Introducción

NSO Group afirma que su software espía Pegasus solo se utiliza para «investigar el terrorismo y el crimen»  y «no deja rastro alguno» . Este Informe de Metodología Forense muestra que ninguna de estas afirmaciones es cierta. Este informe acompaña el lanzamiento del Proyecto Pegasus, una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de medios en 10 países coordinada por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional. [1]

El Laboratorio de Seguridad de Amnistía Internacional ha realizado análisis forenses en profundidad de numerosos dispositivos móviles de defensores de los derechos humanos (DDH) y periodistas de todo el mundo. Esta investigación ha descubierto una vigilancia ilegal generalizada, persistente y continua y abusos de los derechos humanos perpetrados con el software espía Pegasus de NSO Group.

Como se establece en los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos, el Grupo NSO debe tomar medidas proactivas urgentemente para garantizar que no cause ni contribuya a abusos de derechos humanos dentro de sus operaciones globales, y para responder a cualquier abuso de derechos humanos cuando ocurren. Para cumplir con esa responsabilidad, NSO Group debe llevar a cabo la debida diligencia en materia de derechos humanos y tomar las medidas necesarias para garantizar que los defensores de derechos humanos y los periodistas no sigan siendo objeto de vigilancia ilegal.

En este Informe sobre metodología forense, Amnistía Internacional comparte su metodología y publica una herramienta forense móvil de código abierto e indicadores técnicos detallados, con el fin de ayudar a los investigadores de seguridad de la información y a la sociedad civil a detectar y responder a estas graves amenazas.

Este informe documenta los rastros forenses que se dejaron en los dispositivos iOS y Android después de la orientación con el software espía Pegasus. Esto incluye registros forenses que relacionan las infecciones recientes de Pegasus con la carga útil de Pegasus de 2016 utilizada para atacar al HRD Ahmed Mansoor.

Los ataques de Pegasus detallados en este informe y los apéndices que lo acompañan son desde 2014 hasta julio de 2021. Estos también incluyen los llamados ataques de «clic cero» que no requieren ninguna interacción del objetivo. Los ataques de cero clic se han observado desde mayo de 2018 y continúan hasta ahora. Más recientemente, se ha observado un ataque exitoso de «clic cero» que explota varios días cero para atacar un iPhone 12 completamente parcheado con iOS 14.6 en julio de 2021.

Las secciones 1 a 8 de este informe describen los rastros forenses que quedan en los dispositivos móviles después de una infección por Pegasus. Esta evidencia se ha recopilado de los teléfonos de defensores y defensoras de los derechos humanos y periodistas en varios países.

Finalmente, en la sección 9 del informe se documenta la evolución de la infraestructura de red de Pegasus desde 2016. NSO Group ha rediseñado su infraestructura de ataque empleando múltiples capas de dominios y servidores. Los repetidos errores de seguridad operativa han permitido al Laboratorio de Seguridad de Amnistía  Internacional mantener una visibilidad continua de esta infraestructura. Estamos publicando un conjunto de 700 dominios relacionados con Pegasus.

Los nombres de varios de los objetivos de la sociedad civil en el informe se han anonimizado por razones de seguridad. A las personas que han sido anonimizadas se les ha asignado un nombre de código alfanumérico en este informe. 

1. Descubriendo los ataques de inyección de red de Pegasus

La investigación técnica de Amnistía Internacional sobre Pegasus del Grupo NSO se intensificó tras nuestro descubrimiento del objetivo de un miembro del personal de Amnistía Internacional y un activista saudí, Yahya Assiri, en 2018. El Laboratorio de Seguridad de Amnistía Internacional comenzó a perfeccionar su metodología forense a través del descubrimiento de ataques contra DDH en Marruecos en 2019 , que fueron corroborados aún más por los ataques que descubrimos contra un periodista marroquí en 2020 . En esta primera sección detallamos el proceso que condujo al descubrimiento de estos compromisos.

Numerosos informes públicos habían identificado a los clientes de NSO Group utilizando mensajes SMS con dominios de explotación de Pegasus a lo largo de los años. Como resultado, surgieron mensajes similares de nuestro análisis del teléfono de la activista marroquí Maati Monjib, quien fue una de las activistas atacadas como se documenta en el informe de 2019 de Amnistía Internacional .

Sin embargo, en un análisis más detallado también notamos redireccionamientos sospechosos registrados en el historial de navegación de Safari. Por ejemplo, en un caso notamos una redirección a una URL de aspecto extraño después de que Maati Monjib intentó visitar Yahoo:

ID de visitaFecha (UTC)URLFuente de redireccionamientoDestino de redireccionamiento
161192019-07-22 17: 42: 32.475http://yahoo.fr/nulo16120
161202019-07-22 17: 42: 32.478https: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz16119nulo

Tenga en cuenta : a lo largo de este documento, escapamos de los dominios maliciosos con la marca [.] Para evitar clics y visitas accidentales).

La URL https: //bun54l2b67.get1tn0w.free247downloads [.] Com: 30495 / szev4hz pareció sospechosa de inmediato, especialmente debido a la presencia de un subdominio de cuarto nivel, un número de puerto alto no estándar y un URI aleatorio similar a los enlaces contenidos en mensajes SMS previamente documentados en relación con Pegasus de NSO Group. Como puede ver en la tabla anterior, la visita a Yahoo se redirigió inmediatamente a esta URL sospechosa con el ID de base de datos 16120.

En nuestro informe de octubre de 2019 , detallamos cómo determinamos que estas redirecciones son el resultado de ataques de inyección de red realizados a través de dispositivos tácticos, como torres celulares no autorizadas, o mediante equipos dedicados colocados en el operador móvil. Cuando meses más tarde analizamos el iPhone del periodista independiente marroquí Omar Radi, quien, como se documenta en nuestro informe de 2020, fue atacado, encontramos registros similares relacionados con el dominio free247downloads [.] Com .

En noviembre de 2019, tras el informe inicial de Amnistía Internacional, se registró un nuevo dominio urlpush [.] Net . Posteriormente lo encontramos involucrado en redireccionamientos similares a la URL https: //gnyjv1xltx.info8fvhgl3.urlpush [.] Net: 30875 / zrnv5revj.

Aunque los registros del historial de Safari suelen ser de corta duración y se pierden después de unos meses (así como potencialmente eliminados intencionalmente por malware), hemos podido encontrar los dominios de infección de NSO Group en otras bases de datos del teléfono de Omar Radi que no aparecían en Safari. Historia. Por ejemplo, podríamos identificar visitas a través de la base de datos Favicon.db de Safari , que Pegasus dejó intacta:

Fecha (UTC)   URLURL del icono
2019-02-11 14:45:53https: //d9z3sz93x5ueidq3.get1tn0w.free247downloads [.] com: 30897 / rdEN5YPhttps: //d9z3sz93x5ueidq3.get1tn0w.free247downloads [.] com: 30897 / favicon.ico
2019-09-13 17:01:38https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse # 011356570257117296834845704022338973133022433397236https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / favicon.ico
2019-09-13 17:01:56https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse # 068099561614626278519925358638789161572427833645389https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / favicon.ico
2020-01-17 11:06:32https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946% 2324https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / favicon.ico 
2020-01-27 11:06:24https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946https: //gnyjv1xltx.info8fvhgl3.urlpush [.] net: 30875 / favicon.ico

Como se explica en el Apéndice técnico de nuestro informe de 2020 sobre los ataques de Pegasus en Marruecos , estos redireccionamientos no solo ocurren cuando el objetivo está navegando por Internet con la aplicación del navegador, sino también cuando usa otras aplicaciones. Por ejemplo, en un caso, Amnistía Internacional identificó una inyección de red mientras Omar Radi estaba usando la aplicación de Twitter. Al obtener una vista previa de un enlace compartido en su línea de tiempo, se invocó el servicio com.apple.SafariViewService para cargar un Safari WebView y se produjo una redirección.

Debido a esto, podemos encontrar registros adicionales relacionados con los dominios free247downloads [.] Com y urlpush [.] Net en el almacenamiento local WebKit específico de la aplicación, carpetas IndexedDB y más. En varios casos, Safari creó los archivos IndexedDB poco después de la redirección de inyección de red al servidor de instalación de Pegasus.

Además, los registros de recursos de sesión de Safari proporcionan rastros adicionales que no aparecen constantemente en el historial de navegación de Safari. Parece que Safari no registra las cadenas de redireccionamiento completas y es posible que solo mantenga registros del historial que muestren la página final que se cargó. Los registros de recursos de sesión recuperados de los teléfonos analizados demuestran que los dominios de preparación adicionales se utilizan como trampolines que eventualmente conducen a los servidores de infección. De hecho, estos registros revelan que la primera inyección de red contra Maati Monjib que describimos al principio de esta publicación también involucró al dominio documentpro [.] Org :

Fuente de redireccionamientoOrigenDestino de redireccionamiento
yahoo.frdocumentpro [.] orgfree247downloads [.] com

Maati Monjib visitó http://yahoo.fr, y una inyección de red redirigió con fuerza el navegador a documentpro [.] Org antes de redirigirlo a free247downloads [.] Com y continuar con la explotación.

Del mismo modo, en otra ocasión, Omar Radi visitó el sitio web del periódico francés Le Parisien y una inyección de red lo redirigió a través del dominio de ensayo tahmilmilafate [.] Com y, finalmente, también a free247downloads [.] Com. También vimos información de tahmilmilafate [.] Usada de la misma manera:

Fuente de redireccionamientoOrigenDestino de redireccionamiento
leparisien.frtahmilmilafate [.] comfree247downloads [.] com

En los intentos más recientes que Amnistía Internacional observó contra Omar Radi en enero de 2020, su teléfono fue redirigido a una página de explotación en gnyjv1xltx.info8fvhgl3.urlpush [.] Net que pasaba por el dominio baramije [.] Net . El dominio baramije [.] Net se registró un día antes de urlpush [.] Net , y se creó un sitio web señuelo utilizando el CMS de código abierto Textpattern.

Los rastros de actividad de la red no fueron los únicos indicadores disponibles de compromiso, y una inspección adicional de los iPhones reveló procesos ejecutados que finalmente llevaron al establecimiento de un patrón consistente único para todos los iPhones posteriores que Amnistía Internacional analizó y encontró infectados.

2. Aparecen BridgeHead de Pegasus y otros procesos maliciosos

Amnistía Internacional, Citizen Lab y otros han atribuido principalmente los ataques de software espía de Pegasus en función de los nombres de dominio y otra infraestructura de red utilizada para realizar los ataques. Sin embargo, la evidencia forense dejada por el software espía Pegasus proporciona otra forma independiente de atribuir estos ataques a la tecnología de NSO Group.

iOS mantiene registros de ejecuciones de procesos y su respectivo uso de red en dos archivos de base de datos SQLite llamados » DataUsage.sqlite » y » netusage.sqlite » que se almacenan en el dispositivo. Vale la pena señalar que, si bien el primero está disponible en la copia de seguridad de iTunes, el segundo no lo está. Además, debe tenerse en cuenta que solo los procesos que realizaron actividad de red aparecerán en estas bases de datos.

Las bases de datos de uso de la red de Maati Monjib y Omar Radi contenían registros de un proceso sospechoso llamado » bh» . Este proceso «bh» se observó en múltiples ocasiones inmediatamente después de las visitas a los dominios de instalación de Pegasus.

El teléfono de Maati Monjib tiene registros de ejecución de «bh» desde abril de 2018 hasta marzo de 2019:

Primera fecha (UTC)Última fecha (UTC)Nombre del procesoWWAN ENWWAN FUERAIdentificacion de proceso
2018-04-29 00:25:122019-03-27 22:45:10bh3319875.0144443.059472

Amnistía Internacional encontró registros similares en el teléfono de Omar Radi entre febrero y septiembre de 2019:

Primera fecha (UTC)Última fecha (UTC)Nombre del procesoWWAN ENWWAN FUERAIdentificacion de proceso
2019-02-11 14:45:562019-09-13 17:02:11bh3019409.0147684.050465

La última ejecución registrada de «bh» ocurrió unos segundos después de una inyección de red exitosa (como se ve en los registros de favicon enumerados anteriormente en 2019-09-13 17:01:56).

De manera crucial, encontramos referencias a «bh» en la muestra de Pegasus iOS recuperada de los ataques de 2016 contra el defensor de derechos humanos de los EAU Ahmed Mansoor, descubierto por Citizen Lab y analizado en profundidad por la firma de ciberseguridad Lookout .

Como se describe en el análisis de Lookout, en 2016 NSO Group aprovechó una vulnerabilidad en iOS JavaScriptCore Binary (jsc) para lograr la ejecución de código en el dispositivo. Esta misma vulnerabilidad también se utilizó para mantener la persistencia en el dispositivo después del reinicio. Encontramos referencias a «bh» en todo el código de explotación:

var compressed_ bh _addr = shellcode_addr_aligned + shellcode32.byteLength;replacePEMagics (shellcode32, dlsym_addr, compressed_ bh _addr, bundle. bh CompressedByteLength);storeU32Array (shellcode32, shellcode_addr);storeU32Array (paquete. bh Compressed32, compressed_ bh _addr);

Este módulo se describe en el análisis de Lookout de la siguiente manera:

«Bh.c: carga funciones de API que se relacionan con la descompresión de las cargas útiles de la siguiente etapa y su ubicación adecuada en el iPhone de la víctima mediante el uso de funciones como BZ2_bzDecompress, chmod y malloc»

Lookout explica además que un archivo de configuración ubicado en / var / tmp / jb_cfg se coloca junto al binario. Curiosamente, encontramos la ruta a este archivo exportado como _kBridgeHeadConfigurationFilePath en la parte del archivo libaudio.dylib del paquete Pegasus:

__const: 0001AFCC EXPORT _kBridgeHeadConfigurationFilePath__const: 0001AFCC _kBridgeHeadConfigurationFilePath DCD cfstr_VarTmpJb_cfg; «/ var / tmp / jb_cfg»

Por lo tanto, sospechamos que «bh» podría significar «BridgeHead» , que probablemente sea el nombre interno asignado por NSO Group a este componente de su kit de herramientas. 

La aparición del proceso «bh» inmediatamente después de la inyección de red exitosa del teléfono de Omar Radi es consistente con el propósito evidente del módulo BridgeHead. Completa la explotación del navegador, arraiga el dispositivo y se prepara para su infección con la suite completa de Pegasus.

2.1 Procesos sospechosos adicionales después de BridgeHead

El proceso bh apareció por primera vez en el teléfono de Omar Radi el 11 de febrero de 2019. Esto ocurrió 10 segundos después de que el servidor de instalación de Pegasus creara un archivo IndexedDB y Safari registrara una entrada de favicon. Aproximadamente al mismo tiempo, el archivo com.apple.CrashReporter.plist se escribió en / private / var / root / Library / Preferences / , lo que probablemente deshabilite la notificación de los registros de bloqueo a Apple. La cadena de exploits había obtenido permiso de root en esta etapa.

Menos de un minuto después aparece por primera vez un proceso » roleaboutd «.

Fecha (UTC)Evento 
2019-02-11 14:45:45Registro IndexedDB para URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897 / 
2019-02-11 14:45:53Registro de favicon de Safari para URL hxxps // d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com : 30897 / rdEN5YP 
2019-02-11 14:45:54Reportero de accidentes desactivado escribiendo com.apple.CrashReporter.plist 
2019-02-11 14:45:56Proceso: bh 
2019-02-11 14:46:23Proceso: roleaboutd primero 
2019-02-11 17:05:24Proceso: roleaboutd last 

El dispositivo de Omar Radi fue explotado nuevamente el 13 de septiembre de 2019. De nuevo, un proceso » bh » comenzó poco después. Alrededor de este tiempo se modificó el archivo com.apple.softwareupdateservicesd.plist . También se lanzó un proceso » msgacntd» . 

Fecha (UTC)Evento
2019-09-13 17:01:38Registro de favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse
2019-09-13 17:02:11Proceso: bh
2019-09-13 17:02:33Proceso: msgacntd primero
2019-09-13 17:02:35Archivo modificado: com.apple.softwareupdateservicesd.plist
2019-09-14 20:51:54Proceso: msgacntd last

 Sobre la base del momento y el contexto de la explotación, Amnistía Internacional cree que los procesos roleaboutd y msgacntd son una etapa posterior del software espía Pegasus que se cargó después de una explotación exitosa y una escalada de privilegios con la carga útil BridgeHead .

Del mismo modo, el análisis forense del teléfono de Maati Monjib reveló la ejecución de más procesos sospechosos además de bh . Un proceso llamado pcsd y uno llamado fmld aparecieron en 2018:

Primera citaUltima citaNombre del procesoWWAN ENWWAN FUERAIdentificacion de proceso
2018-05-04 23:30:452018-05-04 23:30:45pcsd12305.010173.014946
2018-05-21 23:46:062018-06-4 13:05:43fmld0.0188326.021207

Amnistía Internacional verificó que no se distribuyeron archivos binarios legítimos con los mismos nombres en versiones recientes de iOS.

El descubrimiento de estos procesos en los teléfonos de Omar Radi y Maati Monjib más tarde se convirtió en un instrumento para las continuas investigaciones de Amnistía Internacional, ya que encontramos procesos con los mismos nombres en dispositivos de personas objetivo de todo el mundo.

3. Procesos de Pegasus tras la posible explotación de Apple Photos

Durante las investigaciones de Amnistía Internacional como parte del Proyecto Pegasus, descubrimos casos adicionales en los que el proceso “bh” mencionado anteriormente se registró en dispositivos comprometidos a través de diferentes vectores de ataque.

En un caso, el teléfono de un abogado de derechos humanos francés (CÓDIGO: FRHRL1) se vio comprometido y el proceso «bh» se ejecutó segundos después de que se grabara por primera vez el tráfico de red para la aplicación Fotos de iOS ( com.apple.mobileslideshow ). Nuevamente, después de una explotación exitosa, los informes de fallas se desactivaron escribiendo un archivo com.apple.CrashReporter.plist en el dispositivo.

2019-10-29 09:04:32Proceso: mobileslideshow / com.apple.mobileslideshow primero
2019-10-29 09:04:58Proceso: bh
2019-10-29 09:05:08com.apple.CrashReporter.plist eliminado
2019-10-29 09:05:53Proceso: mptbd

La siguiente y última vez que se registró la actividad de red para la aplicación Fotos de iOS fue el 18 de diciembre de 2019, una vez más antes de la ejecución de procesos maliciosos en el dispositivo.

2019-12-18 08:13:33Proceso: mobileslideshow / com.apple.mobileslideshow last
2019-12-18 08:13:47Proceso: bh
2019-12-18 11:50:15Proceso: ckeblld

En un caso separado, identificamos un patrón similar con los procesos «mobilelideshow» y «bh» en el iPhone de un periodista francés (CÓDIGO: FRJRN1) en mayo de 2020:

24-05-2020 15:44:21Proceso: mobileslideshow / com.apple.mobileslideshow primero
2020-05-24 15:44:39Proceso: bh
2020-05-24 15:46:51Proceso: fservernetd
 
27-05-2020 16:58:31Proceso: mobileslideshow / com.apple.mobileslideshow last
27-05-2020 16:58:52Proceso: bh
27-05-2020 18:00:50Proceso: ckkeyrollfd

Amnistía Internacional no pudo capturar las cargas útiles relacionadas con esta explotación, pero sospecha que la aplicación Fotos de iOS o el servicio Photostream se utilizaron como parte de una cadena de exploits para implementar Pegasus. Las aplicaciones en sí mismas pueden haber sido explotadas o su funcionalidad mal utilizada para entregar un JavaScript más tradicional o un exploit del navegador al dispositivo.

Como puede ver en las tablas anteriores , los nombres de procesos adicionales como mptbd , ckeblld , fservernetd y ckkeyrollfd aparecen justo después de bh . Al igual que con fmld y pcsd, Amnistía Internacional cree que se trata de cargas útiles adicionales descargadas y ejecutadas después de un compromiso exitoso. A medida que avanzaban nuestras investigaciones, identificamos docenas de nombres de procesos maliciosos involucrados en las infecciones de Pegasus.

Además, Amnistía Internacional encontró la misma cuenta de iCloud bogaardlisa803 [@] gmail.com registrada como vinculada al servicio “com.apple.private.alloy.photostream” en ambos dispositivos. Las cuentas de iCloud creadas intencionalmente parecen ser fundamentales para la entrega de múltiples vectores de ataque de «clic cero» en muchos casos recientes de dispositivos comprometidos analizados por Amnistía Internacional.

4. Un día 0 de iMessage sin clics que se utilizó ampliamente en 2019

Si bien los mensajes SMS con enlaces maliciosos fueron la táctica elegida por los clientes de NSO Group entre 2016 y 2018, en los últimos años parecen haberse vuelto cada vez más raros. El descubrimiento de ataques de inyección de red en Marruecos señaló que las tácticas de los atacantes estaban cambiando. La inyección de red es un vector de ataque eficaz y rentable para uso doméstico, especialmente en países con influencia sobre los operadores móviles. Sin embargo, si bien solo es eficaz en las redes nacionales, la selección de objetivos extranjeros o de personas de las comunidades de la diáspora también cambió. 

A partir de 2019, una cantidad cada vez mayor de vulnerabilidades en iOS, especialmente iMessage y FaceTime, comenzaron a recibir parches gracias a sus descubrimientos por parte de investigadores de vulnerabilidades o a proveedores de ciberseguridad que informaban sobre exploits descubiertos en la naturaleza.

En respuesta, Amnistía Internacional amplió su metodología forense para recopilar cualquier rastro relevante mediante iMessage y FaceTime. iOS mantiene un registro de los ID de Apple que ve cada aplicación instalada en un archivo plist ubicado en /private/var/mobile/Library/Preferences/com.apple.identityservices. idstatuscache .plist . Este archivo también suele estar disponible en una copia de seguridad regular de iTunes, por lo que se puede extraer fácilmente sin la necesidad de un jailbreak.

Estos registros jugaron un papel fundamental en investigaciones posteriores. En muchos casos, descubrimos procesos sospechosos de Pegasus ejecutados en dispositivos inmediatamente después de búsquedas sospechosas de cuentas de iMessage. Por ejemplo, los siguientes registros se extrajeron del teléfono de un periodista francés (CÓDIGO FRJRN2):

2019-06-16 12:08:44Búsqueda de bergers.o79@gmail.com por com.apple.madrid (iMessage)
2019-08-16 12:33:52Búsqueda de bergers.o79@gmail \ x00 \ x00 om por com.apple.madrid (iMessage)
2019-08-16 12:37:55El archivo Library / Preferences / com.apple.CrashReporter.plist se crea dentro de RootDomain
2019-08-16 12:41:25El archivo Library / Preferences / roleaccountd.plist se crea dentro de RootDomain
2019-08-16 12:41:36Proceso: roleaccountd
2019-08-16 12:41:52Proceso: stagingd                    
2019-08-16 12:49:21Proceso: aggregatenotd

El análisis forense de Amnistía Internacional de varios dispositivos encontró registros similares. En muchos casos, la misma cuenta de iMessage vuelve a aparecer en varios dispositivos específicos, lo que podría indicar que esos dispositivos han sido seleccionados por el mismo operador. Además, los procesos de roles contados y escenificados ocurren de manera consistente, junto con otros.

Por ejemplo, el iPhone de un periodista húngaro (CÓDIGO HUJRN1) mostró los siguientes registros:

2019-09-24 13:26:15Búsqueda de jessicadavies1345@outlook.com por com.apple.madrid (iMessage)
2019-09-24 13:26:51Búsqueda de emmadavies8266@gmail.com por com.apple.madrid (iMessage)
2019-09-24 13:32:10Proceso: roleaccountd
2019-09-24 13:32:13Proceso: stagingd

En este caso, los primeros procesos sospechosos que realizaron alguna actividad de red se registraron 5 minutos después de la primera búsqueda. El archivo com.apple.CrashReporter.plist ya estaba presente en este dispositivo después de una infección exitosa anterior y no se volvió a escribir. 

El iPhone de otro periodista húngaro (CODE HUJRN2) muestra búsquedas de las mismas cuentas de iMessage junto con muchos otros procesos junto con roleaccountd y stagingd :

2019-07-15 12:01:37Búsqueda de mailto: e \ x00 \ x00 adavies8266@gmail.com por com.apple.madrid (iMessage)
2019-07-15 14:21:40Proceso: accountpfd
2019-08-29 10:57:43Proceso: roleaccountd
2019-08-29 10:57:44Proceso: stagingd
2019-08-29 10:58:35Proceso: launchrexd
2019-09-03 07:54:26Proceso: roleaccountd
2019-09-03 07:54:28Proceso: stagingd
2019-09-03 07:54:51Proceso: seraccountd
2019-09-05 13:26:38Proceso: seraccountd
2019-09-05 13:26:55Proceso: misbrigd
2019-09-10 06:09:04Búsqueda de emmadavies8266@gmail.com por com.apple.madrid (iMessage)
2019-09-10 06:09:47Búsqueda de jessicadavies1345@outlook.com por com.apple.madrid (iMessage)
2019-10-30 14:09:51Proceso: nehelprd

Es interesante observar que en los rastros que Amnistía Internacional recuperó de 2019, las búsquedas de iMessage que precedieron inmediatamente a la ejecución de procesos sospechosos a menudo contenían un relleno 0x00 de dos bytes en la dirección de correo electrónico registrada por el archivo ID Status Cache.

5. Apple Music aprovechó para ofrecer Pegasus en 2020

A mediados de 2021, Amnistía Internacional identificó otro caso más de un destacado periodista de investigación de Azerbaiyán (CÓDIGO AZJRN1) que fue atacado repetidamente con los ataques de Pegasus zero-click desde 2019 hasta mediados de 2021.

Una vez más, encontramos un patrón similar de rastros forenses en el dispositivo después de la primera explotación exitosa registrada:

2019-03-28 07:43:14Archivo: Library / Preferences / com.apple.CrashReporter.plist de RootDomain
2019-03-28 07:44:03Archivo: Library / Preferences / roleaccountd.plist de RootDomain
2019-03-28 07:44:14Proceso: roleaccountd
2019-03-28 07:44:14Proceso: stagingd

Curiosamente, encontramos indicios de que se está utilizando una nueva técnica de infección de iOS para comprometer este dispositivo. Se produjo una infección exitosa el 10 de julio de 2020:

2020-07-06 05:22:21Búsqueda de f \ x00 \ x00ip.bl82@gmail.com por iMessage (com.apple.madrid)
10 de julio de 2020 14:12:09  Solicitud de Pegasus de la aplicación Apple Music: https: //x1znqjo0x8b8j.php78mp9v.opposedarrangement [.] Net: 37271 / afAVt89Wq / stadium / pop2.html? Key = 501_4 & n = 7
2020-07-10 14:12:21Proceso: roleaccountd
2020-07-10 14:12:53Proceso: stagingd
13 de julio de 2020 05:05:17Solicitud de Pegasus por la aplicación Apple Music:
https: // 4n3d9ca2st.php78mp9v.opposedarrangement [.] net: 37891 / w58Xp5Z / stadium / pop2.html? key = 501_4 & n = 7

Poco antes de que se lanzara Pegasus en el dispositivo, vimos el tráfico de red registrado para el servicio Apple Music. Estas solicitudes HTTP se recuperaron de un archivo de caché de red ubicado en /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache. db que recuperamos haciendo jailbreak al dispositivo.

Amnistía Internacional no puede determinar a partir de los análisis forenses si Apple Music fue explotada para transmitir la infección inicial o si, en cambio, se abusó de la aplicación como parte de una cadena de escalada de privilegios y escape de la zona de pruebas. Investigaciones recientes han demostrado que se puede abusar de las aplicaciones integradas, como la aplicación iTunes Store, para ejecutar un exploit del navegador mientras se escapa de la restrictiva zona de pruebas de la aplicación Safari.

Sin embargo, lo más importante es que la solicitud HTTP realizada por la aplicación Apple Music apunta al dominio opuesto al arreglo [.] Net , que previamente habíamos identificado como perteneciente a la infraestructura de red Pegasus de NSO Group. Este dominio coincidía con una huella dactilar distintiva que diseñamos mientras realizábamos exploraciones en Internet tras nuestro descubrimiento de los ataques de inyección de red en Marruecos (consulte la sección 9).

Además, estas URL muestran características peculiares típicas de otras URL que encontramos involucradas en ataques de Pegasus a lo largo de los años, como se explica en la siguiente sección.

6. Megalodon: iMessage con devolución de 0 días sin hacer clic en 2021

El análisis que Amnistía Internacional realizó de varios dispositivos revela rastros de ataques similares a los que observamos en 2019. Estos ataques se han observado en julio de 2021. Amnistía Internacional cree que Pegasus se está administrando actualmente mediante exploits de cero clics que siguen siendo funcionales a través de los últimos versión disponible de iOS en el momento de escribir este artículo (julio de 2021).

En el iPhone de un abogado de derechos humanos francés (CODE FRHRL2), observamos una búsqueda de una cuenta de iMessage sospechosa desconocida para la víctima, seguida de una solicitud HTTP realizada por el proceso com.apple.coretelephony . Este es un componente de iOS involucrado en todas las tareas relacionadas con la telefonía y probablemente entre los explotados en este ataque. Encontramos rastros de esta solicitud HTTP en un archivo de caché almacenado en el disco en /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db que contiene metadatos sobre la solicitud y la respuesta. El teléfono envió información sobre el dispositivo, incluido el modelo 9,1 (iPhone 7) y el número de compilación de iOS 18C66(versión 14.3) a un servicio liderado por Amazon CloudFront, lo que sugiere que NSO Group ha cambiado a usar los servicios de AWS en los últimos meses. En el momento de este ataque, la nueva versión 14.4 de iOS solo se había lanzado durante un par de semanas.

Fecha (UTC)Evento
2021-02-08 10:42:40Búsqueda de linakeller2203@gmail.com por iMessage (com.apple.madrid)
2021-02-08 11:27:10com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / fV2GsPXgW // stadium / megalodon? m = iPhone9,1 & v = 18C66
2021-02-08 11:27:21Proceso: gatekeeperd
2021-02-08 11:27:22gatekeeperd realiza una solicitud HTTP a https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000
2021-02-08 11:27:23Proceso: gatekeeperd

El archivo Cache.db para com.apple.coretelephony contiene detalles sobre la respuesta HTTP que parece haber sido una descarga de ~ 250kb de datos binarios. De hecho, encontramos el binario descargado en la subcarpeta fsCachedData , pero desafortunadamente estaba encriptado. Amnistía Internacional cree que esta es la carga útil lanzada como guardián .

Posteriormente, Amnistía Internacional analizó el iPhone de un periodista (CÓDIGO MOJRN1), que contenía registros muy similares. Este dispositivo fue explotado repetidamente en numerosas ocasiones entre febrero y abril de 2021 y en todas las versiones de iOS. El intento más reciente mostró los siguientes indicadores de compromiso:

Fecha (UTC)                           Evento
2021-04-02 10:15:38Búsqueda de linakeller2203@gmail.com por iMessage (com.apple.madrid)
2021-04-02 10:36:00com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // stadium / megalodon? m = iPhone8,1 & v = 18D52 & u = [CENSURADO]
2021-04-02 10:36:08Process PDPDialogs realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] Net / dMx1hpK // stadium / wizard / ttjuk
2021-04-02 10:36:16Process PDPDialogs realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] Net / dMx1hpK // stadium / wizard / 01-00000000
2021-04-02 10:36:16com.apple.coretelephony realiza una solicitud HTTP a https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // stadium / wizard / cszjcft = frzaslm
2021-04-02 10:36:35Proceso: gatekeeperd
2021-04-02 10:36:45Proceso: rolexd

Como es evidente , la misma cuenta de iMessage observada en el caso separado anterior estuvo involucrada en esta explotación y compromiso meses después. El mismo sitio web de CloudFront fue contactado por com.apple.coretelephony y los procesos adicionales ejecutaron, descargaron y lanzaron componentes maliciosos adicionales.

El registro inicial indica que el iPhone 6s comprometido estaba ejecutando iOS 14.4 (número de compilación 18D52) en el momento del ataque. Aunque las versiones 14.4.1 y 14.4.2 ya estaban disponibles en ese momento, solo abordaron las vulnerabilidades en WebKit, por lo que es seguro asumir que la vulnerabilidad aprovechada en estos ataques de iMessage se explotó como un día 0.

Vale la pena señalar que entre los muchos otros nombres de procesos maliciosos observados ejecutados en este teléfono, vemos msgacntd , que también encontramos ejecutándose en el teléfono de Omar Radi en 2019, como se documentó anteriormente.

Además, debe tenerse en cuenta que las URL que hemos observado utilizadas en ataques durante los últimos tres años muestran un conjunto consistente de patrones. Esto respalda el análisis de Amnistía Internacional de que las tres URL son, de hecho, componentes de la infraestructura de ataque de clientes de Pegasus. El ataque de Apple Music de 2020 muestra la misma estructura de dominio de cuarto nivel y un número de puerto alto no estándar que el ataque de inyección de red de 2019. Tanto los dominios free247downloads [.] Com como opposedarrangements [.] Net coincidían con nuestra huella digital de dominio Pegasus V4.

Además, la URL de ataque de Apple Music y las URL de ataque de Megaladon 2021 comparten un patrón distintivo. Ambas rutas de URL comienzan con un identificador aleatorio vinculado al intento de ataque seguido de la palabra «estadio».

Ataque   URL
Inyección de red (2019)https: //2far1v4lv8.get1tn0w.free247downloads [.] com: 31052 / meunsnyse
Ataque de Apple Music (2020)https: //4n3d9ca2st.php78mp9v.opposedarrangement [.] net: 37891 / w58Xp5Z / stadium / pop2.html? key = 501_4 & n = 7                                                    
iMessage sin hacer clic (2021)https: //d38j2563clgblt.cloudfront [.] net / dMx1hpK // estadio / wizard / ttjuk

Amnistía Internacional entregó esta información a Amazon, quien nos informó que “actuaron rápidamente para cerrar la infraestructura y las cuentas implicadas” . [2]

El iPhone 11 de un activista de derechos humanos francés (CODE FRHRD1) también mostró una búsqueda de iMessage para la cuenta linakeller2203 [@] gmail.com el 11 de junio de 2021 y procesos maliciosos posteriores. El teléfono ejecutaba iOS 14.4.2 y se actualizó a 14.6 al día siguiente.

Más recientemente, Amnistía Internacional ha observado pruebas de compromiso del iPhone XR de un periodista indio (CODE INJRN1) con iOS 14.6 (el último disponible en el momento de redactar este artículo) tan recientemente como el 16 de junio de 2021. Por último, Amnistía Internacional ha confirmado una infección activa del iPhone X de un activista (CÓDIGO RWHRD1) el 24 de junio de 2021, también con iOS 14.6. Si bien no hemos podido extraer registros de las bases de datos Cache.db debido a la imposibilidad de hacer jailbreak a estos dos dispositivos, los datos de diagnóstico adicionales extraídos de estos iPhones muestran numerosas notificaciones push de iMessage inmediatamente antes de la ejecución de los procesos de Pegasus.

El dispositivo de un activista de Ruanda (CÓDIGO RWHRD1) muestra evidencia de múltiples infecciones exitosas de cero clic en mayo y junio de 2021. Podemos ver un ejemplo de esto el 17 de mayo de 2021. Se registra una cuenta de iMessage desconocida y en los minutos siguientes al menos Se crean 20 fragmentos de archivos adjuntos de iMessage en el disco.

Fecha (UTC)  Evento
2021-05-17 13:39:16Búsqueda de la cuenta de iCloud benjiburns8 [@] gmail.com (iMessage)
2021-05-17 13:40:12Archivo: /private/var/mobile/Library/SMS/Attachments/dc/12/DEAE6789-0AC4-41A9-A91C-5A9086E406A5/.eBDOuIN1wq.gif-2hN9
2021-05-17 13:40:21Archivo: /private/var/mobile/Library/SMS/Attachments/41/01/D146B32E-CA53-41C5-BF61-55E0FA6F5FF3/.TJi3fIbHYN.gif-bMJq
2021-05-17 13:44:19Archivo: /private/var/mobile/Library/SMS/Attachments/42/02/45F922B7-E819-4B88-B79A-0FEE289701EE/.v74ViRNkCG.gif-V678

Amnistía Internacional no encontró pruebas de que el ataque del 17 de mayo tuviera éxito. Los ataques posteriores del 18 de junio y el 23 de junio tuvieron éxito y llevaron a que se desplegaran cargas útiles de Pegasus en el dispositivo.

Inicialmente, se recibieron muchas notificaciones push de iMessage (com.apple.madrid) y se escribieron fragmentos de archivos adjuntos en el disco. La siguiente tabla muestra una muestra de los 48 archivos adjuntos que se encuentran en el sistema de archivos.

Fecha (UTC)  Evento    
2021-06-23 20:45:008 notificaciones push para el tema com.apple.madrid (iMessage)
2021-06-23 20:46:0046 notificaciones push para el tema com.apple.madrid (iMessage)
2021-06-23 20:46:19Archivo: /private/var/tmp/com.apple.messages/F803EEC3-AB3A-4DC2-A5F1-9E39D7A509BB/.cs/ChunkStoreDatabase
2021-06-23 20:46:20Archivo: /private/var/mobile/Library/SMS/Attachments/77/07/4DFA8939-EE64-4CB5-A111-B75733F603A2/.8HfhwBP5qJ.gif-u0zD
2021-06-23 20:53:0017 notificaciones push para el tema com.apple.madrid (iMessage)
2021-06-23 20:53:54Archivo: /private/var/tmp/com.apple.messages/50439EF9-750C-4449-B7FC-851F28BD3BD3/.cs/ChunkStoreDatabase
2021-06-23 20:53:54Archivo: /private/var/mobile/Library/SMS/Attachments/36/06/AA10C840-1776-4A51-A547-BE78A3754773/.7bb9OMWUa8.gif-UAPo
2021-06-23 20:54:0054 notificaciones push para el tema com.apple.madrid (iMessage)

Se produjo un bloqueo del proceso a las 20:48:56 que resultó en el inicio del proceso ReportCrash seguido de reinicios de múltiples procesos relacionados con el procesamiento de iMessage:

Fecha (UTC)  Evento    
2021-06-23 20:48:56Proceso con PID 1192 y nombre ReportCrash
2021-06-23 20:48:56Proceso con PID 1190 y nombre IMTransferAgent
2021-06-23 20:48:56Proceso con PID 1153 y nombre SCHelper
2021-06-23 20:48:56Procesar con PID 1151 y nombrar CategoríasService
2021-06-23 20:48:56Procesar con PID 1147 y nombrar MessagesBlastDoorService
2021-06-23 20:48:56Proceso con PID 1145 y nombre NotificationService

Cinco minutos después se produjo una segunda serie de bloqueos y reinicios. El proceso ReportCrash se inició junto con los procesos relacionados con el análisis del contenido de iMessage y los avatares personalizados de iMessage.

Fecha (UTC)  Evento    
2021-06-23 20:54:16Proceso con PID 1280 y nombre ReportCrash
2021-06-23 20:54:16Proceso con PID 1278 y nombre IMTransferAgent
2021-06-23 20:54:16Proceso con PID 1266 y nombre com.apple.WebKit.WebContent
2021-06-23 20:54:16Procesar con PID 1263 y denominar com.apple.accessibility.mediaac
2021-06-23 20:54:16Procesar con PID 1262 y nombrar CategoríasService
2021-06-23 20:54:16Proceso con PID 1261 y nombre com.apple.WebKit.Networking
2021-06-23 20:54:16Procesar con PID 1239 y avatarsd de nombre

Poco después, a las 20:54, la explotación tuvo éxito, y observamos que el proceso com.apple.coretelephony realizó una solicitud de red que provocó la modificación del archivo Cache.db. Esto coincide con el comportamiento que Amnistía Internacional ha observado en los otros ataques de cero clic de Pegasus en 2021. 

Fecha (UTC)   Evento    
2021-06-23 20:54:35Archivo: /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db-shm
2021-06-23 20:54:35Archivo: /private/var/wireless/Library/Caches/com.apple.coretelephony/fsCachedData/3C73213F-73E5-4429-AAD9-0D7AD9AE83D1
2021-06-23 20:54:47Archivo: / private / var / root / Library / Caches / appccntd /Cache.db
2021-06-23 20:54:53Archivo: / private / var / tmp / XtYaXXY
2021-06-23 20:55:08Archivo: /private/var/tmp/CFNetworkDownload_JQeZFF.tmp
2021-06-23 20:55:09Archivo: / private / var / tmp / PWg6ueAldsvV8vZ8CYpkp53D
2021-06-23 20:55:10Archivo: /private/var/db/com.apple.xpc.roleaccountd.staging/ otpgrefd
2021-06-23 20:55:10Archivo: / private / var / tmp / vditcfwheovjf / kk
2021-06-23 20:59:35Proceso: appccntd
2021-06-23 20:59:35Proceso: otpgrefd

Por último, el análisis de un iPhone 12 completamente parcheado con iOS 14.6 de un periodista indio (CODE INJRN2) también reveló signos de compromiso exitoso. Estos descubrimientos más recientes indican que los clientes de NSO Group actualmente pueden comprometer de forma remota todos los modelos y versiones recientes de iPhone de iOS.

Hemos informado esta información a Apple, quien nos informó que están investigando el asunto. [3]

7. Intentos incompletos de ocultar pruebas de compromiso

Varios iPhones que Amnistía Internacional ha inspeccionado indican que Pegasus ha comenzado recientemente a manipular las bases de datos del sistema y los registros de los dispositivos infectados para ocultar sus rastros e impedir los esfuerzos de investigación de Amnistía Internacional y otros investigadores.

Curiosamente, esta manipulación se hace evidente al verificar la consistencia de los registros sobrantes en DataUsage.sqlite y netusage.sqliteBases de datos SQLite. Pegasus ha eliminado los nombres de los procesos maliciosos de la tabla ZPROCESS en la base de datos DataUsage, pero no las entradas correspondientes de la tabla ZLIVEUSAGE. La tabla ZPROCESS almacena filas que contienen un ID de proceso y el nombre del proceso. La tabla ZLIVEUSAGE contiene una fila para cada proceso en ejecución, incluido el volumen de transferencia de datos y el ID del proceso correspondiente a la entrada ZPROCESS. Estas inconsistencias pueden ser útiles para identificar momentos en los que pueden haber ocurrido infecciones. Se observaron indicadores de compromiso adicionales de Pegasus en todos los dispositivos donde se observó esta anomalía. No se encontraron inconsistencias similares en ningún iPhone limpio analizado por Amnistía Internacional.

Aunque ahora se están eliminando los registros más recientes de estas bases de datos, los rastros de ejecuciones de procesos recientes también se pueden recuperar de registros de diagnóstico adicionales del sistema.                                                                               

Por ejemplo, los siguientes registros se recuperaron del teléfono de un DDH (CÓDIGO RWHRD1):

Fecha (UTC)Evento
2021-01-31 23:59:02Proceso: libtouchregd (PID 7354)
2021-02-21 23:10:09Proceso: mptbd (PID 5663)
2021-02-21 23:10:09Proceso: launchrexd (PID 4634)
2021-03-21 06:06:45Proceso: roleaboutd (PID 12645)
2021-03-28 00:36:43Proceso: otpgrefd (PID 2786)
2021-04-06 21:29:56Proceso: locserviced (PID 5492)
2021-04-23 01:48:56Proceso: eventfssd (PID 4276)
2021-04-23 23:01:44Proceso: aggregatenotd (PID 1900)
28/04/2021 16:08:40Proceso: xpccfd (PID 1218)
2021-06-14 00:17:12Proceso: faskeepd (PID 4427)
2021-06-14 00:17:12Proceso: lobbrogd (PID 4426)
2021-06-14 00:17:12Proceso: neagentd (PID 4423)
2021-06-14 00:17:12Proceso: com.apple.rapports.events (PID 4421)
2021-06-18 08:13:35Proceso: faskeepd (PID 4427)
2021-06-18 15:31:12Proceso: launchrexd (PID 1169)
2021-06-18 15:31:12Proceso: frtipd (PID 1168)
2021-06-18 15:31:12Proceso: ReminderIntentsUIExtension (PID 1165)
2021-06-23 14:31:39Proceso: launchrexd (PID 1169)
2021-06-23 20:59:35Proceso: otpgrefd (PID 1301)
2021-06-23 20:59:35Proceso: launchafd (PID 1300)
2021-06-23 20:59:35Proceso: vm_stats (PID 1294)
2021-06-24 12:24:29Proceso: otpgrefd (PID 1301)

Los archivos de registro del sistema también revelan la ubicación de los binarios de Pegasus en el disco. Estos nombres de archivo coinciden con los que hemos observado constantemente en los registros de ejecución de procesos presentados anteriormente. Los archivos binarios se encuentran dentro de la carpeta /private/var/db/com.apple.xpc.roleaccountd.staging/ que es consistente con los hallazgos de Citizen Lab en un informe de diciembre de 2020 .

/private/var/db/com.apple.xpc.roleaccountd.staging/launchrexd/EACA3532-7D15-32EE-A88A-96989F9F558A

Las investigaciones de Amnistía Internacional, corroboradas por información secundaria que hemos recibido, parecen sugerir que Pegasus ya no mantiene la persistencia en los dispositivos iOS. Por lo tanto, las cargas útiles binarias asociadas con estos procesos no se pueden recuperar del sistema de archivos no volátil. En cambio, sería necesario poder hacer jailbreak al dispositivo sin reiniciar e intentar extraer cargas útiles de la memoria.

8. Procesos de Pegasus disfrazados de servicios del sistema iOS

En los numerosos análisis forenses realizados por Amnistía Internacional en dispositivos de todo el mundo, encontramos un conjunto coherente de nombres de procesos maliciosos ejecutados en teléfonos comprometidos. Si bien algunos procesos, por ejemplo bh , parecen ser exclusivos de un vector de ataque en particular, la mayoría de los nombres de procesos de Pegasus parecen estar simplemente disfrazados para aparecer como procesos legítimos del sistema iOS, quizás para engañar a los investigadores forenses que inspeccionan los registros.

Varios de estos nombres de procesos falsifican archivos binarios legítimos de iOS:

Nombre del proceso de PegasusBinario de iOS falsificado
ABSCarryLogASPCarryLog
aggregatenotdagregado
ckkeyrollfdckkeyrolld
com.apple.Mappit.SnapshotServicecom.apple.MapKit.SnapshotService
com.apple.rapports.eventscom.apple.rapport.events
CommsCenterRootHelperCommCenterRootHelper
Diagnóstico-2543Diagnóstico-2532
DiagnosticadoDiagnósticos
eventosfssdfseventsd
fmldfmfd
JarvisPluginMgrJarvisPlugin
Launchafdlanzado
MobileSMSdMobileSMS
nehelprdnehelper
pcsdcom.apple.pcs             
PDPDialogsPPPDialogs
RecordatorioIntentsUIExtensionRecordatorios Intenciones UIExtensión
rlaccountdxpcroleaccountd
rol contadoxpcroleaccountd

La lista de nombres de procesos que asociamos con infecciones de Pegasus está disponible entre todos los demás indicadores de compromiso en nuestra página de GitHub .

9. Desentrañar la infraestructura de ataque de Pegasus a lo largo de los años

El conjunto de nombres de dominio, servidores e infraestructura utilizados para entregar y recopilar datos del software espía Pegasus de NSO Group ha evolucionado varias veces desde que Citizen Lab lo reveló públicamente por primera vez en 2016.

En agosto de 2018, Amnistía Internacional publicó un informe titulado » Amnistía Internacional entre los objetivos de la campaña impulsada por las OSN «, que describía los ataques contra un miembro del personal de Amnistía Internacional y un defensor de los derechos humanos saudí. En este informe, Amnistía Internacional presentó un extracto de más de 600 nombres de dominio vinculados a la infraestructura de ataque de NSO Group. Amnistía Internacional publicó la lista completa de dominios en octubre de 2018. En este informe, nos referimos a estos dominios como Red Pegasus versión 3 (V3) .

La infraestructura de la Versión 3 utilizó una red de VPS y servidores dedicados. Cada servidor de instalación de Pegasus o servidor de comando y control (C&C) alojaba un servidor web en el puerto 443 con un dominio único y un certificado TLS. Estos servidores perimetrales luego harían proxy de conexiones a través de una cadena de servidores, denominada por NSO Group como la “Red de Transmisión Anónima de Pegasus” (PATN).

Fue posible crear un par de huellas digitales para el conjunto distintivo de conjuntos de cifrado TLS compatibles con estos servidores. La técnica de huellas dactilares es conceptualmente similar a la técnica de huellas dactilares JA3S publicada por Salesforce en 2019 . Con esa huella digital, el Laboratorio de seguridad de Amnistía Internacional realizó escaneos en todo Internet para identificar la instalación / infección de Pegasus y los servidores C&C activos en el verano de 2018. 

NSO Group cometió errores críticos de seguridad operativa al configurar su infraestructura de la Versión 3. Se reutilizaron dos dominios de la red de la Versión 2 anterior en su red de la Versión 3. Citizen Lab había identificado previamente estos dos dominios de la Versión 2, pine-sales [.] Com y ecommerce-ads [.] Org . Estos errores permitieron a Amnistía Internacional vincular el intento de ataque a nuestro colega con el producto Pegasus de NSO Group. Estos enlaces fueron confirmados de forma independiente por Citizen Lab en un informe de 2018 .

NSO Group cerró rápidamente muchos de sus servidores de la Versión 3 poco después de las publicaciones de Amnistía Internacional y Citizen Lab el 1 de agosto de 2018.

9.1 Más intentos de NSO Group para ocultar su infraestructura

En agosto de 2019, Amnistía Internacional identificó otro caso de uso de herramientas de NSO Group para atacar a un defensor de derechos humanos, esta vez en Marruecos. Maati Monjib fue atacado con mensajes SMS que contenían enlaces de la versión 3 de Pegasus .

Amnistía realizó un análisis forense de su iPhone como se describió anteriormente. Este análisis forense mostró redireccionamientos a un nuevo nombre de dominio free247downloads.com . Estos enlaces parecían sospechosamente similares a los enlaces de infección utilizados anteriormente por NSO.

Amnistía Internacional confirmó que este dominio estaba vinculado a NSO Group al observar artefactos distintivos de Pegasus creados en el dispositivo poco después de que se abriera la URL de la infección. Con este nuevo dominio en la mano, pudimos comenzar a mapear la infraestructura de Pegasus Versión 4 (V4) .

NSO Group reformuló su infraestructura para introducir capas adicionales, lo que complicó el descubrimiento. Sin embargo, ahora pudimos observar al menos 4 servidores utilizados en cada cadena de infección.

Dominio de validación: https: // baramije [.] Net / [CADENA ALFANUMÉRICA]Dominio de explotación:       https: // [ELIMINADO] .info8fvhgl3.urlpush [.] Net: 30827 / [MISMA CADENA ALFANUMÉRICA]
  1. Un servidor de validación: el primer paso fue un sitio web que hemos visto alojado en proveedores de alojamiento compartido. Con frecuencia, este sitio web ejecutaba una aplicación PHP o CMS aleatoria y, a veces, poco conocida. Amnistía Internacional cree que se trata de un esfuerzo por hacer que los dominios parezcan menos distinguibles.

    El servidor de validación verificaría la solicitud entrante. Si una solicitud tuviera una URL válida y aún activa, el servidor de validación redirigiría a la víctima al dominio del servidor de exploits recién generado. Si la URL o el dispositivo no eran válidos, se redirigía a un sitio web de señuelo legítimo. Cualquier transeúnte o rastreador de Internet solo vería el señuelo PHP CMS.
  2. Servidor DNS de infección: NSO ahora parece estar usando un subdominio único para cada intento de explotación. Cada subdominio se generó y solo estuvo activo durante un corto período de tiempo. Esto impidió que los investigadores encontraran la ubicación del servidor de vulnerabilidades en función de los registros históricos del dispositivo.

    Para resolver dinámicamente estos subdominios, NSO Group ejecutó un servidor DNS personalizado bajo un subdominio para cada dominio de infección. También obtuvo un certificado TLS comodín que sería válido para cada subdominio generado como * .info8fvhgl3.urlpush [.] Net o * .get1tn0w.free247downloads [.] Com .
  3. Servidor de instalación de Pegasus: para atender la carga útil de infección real, NSO Group necesita ejecutar un servidor web en algún lugar de Internet. Una vez más, NSO Group tomó medidas para evitar el escaneo de Internet ejecutando el servidor web en un número de puerto alto aleatorio.

    Suponemos que cada servidor web de infección es parte de la nueva generación de «Red de transmisión anónima de Pegasus» . Es probable que las conexiones al servidor de infección se transfieran a la infraestructura de Pegasus del cliente.
  4. Servidor de comando y control : en generaciones anteriores de PATN, NSO Group usaba dominios separados para la infección inicial y la comunicación posterior con el software espía. El informe iPwn de Citizen Lab proporcionó evidencia de que Pegasus está usando nuevamente dominios separados para comando y control. Para evitar el descubrimiento basado en la red, el software espía Pegasus hizo conexiones directas con los servidores Pegasus C&C sin antes realizar una búsqueda de DNS o enviar el nombre de dominio en el campo TLS SNI.

9.2 Identificación de otros dominios de ataque NSO

Amnistía Internacional comenzó analizando la configuración de los dominios de infección y servidores DNS utilizados en los ataques contra periodistas y defensores de derechos humanos marroquíes.

Basándonos en nuestro conocimiento de los dominios utilizados en Marruecos, desarrollamos una huella digital que identificó 201 dominios de instalación de Pegasus que tenían infraestructura activa en el momento del escaneo inicial. Este conjunto de 201 dominios incluía tanto urlpush [.] Net como free247downloads [.] Com .

Amnistía Internacional identificó 500 dominios adicionales con el posterior escaneo de la red y agrupando patrones de registro de dominios, emisión de certificados TLS y composición de dominios que coincidían con el conjunto inicial de 201 dominios.

Amnistía Internacional cree que esto representa una parte significativa de la infraestructura de ataque del Grupo NSO Versión 4. Hoy publicamos estos 700 dominios. Recomendamos a la sociedad civil y las organizaciones de medios que verifiquen la telemetría de su red y / o los registros de DNS en busca de rastros de estos indicadores de compromiso.

9.3 Qué se puede aprender de la infraestructura de NSO Group

El siguiente gráfico muestra la evolución de la infraestructura de NSO Group Pegasus durante un período de 4 años desde 2016 hasta mediados de 2021. Gran parte de la infraestructura de la Versión 3 se cerró abruptamente en agosto de 2018 a raíz de nuestro informe sobre un miembro del personal de Amnistía Internacional atacado con Pegasus. La infraestructura de la Versión 4 se implementó gradualmente a partir de septiembre y octubre de 2018.

Se registró una cantidad significativa de nuevos dominios en noviembre de 2019, poco después de que WhatsApp notificara a sus usuarios sobre una supuesta orientación con Pegasus. Esto puede reflejar la rotación de dominios de NSO debido al riesgo percibido de descubrimiento o debido a la interrupción de su infraestructura de alojamiento existente.

La infraestructura del servidor DNS V4 comenzó a desconectarse a principios de 2021 luego del informe Citizen Lab iPwn que reveló múltiples dominios Pegasus V4.

Amnistía Internacional sospecha que el cierre de la infraestructura V4 coincidió con el cambio de NSO Group hacia el uso de servicios en la nube como Amazon CloudFront para ofrecer las primeras etapas de sus ataques. El uso de servicios en la nube protege a NSO Group de algunas técnicas de escaneo de Internet.

9.4 Infraestructura de ataque alojada principalmente en Europa y América del Norte

La infraestructura Pegasus de NSO Group consiste principalmente en servidores alojados en centros de datos ubicados en países europeos. Los países que albergan la mayor cantidad de servidores DNS de dominio de infección incluyen Alemania, el Reino Unido, Suiza, Francia y los Estados Unidos (EE. UU.).

PaísServidores por país
Alemania212
Reino Unido79
Suiza36
Francia35
Estados Unidos28
Finlandia9
Países Bajos5
Canadá4
Ucrania4
Singapur3
India3
Austria3
Japón1
Bulgaria1
Lituania1
Bahréin1

La siguiente tabla muestra la cantidad de servidores DNS alojados con cada proveedor de alojamiento. La mayoría de los servidores identificados están asignados a las empresas de alojamiento de propiedad estadounidense Digital Ocean, Linode y Amazon Web Services (AWS).

Muchos proveedores de alojamiento ofrecen alojamiento de servidores en varias ubicaciones físicas. Con base en estas dos tablas, parece que NSO Group está utilizando principalmente los centros de datos europeos administrados por empresas de alojamiento estadounidenses para ejecutar gran parte de la infraestructura de ataque para sus clientes.

La redServidores por red
DIGITALOCEAN-ASN142
Linode, LLC114
AMAZON-0273
Akenes SA60
UpCloud Ltd9
Choopa7
OVH SAS6
Virtual Systems LLC2
ASN-QUADRANET-GLOBAL1
combahton GmbH1
UAB Rakrejus1
HZ Hosting Ltd1
PE Brezhnev Daniil1
Neterra Ltd.1
Kyiv Optic Networks Ltd1

La investigación de Amnistía Internacional identificó 28 servidores DNS vinculados a la infraestructura de infección que estaban alojados en Estados Unidos.

Nombre de dominioIP del servidor DNSLa red
drp32k77.todoinfonet.com104.223.76.216ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com165.227.52.184DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net167.172.215.114DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net157.245.228.71DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com104.248.126.210DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com138.197.223.170DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com134.209.172.164DIGITALOCEAN-ASN
js43fsf7v.opera-van.com159.203.87.42DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com167.99.105.68DIGITALOCEAN-ASN
css912jy6.reception-desk.net68.183.105.242DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com206.189.214.74DIGITALOCEAN-ASN
js85mail.preferenceviews.com142.93.80.134DIGITALOCEAN-ASN
css3218i.quota-reader.net165.227.17.53DIGITALOCEAN-ASN
mongo87a.sweet-water.org142.93.113.166DIGITALOCEAN-ASN
react12x2.towebsite.net3.13.132.96AMAZON-02
jsb8dmc5z4.gettingurl.com13.59.79.240AMAZON-02
react12x2.towebsite.net3.16.75.157AMAZON-02
cssgahs5j.redirigir.net18.217.13.50AMAZON-02
jsm3zsn5kewlmk9q.dns-analytics.com18.225.12.72AMAZON-02
imgcss35d.domain-routing.com13.58.85.100AMAZON-02
jsb8dmc5z4.gettingurl.com18.191.63.125AMAZON-02
js9dj1xzc8d.beanbounce.net199.247.15.15CHOOPA
jsid76api.buildyourdata.com108.61.158.97CHOOPA
cdn19be2.reloadinput.com95.179.177.18CHOOPA
srva9awf.syncingprocess.com66.175.211.107Linode
jsfk3d43.netvisualizer.com172.105.148.64Linode
imgdsg4f35.permalinking.com23.239.16.143Linode
srva9awf.syncingprocess.com45.79.190.38Linode

9.5 Resoluciones del dominio de infección observadas en la base de datos DNS pasiva

Sobre la base del análisis forense de los dispositivos comprometidos, Amnistía Internacional determinó que NSO Group estaba utilizando un subdominio único y generado aleatoriamente para cada intento de distribuir el software espía Pegasus.

Amnistía Internacional buscó conjuntos de datos de DNS pasivos para cada uno de los dominios de la versión 4 de Pegasus que hemos identificado. Las bases de datos de DNS pasivas registran la resolución histórica de DNS de un dominio y, a menudo, incluyen subdominios y la dirección IP histórica correspondiente.

Un subdominio solo se registrará en registros de DNS pasivos si el subdominio se resolvió con éxito y la resolución transitó por una red que estaba ejecutando una sonda de DNS pasiva.

Estos datos de la sonda se recopilan en base a acuerdos entre operadores de red y proveedores de datos de DNS pasivos. Muchas redes no estarán cubiertas por estos acuerdos de recopilación de datos. Por ejemplo, no se registraron resoluciones de DNS pasivas para ninguno de los dominios de infección de Pegasus utilizados en Marruecos.

Como tal, estas resoluciones representan solo un pequeño subconjunto de la actividad general de NSO Group Pegasus .

Dominio de infecciónSubdominios de infección únicos
mongo77usr.urlredirect.net417
str1089.mailappzone.com410
apiweb248.theappanalytics.com391
dist564.htmlstats.net245
css235gr.apigraphs.net147
nodesj44s.unusualneighbor.com38
jsonapi2.linksnew.info30
img9fo658tlsuh.securisurf.com19
pc25f01dw.loading-url.net12
dbm4kl5d3faqlk6.healthyguess.com8
img359axw1z.reload-url.net5
css2307.cssgraphics.net5
info2638dg43.newip-info.com3
img87xp8m.catbrushcable.com2
img108jkn42.av-scanner.com2
mongom5sxk8fr6.extractsight.com2
img776cg3.webprotector.co1
tv54d2ml1.topadblocker.net1
drp2j4sdi.safecrusade.com1
api1r3f4.redirectweburl.com1
pc41g20bm.redirectconnection.net1
jsj8sd9nf.randomlane.net1
php78mp9v.opposedarrangement.net1

El dominio urlredirect.net tuvo el mayor número de subdominios únicos observados. En total, se registraron 417 resoluciones entre el 4 de octubre de 2018 y el 17 de septiembre de 2019. La segunda más alta fue mailappzone.com, que tiene 410 resoluciones en un período de 3 meses entre el 23 de julio de 2020 y el 15 de octubre de 2020.

Amnistía Internacional cree que cada una de estas resoluciones de subdominio, 1748 en total, representa un intento de comprometer un dispositivo con Pegasus. Estos 23 dominios representan menos del 7% de los 379 dominios del servidor de instalación de Pegasus que hemos identificado. Basado en este pequeño subconjunto, Pegasus puede haber sido utilizado en miles de ataques durante los últimos tres años.

10. Dispositivos móviles, seguridad y auditabilidad

Gran parte de la orientación descrita en este informe implica ataques de Pegasus dirigidos a dispositivos iOS. Es importante tener en cuenta que esto no refleja necesariamente la seguridad relativa de los dispositivos iOS en comparación con los dispositivos Android u otros sistemas operativos y fabricantes de teléfonos.

Según la experiencia de Amnistía Internacional, hay muchos más rastros forenses accesibles para los investigadores en los dispositivos Apple iOS que en los dispositivos Android estándar, por lo que nuestra metodología se centra en los primeros. Como resultado, los casos más recientes de infecciones confirmadas por Pegasus han involucrado iPhones.

Esta y todas las investigaciones anteriores demuestran cómo los ataques contra dispositivos móviles son una amenaza significativa para la sociedad civil a nivel mundial. La dificultad no solo para prevenir, sino para detectar póstumamente ataques es el resultado de una asimetría insostenible entre las capacidades fácilmente disponibles para los atacantes y las protecciones inadecuadas de las que disfrutan las personas en riesgo.

Si bien los dispositivos iOS brindan al menos algunos diagnósticos útiles, los registros históricos son escasos y se pueden manipular fácilmente. Otros dispositivos brindan poca o ninguna ayuda para realizar análisis forenses consensuados. Aunque se puede hacer mucho para mejorar la postura de seguridad de los dispositivos móviles y mitigar los riesgos de ataques como los documentados en este informe, se podría lograr aún más mejorando la capacidad de los propietarios de dispositivos y los expertos técnicos para realizar comprobaciones periódicas de la integridad del sistema. .

Por lo tanto, Amnistía Internacional alienta encarecidamente a los proveedores de dispositivos a explorar opciones para hacer que sus dispositivos sean más auditables, sin sacrificar, por supuesto, las protecciones de seguridad y privacidad que ya existen. Los desarrolladores de plataformas y los fabricantes de teléfonos deben entablar conversaciones periódicas con la sociedad civil para comprender mejor los desafíos que enfrentan los defensores de derechos humanos, que a menudo están subrepresentados en los debates sobre ciberseguridad.

11. Con nuestra Metodología, damos a conocer nuestras herramientas e indicadores

Durante mucho tiempo, evaluar el estado de un dispositivo móvil presuntamente comprometido se ha considerado una tarea casi imposible, sobre todo en las comunidades de derechos humanos en las que trabajamos. Gracias al trabajo del Laboratorio de seguridad de Amnistía Internacional, hemos creado importantes capacidades que pueden beneficiar a nuestros compañeros y colegas que apoyan a activistas, periodistas y abogados que están en riesgo.

Por lo tanto, a través de este informe, no solo compartimos la metodología que hemos construido a lo largo de años de investigación, sino también las herramientas que creamos para facilitar este trabajo, así como los indicadores de compromiso de Pegasus que hemos recopilado.

Todos los indicadores de compromiso están disponibles en nuestro GitHub , incluidos los nombres de dominio de la infraestructura de Pegasus, las direcciones de correo electrónico recuperadas de las búsquedas de cuentas de iMessage involucradas en los ataques y todos los nombres de procesos que Amnistía Internacional ha identificado como asociados con Pegasus.

Amnistía Internacional también está lanzando una herramienta que hemos creado, llamada Mobile Verification Toolkit (MVT) . MVT es una herramienta modular que simplifica el proceso de adquisición y análisis de datos de dispositivos Android, y el análisis de registros de copias de seguridad de iOS y volcados del sistema de archivos, específicamente para identificar posibles rastros de compromiso.

MVT se puede proporcionar con indicadores de compromiso en  formato STIX2  e identificará cualquier indicador coincidente que se encuentre en el dispositivo. Junto con los indicadores de Pegasus, MVT puede ayudar a identificar si un iPhone se ha visto comprometido.

Entre otras, algunas de las características que MVT tiene incluyen:

  • Descifre las copias de seguridad de iOS cifradas.
  • Procese y analice registros de numerosos registros del sistema y bases de datos de aplicaciones y sistemas iOS.
  • Extraiga las aplicaciones instaladas de los dispositivos Android.
  • Extraiga información de diagnóstico de dispositivos Android a través del protocolo adb.
  • Compare los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2. Identifique automáticamente mensajes SMS maliciosos, sitios web visitados, procesos maliciosos y más.
  • Genere registros JSON de registros extraídos y registros JSON separados de todos los rastros maliciosos detectados.
  • Genere una línea de tiempo cronológica unificada de los registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.

Agradecimientos

El Laboratorio de Seguridad de Amnistía Internacional desea agradecer a todos aquellos que han apoyado esta investigación. Las herramientas lanzadas por la comunidad de investigación de seguridad de iOS, incluidos libimobiledevice y checkra1n, se utilizaron ampliamente como parte de esta investigación. También nos gustaría agradecer a Censys y RiskIQ por brindar acceso a sus datos de escaneo de Internet y DNS pasivos.

 Amnistía Internacional desea agradecer a Citizen Lab por su importante y extensa investigación sobre NSO Group y otros actores que contribuyen a la vigilancia ilegal de la sociedad civil. Amnistía Internacional agradece a Citizen Lab la revisión por pares de este informe de investigación .           

Por último, Amnistía Internacional desea agradecer a los numerosos periodistas y defensores de los derechos humanos que colaboraron con valentía para hacer posible esta investigación.

Apéndice A: Revisión por pares del Informe Metodológico por Citizen Lab

El Citizen Lab de la Universidad de Toronto ha revisado por pares de forma independiente un borrador de la metodología forense descrita en este informe. 

Apéndice B: Búsquedas sospechosas de cuentas de iCloud

Este Apéndice muestra la superposición de cuentas de iCloud encontradas buscadas en los dispositivos móviles de diferentes objetivos. Esta lista se actualizará progresivamente.

Cuenta de iCloudObjetivo
bergers.o79 [@] gmail.com·        Omar Radi
naomiwerff722 [@] gmail.com·        Omar Radi

Apéndice C: Rastreos detallados por objetivo

Este Apéndice contiene desgloses detallados de los rastros forenses recuperados para cada objetivo. Este Apéndice se actualizará progresivamente.

C.1 Descripción general de los rastros forenses para Maati Monjib

Fecha (UTC)Evento
2017-11-02 12:29:33SMS de Pegasus con enlace a hxxps: // tinyurl [.] Com / y73qr7mb redireccionando a hxxps: / /revolution-news[.]co / ikXFZ34ca
2017-11-02 16:42:34SMS de Pegasus con enlace a hxxps: // stopsms [.] Biz / vi78ELI
2017-11-02 16:44:00SMS de Pegasus con enlace a hxxps: // detiene ms [.] Biz / vi78ELI desde +212766090491
2017-11-02 16:45:10SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-02 16:57:00SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-02 17:13:45SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-02 17:21:57SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-02 17:30:49SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-02 17:40:46SMS de Pegasus con enlace a Hxxps: // detiene ms [.] Biz / bi78ELI desde +212766090491
2017-11-15 17:05:17SMS de Pegasus con enlace a hxxps: // videosdownload [.] Co / nBBJBIP
2017-11-20 18:22:03SMS de Pegasus con enlace a hxxps: // infospress [.] Com / LqoHgMCEE
2017-11-24 13:43:17SMS de Pegasus con enlace a hxxps: // tinyurl [.] Com / y9hbdqm5 redireccionando a hxxps: // hmizat [.] Co / JaCTkfEp
2017-11-24 17:26:09SMS de Pegasus con enlace a hxxps: // stopsms [.] Biz / 2Kj2ik6
2017-11-27 15:56:10SMS de Pegasus con enlace a hxxps: // detienems [.] Biz / yTnWt1Ct
2017-11-27 17:32:37SMS de Pegasus con enlace a hxxps: // hmizat [.] Co / ronEKDVaf
2017-12-07 18:21:57SMS de Pegasus con enlace a hxxp: // tinyurl [.] Com / y7wdcd8z redireccionando a hxxps: // infospress [.] Com / Ln3HYK4C
2018-01-08 12:58:14SMS de Pegasus con enlace a hxxp: // tinyurl [.] Com / y87hnl3o redireccionando a hxxps: // infospress [.] Com / asjmXqiS
2018-02-09 21:12:49Proceso: pcsd
2018-03-16 08:24:20Proceso: pcsd
2018-04-28 22:25:12Proceso: bh
2018-05-04 21:30:45Proceso: pcsd
2018-05-21 21:46:06Proceso: fmld
2018-05-22 17:36:51Proceso: bh
2018-06-04 11:05:43Proceso: fmld
2019-03-27 21:45:10Proceso: bh
2019-04-14 23:02:41Favicon de Safari desde la URL hxxps: //c7r8x8f6zecd8j.get1tn0w. free247downloads [.] com : 30352 / Ld3xuuW5
2019-06-27 20:13:10Favicon de Safari desde la URL hxxps: //3hdxu4446c49s.get1tn0w. free247downloads [.] com : 30497 / pczrccr # 052045871202826837337308184750023238630846883009852
2019-07-22 15:42:32Visita de Safari a hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz
2019-07 22 15:42:32Visita de Safari a hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz # 048634787343287485982474853012724998054718494423286
2019-07-22 15:43:06Favicon de Safari desde la URL hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com : 30495 / szev4hz # 048634787343287485982474853012724998054718494423286
n / AArchivo WebKit IndexedDB para URL hxxps: //c7r8x8f6zecd8j.get1tn0w. free247downloads [.] com
n / AArchivo WebKit IndexedDB para URL hxxps: //bun54l2b67.get1tn0w. free247downloads [.] com
n / AArchivo WebKit IndexedDB para URL hxxps: //keewrq9z.get1tn0w. free247downloads [.] com
n / AArchivo WebKit IndexedDB para URL hxxps: //3hdxu4446c49s.get1tn0w. free247downloads [.] com

 C.2 Descripción general de los rastros forenses para Omar Radi

Fecha (UTC)Evento
2019-02-11 14:45:45Archivo Webkit IndexedDB para URL hxxps: //d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com
2019-02-11 13:45:53Favicon de Safari desde la URL hxxps: //d9z3sz93x5ueidq3.get1tn0w. free247downloads [.] com : 30897 / rdEN5YP
2019-02-11 13:45:56Proceso: bh
2019-02-11 13:46:16Proceso: roleaboutd
2019-02-11 13:46:23Proceso: roleaboutd
2019-02-11 16:05:24Proceso: roleaboutd
2019-08-16 17:41:06Búsqueda de iMessage para la cuenta bergers.o79 [@] gmail.com
2019-09-13 15:01:38Favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse # 011356570257117296834845704022338973133022433397236
2019-09-13 15:01:56Favicon de Safari para URL hxxps: //2far1v4lv8.get1tn0w. free247downloads [.] com : 31052 / meunsnyse # 068099561614626278519925358638789161572427833645389
2019-09-13 15:02:11Proceso: bh
2019-09-13 15:02:20Proceso: msgacntd
2019-09-13 15:02:33Proceso: msgacntd
2019-09-14 15:02:57Proceso: msgacntd
2019-09-14 18:51:54Proceso: msgacntd
2019-10-29 12:21:18Búsqueda de iMessage para la cuenta naomiwerff772 [@] gmail.com
27-01-2020 10:06:24Favicon de Safari para URL hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946
2020-01-27 10:06:26Visita de Safari a hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 # 2
2020-01-27 10:06:26Visita de Safari a hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946 # 24
2020-01-27 10:06:32Favicon de Safari para URL hxxps: //gnyjv1xltx.info8fvhgl3. urlpush [.] net : 30875 / zrnv5revj # 074196419827987919274001548622738919835556748325946% 2324

Fuente y redacción: amnesty.org

Compartir