RESUMEN

En este análisis, dividido entre dos partes, se investigará a Pegasus.

En la primera parte, el tema principal a tratar en este artículo, gravitará alrededor del infame spyware (en castellano, programa espía), Pegasus, que es conocido por su implicación en diferentes campañas de espionaje contra periodistas, activistas, figuras disidentes o defensores de los derechos humanos. Cabe destacar que la empresa que comercializa este producto, NSO Group, defiende que sus productos son utilizados exclusivamente por agencias gubernamentales de inteligencia o fuerzas del orden, para combatir el crimen y el terrorismo.

En la segunda parte, se centrará en diferentes investigaciones técnicas realizadas sobre Pegasus, como la realizada por el equipo de Google Project Zero, así como se analizará la última publicación de Citizen Lab que ha destapado el  Catalangate. También se analizará, como referencia al análisis provisto por el investigador de seguridad informática, Colin Hardy (@cybercdh), en el que evaluaba las muestras provistas en uno de los principales repositorios de malware como vx-underground, indicando que algunas de ellas parecen no ser Pegasus.

Alternativamente, se comentará la prueba de concepto de realizada por Hack Patrol en la que provocan falsos positivos de Pegasus en la herramienta de verificación móvil de Amnistía Internacional, también conocida como Mobile Verification Toolkit.

Palabras clave: Pegasus, Catalangate, NSO Group, Amnistía Internacional, Citizen Lab

LAS INVESTIGACIONES SOBRE PEGASUS

Teniendo en consideración la primera publicación, se tomó como referencia al perfil de Chrysaor en Malpedia [1], en el que se incluyen 59 publicaciones asociadas a este malware. Malpedia es un proyecto de la Fraunhofer Society, que es una organización de investigación alemana en la que se incluyen 75 institutos enfocados en diferentes campos aplicados a la ciencia, siendo el FKIE (acrónimo de Instituto Fraunhofer por la Comunicación, el Procesamiento de la Información y la Ergonomía).

Dentro de las 59 investigaciones, sólo se han identificado muestras en la publicación de Lookout de 2017 sobre Pegasus para Android. Las fuentes principales (Amnistía Internacional y Citizen Lab) que han demostrado análisis forense sobre muestras de Pegasus, han ofrecido direcciones IP y dominios o han presentado filtraciones sobre afectaciones, no disponen de muestras en sus perfiles de Github o en sus publicaciones.

Llama la atención el descargo de responsabilidad, al que se acoge Citizen Lab, en el que mencionan que todas sus investigaciones realizadas que involucran a seres humanos, se rigen por protocolos de ética de investigación revisados ​​y aprobados por la Junta de Ética de Investigación de la Universidad de Toronto. En función de esto, Citizen Lab no acepta consultas generales o no solicitadas relacionadas con inquietudes individuales con respecto a la seguridad de la información y no puede brindar asistencia individual con inquietudes de seguridad.

El resto de muestras que son discutidas por otros investigadores, más adelante, son encontradas en vx-underground.

Como denominador común sobre las muestras de vx-underground, es que se asocian con Pegasus con baja confianza, lo que hace pensar que podrían no ser estas muestras.

LOS INVESTIGADORES DE PEGASUS: COLIN HARDY y JONATHAN SCOTT

Dentro de la comunidad de seguridad informática, se comenzó a realizar investigaciones independientes, asociadas con lo que parece ser la fuente oficial de muestras de Pegasus. Dentro de las múltiples investigaciones realizadas, se destacan dos diferentes investigadores.

En primer lugar, el investigador Colin Hardy realizó un análisis sobre las últimas muestras de Pegasus que fueron subidas a la plataforma online de base de datos sobre malware, “vx-underground”. Algunas de las conclusiones que realizó, son las siguientes:

• En una de las muestras identificadas por Amnistía Internacional, el uso de Megalodon comenzaba con el envío de un SMS que desde un contacto desconocido por la víctima y traía consigo, una petición HTTP posterior que obtenía acceso inicial mediante un ataque zero-click (No requiere de interacción del usuario). Se identificaron comunicaciones hacia una infraestructura, que descargaba 250 kB de datos cifrados (presumiblemente Pegasus) en Amazon Cloudfront, la cual fue deshabilitada más tarde por el propio Amazon y posiblemente motivado por la intrusión sufrida por el propio Jeff Bezos [2].
• En su análisis, tomando como referencia el tamaño aproximado de los propios ficheros identificados y las características sofisticadas de los exploits de Trident y Megalodon, concluye que las muestras de Pegasus para Android que analiza no puede ser atribuidos, con confianza, a que sean artefactos legítimos de este software espía.

En segundo lugar se ubica a, Jonathan Scott, el propietario de un perfil de Github en el que almacena muestras analizadas de Pegasus, el manual mencionado en la anterior publicación y validado por sus metadatos. Este investigador ha publicado dos análisis en los que critica las investigaciones llevadas a cabo por Citizen Lab y Amnistía Internacional, comentando los siguientes puntos:

• Pegasus Spyware — Untold — Chinese Engineering — Samples 1 & 2[3]: En esta publicación, asume que las supuestas muestras que son analizadas por él (las cuales son consideradas de baja confianza por Colin Hardy), asocian a una APK con texto en chino a Tencent y al proyecto de Pegasus.
• CatalanGate Pegasus Spyware – False Positive Results [4]: En esta publicación, comenta que está proveyendo pruebas de falsos positivos obtenidos con la herramienta de Amnistía Internacional, MVT, al navegar mediante Safari de un dispositivo iOS, a los nombres de dominio facilitados en la investigación del CatalanGate.

Cabe destacar que, aunque ya se hayan demostrado falsos positivos de la herramienta MVT por equipos como Hack Patrol [5], la antítesis presentada por Jonathan no se basa en muestras asociadas al CatalanGate. Esto debe tenerse en cuenta, dado que este propio investigador adoleció que no se ha compartido ninguna muestra de Pegasus en los últimos 11 años, lo cual se encuentra fuera totalmente de rango de tiempo y no mencionada las muestras provistas por Lookout en 2017 [6].

Aún a pesar de las incongruencias, anteriormente mencionadas, establece unos determinados puntos sobre la falta de colaboración de Amnistía Internacional, Citizen Lab y Google en facilitar la revisión de pares, sobre este tema. Además, menciona el brillante análisis de Jose Javier Olivas, el investigador de Ciencias Políticas, que será comentado a continuación.

Alternativamente, indica que Robert Deibert comentó sobre las propias muestras que supuestamente se encuentran en posesión de Citizen Lab, indicando que son demasiado “sensibles” para que sean distribuidas.

LOS INVESTIGADORES DE PEGASUS: JOSE JAVIER OLIVAS

En el extenso análisis, realizado por este profesor español de Ciencias Políticas en la UNED, que se encuentra en un hilo de Twitter [7], en el que expone algunos hallazgos clave y tomando como referencia el libro de Pegasus de Roger Torrent:

• Una de las personas involucradas en la investigación del CatalanGate, Elies Campo, presenta un caso de conflicto de intereses al ofrecerse como investigador y ser investigado.
• Existen numerosas inconsistencias en la metodología empleada desde el think tank canadiense, que indica un posible caso de malas prácticas que involucran a la universidad de Toronto.
• La experiencia laboral que se obtiene de Elies Campo demuestra una carrera asociada al desarrollo de negocio, no a la investigación de seguridad informática. No ha trabajado en Telegram, como es afirmado por periódicos como 20minutos [8].
• Existen investigadores de seguridad informática (no mencionados en la publicación del CatalanGate), como Ettiene Maynier, que colaboran en Amnistía Internacional y Citizen Lab lo que se traduce en una confusa metodología peer-review, entre estas organizaciones. Este mismo investigador ha dado una charla “Smartphone et forensique : comment attraper Pégasus for fun and non-profit” [9] el pasado 3 de junio, en la que tampoco compartió muestras de este spyware y basa la metodología de identificación forense a la cuestionada herramienta, Mobile Verification Toolkit.

LA INVESTIGACIÓN DEL CATALANGATE

Esta publicación que fue realizada el 18 de abril de 2022, presenta una determinada información que ha sido ampliamente rebatida en publicaciones [10][11], teniendo en cuenta algunos de los hallazgos clave, que se obtuvieron siendo producto de esta investigación:

• “Citizen Lab colabora con grupos de la sociedad civil catalana, consiguiendo identificar 65 individuos infectados o siendo objetivos de Pegasus”. Este hecho ha sido, posteriormente señalado, como un conflicto de intereses.
• El nuevo exploit zero-click “HOMAGE” se puede identificar como un indicador de compromiso de alto nivel, en el que los investigadores del CatalanGate comentan que afecta a la versión 13.2 de iOS. Se desconoce si se ha llegado a notificar a Apple este tipo de vulnerabilidad y si se encuentra actualmente parcheada.
• Sólo comparten una selección de casos de Pegasus con el laboratorio técnico de Amnistía Internacional, sin permitir que otras entidades independientes puedan participar en el análisis y creación de contramedidas contra este spyware.

Finalmente, se destaca que en el análisis del CatalanGate no se referencia a ninguna muestra de Pegasus. Como referencia en su artículo [11], Gregorio Martín, catedrático de Ciencias de la Computación (jubilado) de la Universitat de València, hay una serie de indicadores que reflejan una falta de rigor científico en lo que se refiere en la materia del análisis forense. Se destaca que en esta publicación, no existe ninguno de estos puntos asociados a la metodología que engloba al análisis forense:

• Obtención de las pruebas, con información registrada y preservada.
• Examen de las pruebas, lo que supone contar con procedimientos fiables de recuperación, copia y almacenamiento de las mismas.
• Documentación y elaboración de informes con la metodología y resultados demostrados.

CONCLUSIÓN

En conclusión, existen recientes eventos que han dejado en evidencia la falta de rigurosidad en las investigaciones llevadas a cabo por Amnistía Internacional y Citizen Lab. Según los datos compartidos del uso de los sofisticados exploits analizados por Google Project Zero, parece haber evidencias del desarrollo experto en las ciberarmas empleadas en obtener acceso inicial en los dispositivos de las víctimas.

Sin embargo, hay falta de evidencias asociadas a las propias muestras en sí de Pegasus. Se debe resaltar que figuras como el Parlamento Europeo, el pasado 11 de mayo, envió un documento a la Universidad de Toronto para que aportaran pruebas. Tras la falta de las mismas, el propio Parlamento acabó mandando otra respuesta que enumeraba la gran cantidad de fallos en la investigación, concluyendo con la siguiente afirmación:

“Dada la falta de rigor científico y la gravedad de los problemas metodológicos y éticos señalados en este documento, se recomienda una investigación independiente de los procesos de investigación para garantizar que los posibles errores o malas prácticas no tengan repercusiones negativas no deseadas en terceros o manchen la excelente reputación de la Universidad de Toronto”

Por un lado, existen evidencias de la provisión de ciberarmas de desarrollo profesional, así como una metodología pobre a la hora de evidenciar la existencia de Pegasus, por parte de Amnistía Internacional y Citizen Lab. Dada la falta de pruebas, en este caso, ha desembocado en que la única causa asociada al escándalo del CatalanGate se haya archivado.

Por otro lado, el propio Gobierno español ha reconocido el uso de estas herramientas de vigilancia a la población. Lamentablemente, ese estado de continua vigilancia no sólo recae en las acciones de posibles actores estatales o herramientas de alto grado, también son realizadas a día de hoy por múltiples plataformas de redes sociales, nuevas familias de malware para Android o iOS (demostrando supuestas características similares a las de Pegasus).

En vista de la investigación realizada, la situación se torna bastante más compleja para que se pueda señalar inequívocamente si el proyecto Pegasus solo son falsos positivos o si el CatalanGate dispone muestras reales de Pegasus, que puedan compartirse con alta confianza.

Silvia Hernández Sánchez

Threat Hunting & OSINT Specialist Analyst en Viewnext

BIBLIOGRAFÍA

[1] Malpedia Chrysaor aka: Pegasus, Jigglypuff, Use Cases, 2022: https://malpedia.caad.fkie.fraunhofer.de/details/apk.chrysaor

[2] Oficina del Alto Comisionado de las Naciones Unidas por los Derechos Humanos, Analysis of the Evidence of Surveillance of Mr. Bezos’ personal phone – Key Technical Elements -, 2020: https://www.ohchr.org/sites/default/files/Documents/Issues/Expression/SRsSumexFreedexAnnexes.pdf

[3] Jonathan Scott, Pegasus Spyware — Untold — Chinese Engineering — Samples 1 & 2, 2021: https://jonathandata1.medium.com/pegasus-spyware-untold-chinese-engineering-samples-1-2-e5aba2a0b20b

[4] Jonathan Scott, CatalanGate Pegasus Spyware – False Positive Results, 2022: https://github.com/jonathandata1/Pegasus-CatalanGate-False-Positives

[5] Hack Patrol, Getting Pegasus (NSO) False Positives, 2022: https://vimeo.com/696991504?embedded=true&source=video_title&owner=171781903

[6] Twitter, Tweet de Jonathan Scott sobre Pegasus, 2022: https://twitter.com/jonathandata1/status/1520057370860306432

[7] Twitter, Hilo de Twitter de Jose Javier Olivas sobre el CatalanGate, 2022: https://twitter.com/josejolivas/status/1523282545927983105

[8] 20minutos, PERFIL | Elies Campo, el teleco de Telegram vinculado al indepentismo catalán que hizo el informe que destapó el caso Pegasus, 2022: https://www.20minutos.es/noticia/4990694/0/perfil-elies-campo-el-teleco-de-telegram-vinculado-al-indepentismo-catalan-que-hizo-el-informe-que-destapo-el-caso-pegasus/

[9] Ettiene Maynier, Smartphone et forensique: comment attraper Pégasus for fun and non-profit, 2022: https://www.sstic.org/2022/presentation/smartphone_et_forensic__comment_attraper_pgasus_for_fun_and_non-profit/

[10] The Objective, Desmontando a Citizenlab: estudios sin control externo y al servicio de Apple o WhatsApp, 2022: https://theobjective.com/espana/2022-05-26/citizenlab-sin-evaluacion-externa-apple/

[11] Gregorio Martín, Desmontando el Catalangate, 2022:https://www.levante-emv.com/opinion/2022/05/21/desmontando-catalangate-66384169.html