado | xpcroleaccountd |
La lista de nombres de procesos que asociamos con infecciones de Pegasus está disponible entre todos los demás indicadores de compromiso en nuestra página de GitHub .
9. Desentrañar la infraestructura de ataque de Pegasus a lo largo de los años
El conjunto de nombres de dominio, servidores e infraestructura utilizados para entregar y recopilar datos del software espía Pegasus de NSO Group ha evolucionado varias veces desde que Citizen Lab lo reveló públicamente por primera vez en 2016.
En agosto de 2018, Amnistía Internacional publicó un informe titulado » Amnistía Internacional entre los objetivos de la campaña impulsada por las OSN «, que describía los ataques contra un miembro del personal de Amnistía Internacional y un defensor de los derechos humanos saudí. En este informe, Amnistía Internacional presentó un extracto de más de 600 nombres de dominio vinculados a la infraestructura de ataque de NSO Group. Amnistía Internacional publicó la lista completa de dominios en octubre de 2018. En este informe, nos referimos a estos dominios como Red Pegasus versión 3 (V3) .
La infraestructura de la Versión 3 utilizó una red de VPS y servidores dedicados. Cada servidor de instalación de Pegasus o servidor de comando y control (C&C) alojaba un servidor web en el puerto 443 con un dominio único y un certificado TLS. Estos servidores perimetrales luego harían proxy de conexiones a través de una cadena de servidores, denominada por NSO Group como la “Red de Transmisión Anónima de Pegasus” (PATN).
Fue posible crear un par de huellas digitales para el conjunto distintivo de conjuntos de cifrado TLS compatibles con estos servidores. La técnica de huellas dactilares es conceptualmente similar a la técnica de huellas dactilares JA3S publicada por Salesforce en 2019 . Con esa huella digital, el Laboratorio de seguridad de Amnistía Internacional realizó escaneos en todo Internet para identificar la instalación / infección de Pegasus y los servidores C&C activos en el verano de 2018.
NSO Group cometió errores críticos de seguridad operativa al configurar su infraestructura de la Versión 3. Se reutilizaron dos dominios de la red de la Versión 2 anterior en su red de la Versión 3. Citizen Lab había identificado previamente estos dos dominios de la Versión 2, pine-sales [.] Com y ecommerce-ads [.] Org . Estos errores permitieron a Amnistía Internacional vincular el intento de ataque a nuestro colega con el producto Pegasus de NSO Group. Estos enlaces fueron confirmados de forma independiente por Citizen Lab en un informe de 2018 .
NSO Group cerró rápidamente muchos de sus servidores de la Versión 3 poco después de las publicaciones de Amnistía Internacional y Citizen Lab el 1 de agosto de 2018.
9.1 Más intentos de NSO Group para ocultar su infraestructura
En agosto de 2019, Amnistía Internacional identificó otro caso de uso de herramientas de NSO Group para atacar a un defensor de derechos humanos, esta vez en Marruecos. Maati Monjib fue atacado con mensajes SMS que contenían enlaces de la versión 3 de Pegasus .
Amnistía realizó un análisis forense de su iPhone como se describió anteriormente. Este análisis forense mostró redireccionamientos a un nuevo nombre de dominio free247downloads.com . Estos enlaces parecían sospechosamente similares a los enlaces de infección utilizados anteriormente por NSO.
Amnistía Internacional confirmó que este dominio estaba vinculado a NSO Group al observar artefactos distintivos de Pegasus creados en el dispositivo poco después de que se abriera la URL de la infección. Con este nuevo dominio en la mano, pudimos comenzar a mapear la infraestructura de Pegasus Versión 4 (V4) .
NSO Group reformuló su infraestructura para introducir capas adicionales, lo que complicó el descubrimiento. Sin embargo, ahora pudimos observar al menos 4 servidores utilizados en cada cadena de infección.
| Dominio de validación: https: // baramije [.] Net / [CADENA ALFANUMÉRICA]Dominio de explotación: https: // [ELIMINADO] .info8fvhgl3.urlpush [.] Net: 30827 / [MISMA CADENA ALFANUMÉRICA] |
- Un servidor de validación: el primer paso fue un sitio web que hemos visto alojado en proveedores de alojamiento compartido. Con frecuencia, este sitio web ejecutaba una aplicación PHP o CMS aleatoria y, a veces, poco conocida. Amnistía Internacional cree que se trata de un esfuerzo por hacer que los dominios parezcan menos distinguibles.
El servidor de validación verificaría la solicitud entrante. Si una solicitud tuviera una URL válida y aún activa, el servidor de validación redirigiría a la víctima al dominio del servidor de exploits recién generado. Si la URL o el dispositivo no eran válidos, se redirigía a un sitio web de señuelo legítimo. Cualquier transeúnte o rastreador de Internet solo vería el señuelo PHP CMS. - Servidor DNS de infección: NSO ahora parece estar usando un subdominio único para cada intento de explotación. Cada subdominio se generó y solo estuvo activo durante un corto período de tiempo. Esto impidió que los investigadores encontraran la ubicación del servidor de vulnerabilidades en función de los registros históricos del dispositivo.
Para resolver dinámicamente estos subdominios, NSO Group ejecutó un servidor DNS personalizado bajo un subdominio para cada dominio de infección. También obtuvo un certificado TLS comodín que sería válido para cada subdominio generado como * .info8fvhgl3.urlpush [.] Net o * .get1tn0w.free247downloads [.] Com . - Servidor de instalación de Pegasus: para atender la carga útil de infección real, NSO Group necesita ejecutar un servidor web en algún lugar de Internet. Una vez más, NSO Group tomó medidas para evitar el escaneo de Internet ejecutando el servidor web en un número de puerto alto aleatorio.
Suponemos que cada servidor web de infección es parte de la nueva generación de «Red de transmisión anónima de Pegasus» . Es probable que las conexiones al servidor de infección se transfieran a la infraestructura de Pegasus del cliente. - Servidor de comando y control : en generaciones anteriores de PATN, NSO Group usaba dominios separados para la infección inicial y la comunicación posterior con el software espía. El informe iPwn de Citizen Lab proporcionó evidencia de que Pegasus está usando nuevamente dominios separados para comando y control. Para evitar el descubrimiento basado en la red, el software espía Pegasus hizo conexiones directas con los servidores Pegasus C&C sin antes realizar una búsqueda de DNS o enviar el nombre de dominio en el campo TLS SNI.
9.2 Identificación de otros dominios de ataque NSO
Amnistía Internacional comenzó analizando la configuración de los dominios de infección y servidores DNS utilizados en los ataques contra periodistas y defensores de derechos humanos marroquíes.
Basándonos en nuestro conocimiento de los dominios utilizados en Marruecos, desarrollamos una huella digital que identificó 201 dominios de instalación de Pegasus que tenían infraestructura activa en el momento del escaneo inicial. Este conjunto de 201 dominios incluía tanto urlpush [.] Net como free247downloads [.] Com .
Amnistía Internacional identificó 500 dominios adicionales con el posterior escaneo de la red y agrupando patrones de registro de dominios, emisión de certificados TLS y composición de dominios que coincidían con el conjunto inicial de 201 dominios.
Amnistía Internacional cree que esto representa una parte significativa de la infraestructura de ataque del Grupo NSO Versión 4. Hoy publicamos estos 700 dominios. Recomendamos a la sociedad civil y las organizaciones de medios que verifiquen la telemetría de su red y / o los registros de DNS en busca de rastros de estos indicadores de compromiso.
9.3 Qué se puede aprender de la infraestructura de NSO Group
El siguiente gráfico muestra la evolución de la infraestructura de NSO Group Pegasus durante un período de 4 años desde 2016 hasta mediados de 2021. Gran parte de la infraestructura de la Versión 3 se cerró abruptamente en agosto de 2018 a raíz de nuestro informe sobre un miembro del personal de Amnistía Internacional atacado con Pegasus. La infraestructura de la Versión 4 se implementó gradualmente a partir de septiembre y octubre de 2018.
Se registró una cantidad significativa de nuevos dominios en noviembre de 2019, poco después de que WhatsApp notificara a sus usuarios sobre una supuesta orientación con Pegasus. Esto puede reflejar la rotación de dominios de NSO debido al riesgo percibido de descubrimiento o debido a la interrupción de su infraestructura de alojamiento existente.
La infraestructura del servidor DNS V4 comenzó a desconectarse a principios de 2021 luego del informe Citizen Lab iPwn que reveló múltiples dominios Pegasus V4.
Amnistía Internacional sospecha que el cierre de la infraestructura V4 coincidió con el cambio de NSO Group hacia el uso de servicios en la nube como Amazon CloudFront para ofrecer las primeras etapas de sus ataques. El uso de servicios en la nube protege a NSO Group de algunas técnicas de escaneo de Internet.
9.4 Infraestructura de ataque alojada principalmente en Europa y América del Norte
La infraestructura Pegasus de NSO Group consiste principalmente en servidores alojados en centros de datos ubicados en países europeos. Los países que albergan la mayor cantidad de servidores DNS de dominio de infección incluyen Alemania, el Reino Unido, Suiza, Francia y los Estados Unidos (EE. UU.).
| País | Servidores por país |
| Alemania | 212 |
| Reino Unido | 79 |
| Suiza | 36 |
| Francia | 35 |
| Estados Unidos | 28 |
| Finlandia | 9 |
| Países Bajos | 5 |
| Canadá | 4 |
| Ucrania | 4 |
| Singapur | 3 |
| India | 3 |
| Austria | 3 |
| Japón | 1 |
| Bulgaria | 1 |
| Lituania | 1 |
| Bahréin | 1 |
La siguiente tabla muestra la cantidad de servidores DNS alojados con cada proveedor de alojamiento. La mayoría de los servidores identificados están asignados a las empresas de alojamiento de propiedad estadounidense Digital Ocean, Linode y Amazon Web Services (AWS).
Muchos proveedores de alojamiento ofrecen alojamiento de servidores en varias ubicaciones físicas. Con base en estas dos tablas, parece que NSO Group está utilizando principalmente los centros de datos europeos administrados por empresas de alojamiento estadounidenses para ejecutar gran parte de la infraestructura de ataque para sus clientes.
| La red | Servidores por red |
| DIGITALOCEAN-ASN | 142 |
| Linode, LLC | 114 |
| AMAZON-02 | 73 |
| Akenes SA | 60 |
| UpCloud Ltd | 9 |
| Choopa | 7 |
| OVH SAS | 6 |
| Virtual Systems LLC | 2 |
| ASN-QUADRANET-GLOBAL | 1 |
| combahton GmbH | 1 |
| UAB Rakrejus | 1 |
| HZ Hosting Ltd | 1 |
| PE Brezhnev Daniil | 1 |
| Neterra Ltd. | 1 |
| Kyiv Optic Networks Ltd | 1 |
La investigación de Amnistía Internacional identificó 28 servidores DNS vinculados a la infraestructura de infección que estaban alojados en Estados Unidos.
| Nombre de dominio | IP del servidor DNS | La red |
| drp32k77.todoinfonet.com | 104.223.76.216 | ASN-QUADRANET-GLOBAL |
| imgi64kf5so6k.transferlights.com | 165.227.52.184 | DIGITALOCEAN-ASN |
| pc43v65k.alignmentdisabled.net | 167.172.215.114 | DIGITALOCEAN-ASN |
| img54fsd3267h.prioritytrail.net | 157.245.228.71 | DIGITALOCEAN-ASN |
| jsfk3d43.netvisualizer.com | 104.248.126.210 | DIGITALOCEAN-ASN |
| cdn42js666.manydnsnow.com | 138.197.223.170 | DIGITALOCEAN-ASN |
| css1833iv.handcraftedformat.com | 134.209.172.164 | DIGITALOCEAN-ASN |
| js43fsf7v.opera-van.com | 159.203.87.42 | DIGITALOCEAN-ASN |
| pypip36z19.myfundsdns.com | 167.99.105.68 | DIGITALOCEAN-ASN |
| css912jy6.reception-desk.net | 68.183.105.242 | DIGITALOCEAN-ASN |
| imgi64kf5so6k.transferlights.com | 206.189.214.74 | DIGITALOCEAN-ASN |
| js85mail.preferenceviews.com | 142.93.80.134 | DIGITALOCEAN-ASN |
| css3218i.quota-reader.net | 165.227.17.53 | DIGITALOCEAN-ASN |
| mongo87a.sweet-water.org | 142.93.113.166 | DIGITALOCEAN-ASN |
| react12x2.towebsite.net | 3.13.132.96 | AMAZON-02 |
| jsb8dmc5z4.gettingurl.com | 13.59.79.240 | AMAZON-02 |
| react12x2.towebsite.net | 3.16.75.157 | AMAZON-02 |
| cssgahs5j.redirigir.net | 18.217.13.50 | AMAZON-02 |
| jsm3zsn5kewlmk9q.dns-analytics.com | 18.225.12.72 | AMAZON-02 |
| imgcss35d.domain-routing.com | 13.58.85.100 | AMAZON-02 |
| jsb8dmc5z4.gettingurl.com | 18.191.63.125 | AMAZON-02 |
| js9dj1xzc8d.beanbounce.net | 199.247.15.15 | CHOOPA |
| jsid76api.buildyourdata.com | 108.61.158.97 | CHOOPA |
| cdn19be2.reloadinput.com | 95.179.177.18 | CHOOPA |
| srva9awf.syncingprocess.com | 66.175.211.107 | Linode |
| jsfk3d43.netvisualizer.com | 172.105.148.64 | Linode |
| imgdsg4f35.permalinking.com | 23.239.16.143 | Linode |
| srva9awf.syncingprocess.com | 45.79.190.38 | Linode |
9.5 Resoluciones del dominio de infección observadas en la base de datos DNS pasiva
Sobre la base del análisis forense de los dispositivos comprometidos, Amnistía Internacional determinó que NSO Group estaba utilizando un subdominio único y generado aleatoriamente para cada intento de distribuir el software espía Pegasus.
Amnistía Internacional buscó conjuntos de datos de DNS pasivos para cada uno de los dominios de la versión 4 de Pegasus que hemos identificado. Las bases de datos de DNS pasivas registran la resolución histórica de DNS de un dominio y, a menudo, incluyen subdominios y la dirección IP histórica correspondiente.
Un subdominio solo se registrará en registros de DNS pasivos si el subdominio se resolvió con éxito y la resolución transitó por una red que estaba ejecutando una sonda de DNS pasiva.
Estos datos de la sonda se recopilan en base a acuerdos entre operadores de red y proveedores de datos de DNS pasivos. Muchas redes no estarán cubiertas por estos acuerdos de recopilación de datos. Por ejemplo, no se registraron resoluciones de DNS pasivas para ninguno de los dominios de infección de Pegasus utilizados en Marruecos.
Como tal, estas resoluciones representan solo un pequeño subconjunto de la actividad general de NSO Group Pegasus .
| Dominio de infección | Subdominios de infección únicos |
| mongo77usr.urlredirect.net | 417 |
| str1089.mailappzone.com | 410 |
| apiweb248.theappanalytics.com | 391 |
| dist564.htmlstats.net | 245 |
| css235gr.apigraphs.net | 147 |
| nodesj44s.unusualneighbor.com | 38 |
| jsonapi2.linksnew.info | 30 |
| img9fo658tlsuh.securisurf.com | 19 |
| pc25f01dw.loading-url.net | 12 |
| dbm4kl5d3faqlk6.healthyguess.com | 8 |
| img359axw1z.reload-url.net | 5 |
| css2307.cssgraphics.net | 5 |
| info2638dg43.newip-info.com | 3 |
| img87xp8m.catbrushcable.com | 2 |
| img108jkn42.av-scanner.com | 2 |
| mongom5sxk8fr6.extractsight.com | 2 |
| img776cg3.webprotector.co | 1 |
| tv54d2ml1.topadblocker.net | 1 |
| drp2j4sdi.safecrusade.com | 1 |
| api1r3f4.redirectweburl.com | 1 |
| pc41g20bm.redirectconnection.net | 1 |
| jsj8sd9nf.randomlane.net | 1 |
| php78mp9v.opposedarrangement.net | 1 |
El dominio urlredirect.net tuvo el mayor número de subdominios únicos observados. En total, se registraron 417 resoluciones entre el 4 de octubre de 2018 y el 17 de septiembre de 2019. La segunda más alta fue mailappzone.com, que tiene 410 resoluciones en un período de 3 meses entre el 23 de julio de 2020 y el 15 de octubre de 2020.
Amnistía Internacional cree que cada una de estas resoluciones de subdominio, 1748 en total, representa un intento de comprometer un dispositivo con Pegasus. Estos 23 dominios representan menos del 7% de los 379 dominios del servidor de instalación de Pegasus que hemos identificado. Basado en este pequeño subconjunto, Pegasus puede haber sido utilizado en miles de ataques durante los últimos tres años.
10. Dispositivos móviles, seguridad y auditabilidad
Gran parte de la orientación descrita en este informe implica ataques de Pegasus dirigidos a dispositivos iOS. Es importante tener en cuenta que esto no refleja necesariamente la seguridad relativa de los dispositivos iOS en comparación con los dispositivos Android u otros sistemas operativos y fabricantes de teléfonos.
Según la experiencia de Amnistía Internacional, hay muchos más rastros forenses accesibles para los investigadores en los dispositivos Apple iOS que en los dispositivos Android estándar, por lo que nuestra metodología se centra en los primeros. Como resultado, los casos más recientes de infecciones confirmadas por Pegasus han involucrado iPhones.
Esta y todas las investigaciones anteriores demuestran cómo los ataques contra dispositivos móviles son una amenaza significativa para la sociedad civil a nivel mundial. La dificultad no solo para prevenir, sino para detectar póstumamente ataques es el resultado de una asimetría insostenible entre las capacidades fácilmente disponibles para los atacantes y las protecciones inadecuadas de las que disfrutan las personas en riesgo.
Si bien los dispositivos iOS brindan al menos algunos diagnósticos útiles, los registros históricos son escasos y se pueden manipular fácilmente. Otros dispositivos brindan poca o ninguna ayuda para realizar análisis forenses consensuados. Aunque se puede hacer mucho para mejorar la postura de seguridad de los dispositivos móviles y mitigar los riesgos de ataques como los documentados en este informe, se podría lograr aún más mejorando la capacidad de los propietarios de dispositivos y los expertos técnicos para realizar comprobaciones periódicas de la integridad del sistema. .
Por lo tanto, Amnistía Internacional alienta encarecidamente a los proveedores de dispositivos a explorar opciones para hacer que sus dispositivos sean más auditables, sin sacrificar, por supuesto, las protecciones de seguridad y privacidad que ya existen. Los desarrolladores de plataformas y los fabricantes de teléfonos deben entablar conversaciones periódicas con la sociedad civil para comprender mejor los desafíos que enfrentan los defensores de derechos humanos, que a menudo están subrepresentados en los debates sobre ciberseguridad.
11. Con nuestra Metodología, damos a conocer nuestras herramientas e indicadores
Durante mucho tiempo, evaluar el estado de un dispositivo móvil presuntamente comprometido se ha considerado una tarea casi imposible, sobre todo en las comunidades de derechos humanos en las que trabajamos. Gracias al trabajo del Laboratorio de seguridad de Amnistía Internacional, hemos creado importantes capacidades que pueden beneficiar a nuestros compañeros y colegas que apoyan a activistas, periodistas y abogados que están en riesgo.
Por lo tanto, a través de este informe, no solo compartimos la metodología que hemos construido a lo largo de años de investigación, sino también las herramientas que creamos para facilitar este trabajo, así como los indicadores de compromiso de Pegasus que hemos recopilado.
Todos los indicadores de compromiso están disponibles en nuestro GitHub , incluidos los nombres de dominio de la infraestructura de Pegasus, las direcciones de correo electrónico recuperadas de las búsquedas de cuentas de iMessage involucradas en los ataques y todos los nombres de procesos que Amnistía Internacional ha identificado como asociados con Pegasus.
Amnistía Internacional también está lanzando una herramienta que hemos creado, llamada Mobile Verification Toolkit (MVT) . MVT es una herramienta modular que simplifica el proceso de adquisición y análisis de datos de dispositivos Android, y el análisis de registros de copias de seguridad de iOS y volcados del sistema de archivos, específicamente para identificar posibles rastros de compromiso.
MVT se puede proporcionar con indicadores de compromiso en formato STIX2 e identificará cualquier indicador coincidente que se encuentre en el dispositivo. Junto con los indicadores de Pegasus, MVT puede ayudar a identificar si un iPhone se ha visto comprometido.
Entre otras, algunas de las características que MVT tiene incluyen:
- Descifre las copias de seguridad de iOS cifradas.
- Procese y analice registros de numerosos registros del sistema y bases de datos de aplicaciones y sistemas iOS.
- Extraiga las aplicaciones instaladas de los dispositivos Android.
- Extraiga información de diagnóstico de dispositivos Android a través del protocolo adb.
- Compare los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2. Identifique automáticamente mensajes SMS maliciosos, sitios web visitados, procesos maliciosos y más.
- Genere registros JSON de registros extraídos y registros JSON separados de todos los rastros maliciosos detectados.
- Genere una línea de tiempo cronológica unificada de los registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.
Agradecimientos
El Laboratorio de Seguridad de Amnistía Internacional desea agradecer a todos aquellos que han apoyado esta investigación. Las herramientas lanzadas por la comunidad de investigación de seguridad de iOS, incluidos libimobiledevice y checkra1n, se utilizaron ampliamente como parte de esta investigación. También nos gustaría agradecer a Censys y RiskIQ por brindar acceso a sus datos de escaneo de Internet y DNS pasivos.
Amnistía Internacional desea agradecer a Citizen Lab por su importante y extensa investigación sobre NSO Group y otros actores que contribuyen a la vigilancia ilegal de la sociedad civil. Amnistía Internacional agradece a Citizen Lab la revisión por pares de este informe de investigación .
Por último, Amnistía Internacional desea agradecer a los numerosos periodistas y defensores de los derechos humanos que colaboraron con valentía para hacer posible esta investigación.
Apéndice A: Revisión por pares del Informe Metodológico por Citizen Lab
El Citizen Lab de la Universidad de Toronto ha revisado por pares de forma independiente un borrador de la metodología forense descrita en este informe.
Apéndice B: Búsquedas sospechosas de cuentas de iCloud
Este Apéndice muestra la superposición de cuentas de iCloud encontradas buscadas en los dispositivos móviles de diferentes objetivos. Esta lista se actualizará progresivamente.
| Cuenta de iCloud | Objetivo |
| bergers.o79 [@] gmail.com | · Omar Radi |
| naomiwerff722 [@] gmail.com | · Omar Radi |
Apéndice C: Rastreos detallados por objetivo
Este Apéndice contiene desgloses detallados de los rastros forenses recuperados para cada objetivo. Este Apéndice se actualizará progresivamente.
C.1 Descripción general de los rastros forenses para Maati Monjib
| Fecha (UTC) | Evento |
| 2017-11-02 12:29:33 | SMS de Pegasus con enlace a hxxps: // tinyurl [.] Com / y73qr7mb redireccionando a hxxps: / /revolution-news[.]co / ikXFZ34ca |
| 2017-11-02 16:42:34 | SMS de Pegasus con enlace a hxxps: // stopsms [.] Biz / vi78ELI |
| 2017-11-02 16:44:00 | SMS de Pegasus con enlace a hxxps: // detiene ms [.] Biz / vi78ELI desde +212766090491 |
| 2017-11-02 16:45:10 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-02 16:57:00 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-02 17:13:45 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-02 17:21:57 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-02 17:30:49 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-02 17:40:46 | SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491 |
| 2017-11-15 17:05:17 | SMS de Pegasus con enlace a hxxps: // videosdownload [.] Co / nBBJBIP |
| 2017-11-20 18:22:03 | SMS de Pegasus con enlace a hxxps: // infospress [.] Com / LqoHgMCEE |
| 2017-11-24 13:43:17 | SMS de Pegasus con enlace a hxxps: // tinyurl [.] Com / y9hbdqm5 redireccionando a hxxps: // hmizat [.] Co / JaCTkfEp |
| 2017-11-24 17:26:09 | SMS de Pegasus con enlace a hxxps: // stopsms [.] Biz / 2Kj2ik6 |
| 2017-11-27 15:56:10 | SMS de Pegasus con enlace a hxxps: // detienems [.] Biz / yTnWt1Ct |
| 2017-11-27 17:32:37 | SMS de Pegasus con enlace a hxxps: // hmizat [.] Co / ronEKDVaf |
| 2017-12-07 18:21:57 | SMS de Pegasus con enlace a hxxp: // tinyurl [.] Com / y7wdcd8z redireccionando a hxxps: // infospress [.] Com / Ln3HYK4C |
| 2018-01-08 12:58:14 | SMS de Pegasus con enlace a hxxp: // tinyurl [.] Com / y87hnl3o redireccionando a hxxps: // infospress [.] Com / asjmXqiS |
| 2018-02-09 21:12:49 | Proceso: pcsd |
| 2018-03-16 08:24:20 | Proceso: pcsd |
| 2018-04-28 22:25:12 | Proceso: bh |
| 2018-05-04 21:30:45 | Proceso: pcsd |
| 2018-05-21 21:46:06 | Proceso: fmld |
| 2018-05-22 17:36:51 | Proceso: bh |
| 2018-06-04 11:05:43 | Proceso: fmld |
| 2019-03-27 21:45:10 | Proceso: bh |
| 2019-04-14 23:02:41 | Favicon de Safari desde la URL hxxps: //c7r8x8f6zecd8j.get1tn0w. free247downloads [.] com : 30352 / Ld3xuuW5 |
| 2019-06-27 20:13:10 | Favicon de Safari desde la URL hxxps: //3hdxu4446c49s.get1tn0w. free247downloads [.] com : 30497 / pczrccr # 052045871202826837337308184750023238630846883009852 |
| 2019-07-22 15:42:32 | Visita de Safari a hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz |
| 2019-07 22 15:42:32 | Visita de Safari a hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz # 048634787343287485982474853012724998054718494423286 |
| 2019-07-22 15:43:06 | Favicon de Safari desde la URL hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz # 048634787343287485982474853012724998054718494423286 |
| n / A | Archivo WebKit IndexedDB para URL hxxps: //c7r8x8f6zecd8j.get1tn0w. free247downloads [.] com |
| n / A | Archivo WebKit IndexedDB para URL hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com |
| n / A | Archivo WebKit IndexedDB para URL hxxps: //keewrq9z.get1tn0w. free247downloads [.] com |
| n / A | Archivo WebKit IndexedDB para URL hxxps: //3hdxu4446c49s.get1tn0w. free247downloads [.] com |
C.2 Descripción general de los rastros forenses para Omar Radi
| Fecha (UTC) | Evento |
| 2019-02-11 14:45:45 | Archivo Webkit IndexedDB para URL hxxps: //d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com |
| 2019-02-11 13:45:53 | Favicon de Safari desde la URL hxxps: //d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com : 30897 / rdEN5YP |
| 2019-02-11 13:45:56 | Proceso: bh |
| 2019-02-11 13:46:16 | Proceso: roleaboutd |
| 2019-02-11 13:46:23 | Proceso: roleaboutd |
| 2019-02-11 16:05:24 | Proceso: roleaboutd |
| 2019-08-16 17:41:06 | Búsqueda de iMessage para la cuenta bergers.o79 [@] gmail.com |
| 2019-09-13 15:01:38 | Favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse # 011356570257117296834845704022338973133022433397236 |
| 2019-09-13 15:01:56 | Favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse # 068099561614626278519925358638789161572427833645389 |
| 2019-09-13 15:02:11 | Proceso: bh |
| 2019-09-13 15:02:20 | Proceso: msgacntd |
| 2019-09-13 15:02:33 | Proceso: msgacntd |
| 2019-09-14 15:02:57 | Proceso: msgacntd |
| 2019-09-14 18:51:54 | Proceso: msgacntd |
| 2019-10-29 12:21:18 | Búsqueda de iMessage para la cuenta naomiwerff772 [@] gmail.com |
| 27-01-2020 10:06:24 | Favicon de Safari para URL hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 |
| 2020-01-27 10:06:26 | Visita de Safari a hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 # 2 |
| 2020-01-27 10:06:26 | Visita de Safari a hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 # 24 |
| 2020-01-27 10:06:32 | Favicon de Safari para URL hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946% 2324 |
