Pegasus: el caballo de Troya de los servicios de inteligencia israelíes

En el contexto de la próxima ronda de confrontación árabe-israelí, y especialmente después del ataque sorpresa de Hamas el 7 de octubre, las cuestiones del acceso rápido a los dispositivos enemigos y la obtención de información confidencial se han vuelto aún más urgentes.

En nuestro material analizamos cómo funciona Pegasus, el desarrollo israelí más famoso en el campo del ciberespionaje, y qué capacidades tiene.

El creador de Pegasus es la empresa de ciberespionaje NSO Group, fundada en 2010 por ex oficiales de inteligencia israelíes :Niv Karmi, Shalev Hulio, Omri Lavie. Las primeras letras de sus nombres están en el nombre NSO.
La dirección del Grupo NSO logró atraer financiación de riesgo en 2014 de la sociedad de inversión estadounidense Francisco Partners. La participación de control en aquel momento se estimaba en 120 millones de dólares. En 2019, el fondo de inversión Novalpina Capital compró una participación de control junto con Shalev Hulio y Omri Lavie. Niv Karmi abandonó el proyecto en una fase temprana.

Pegasus es el producto estrella del grupo israelí NSO. La tecnología de NSO permite a sus clientes, que según la compañía son siempre gobiernos y no individuos privados, apuntar a números de teléfono específicos e infectar los dispositivos correspondientes con el código Pegasus.

Pero en lugar de intentar espiar los datos enviados entre dos dispositivos, que probablemente estarán cifrados, Pegasus permite a los usuarios hacerse cargo del dispositivo y obtener acceso a todo lo que contiene.

Pegasus rastrea las pulsaciones de teclas en el dispositivo infectado (todos los mensajes escritos y búsquedas en la web, incluso contraseñas) y se los devuelve al cliente, y también le da acceso al micrófono y la cámara del teléfono, convirtiéndolo en un dispositivo de seguimiento móvil que la víctima lleva consigo sin saberlo.

Cuando se piratea un teléfono, se hace de tal manera que los clientes y especialistas de NSO Group obtienen privilegios administrativos en el dispositivo. Esto le permite hacer casi cualquier cosa en su teléfono.

Una herramienta como Pegasus, que permite el acceso ilimitado a las comunicaciones y movimientos de los suscriptores de dispositivos infectados, tiene una gran demanda por parte de los gobiernos. Entre los clientes de NSO Group se encuentran los gobiernos de países como: México, Arabia Saudita, Emiratos Árabes Unidos, Marruecos, España, India, Panamá, Togo, Ruanda, Azerbaiyán, Bahrein, Hungría, Kazajstán y Kenia.

Y la lista de clientes crece constantemente. Incluso el Parlamento Europeo se preocupó por el uso de Pegasus y publicó un informe indicando qué gobiernos de la UE compraron Pegasus y contra quién se utilizaron estas tecnologías. Para mantener el acceso a los dispositivos infectados, el equipo de NSO Group debe actualizar continuamente su tecnología para mantenerse por delante de empresas como Apple y Google que lanzan parches para abordar las vulnerabilidades. En los últimos años, Pegasus ha pasado de ser un sistema relativamente tosco basado en ingeniería social a un programa que puede comprometer un teléfono sin tener que hacer clic en un enlace.

Hubo un tiempo en que los ataques de piratería de Pegasus requerían la participación activa de la víctima. Los operadores de Pegasus enviaron mensajes de texto con un enlace malicioso al teléfono de la víctima. Al hacer clic en él en el navegador, se abría una página en la que se descargaba y ejecutaba malware que infectaba el dispositivo.

Los clientes de NSO Group han utilizado una variedad de tácticas para aumentar la probabilidad de hacer clic.

Por ejemplo, los clientes enviarían spam para frustrar al objetivo y luego enviarían otro mensaje pidiéndoles que hicieran clic en un enlace para dejar de recibir spam.

Las técnicas de ingeniería social ayudaron a manipular al objetivo para que hiciera clic en un enlace. Los propios vínculos se desarrollaron en función de los temores o intereses de la víctima.

Los mensajes podrían contener noticias de interés para el destinatario o promociones que podrían interesarle, tal vez una membresía en un gimnasio o enlaces a ofertas.

Este crudo enfoque rápidamente siguió su curso. Los objetivos aprendieron rápidamente a reconocer el spam malicioso. Se necesitaba algo más sutil.

Entre otras cosas, el software Pegasus permitió explotar las siguientes vulnerabilidades:

CVE-2016-4655 : vulnerabilidad del kernel de iOS;

CVE-2016-4656 : vulnerabilidad del kernel de iOS (corrupción de la memoria);

CVE-2016-4657 es una vulnerabilidad en WebKit;

FORCEDENTRY ( CVE-2021-30860 ) para iOS ( parche lanzado en septiembre de 2021).

Se sabe que el iMessage de Apple también es pirateable. Matt Green, criptógrafo y experto en seguridad de la Universidad Johns Hopkins, dijo a los periodistas que la vulnerabilidad de iMessage ha aumentado desde que Apple hizo el software más complejo. Esto ha generado nuevas oportunidades para encontrar errores en el código. Apple publica periódicamente actualizaciones para abordar dichas vulnerabilidades, pero la industria del software espía siempre está al menos un paso por delante.

Pegasus es capaz de infectar las últimas versiones de iOS. Se gasta mucho más tiempo y dinero buscando estos errores en el código que previniéndolos y erradicándolos.

Las pruebas de software son un trabajo puesto en marcha. Para las pruebas, a menudo se contratan especialistas limitados que no tienen habilidades de programación ni creatividad profundas. Y se contrata a los programadores más talentosos y creativos para encontrar vulnerabilidades. Los atacantes siempre van por delante porque tienen un incentivo material importante.

Los representantes de Apple, naturalmente, niegan los beneficios del software espía. Según ellos, los exploits de NSO Group son muy específicos, su desarrollo cuesta millones de dólares y, a menudo, tienen una vida útil limitada. Supuestamente, estas restricciones financieras prohíben el desarrollo de nuevos exploits.

La solución fue utilizar los llamados exploits de clic cero. Estas vulnerabilidades no requieren ninguna acción del usuario para que Pegasus comprometa su dispositivo. Este es el método de ataque elegido por los gobiernos que utilizan Pegasus en los últimos años.

Los exploits sin clic se basan en errores en aplicaciones populares como iMessage, WhatsApp y FaceTime que reciben y clasifican datos, a veces de fuentes desconocidas.

Una vez que Pegasus detecta una vulnerabilidad, puede penetrar el dispositivo utilizando el protocolo de la aplicación. En este caso, el usuario no necesita seguir el enlace, leer el mensaje o contestar la llamada; es posible que ni siquiera vea la llamada perdida o el mensaje.

Los exploits sin clic representan la mayoría de los ataques de dispositivos registrados desde 2019. Según Timothy Summers, exingeniero cibernético de una de las agencias de inteligencia estadounidenses, Pegasus se conecta a la mayoría de los sistemas de mensajería, incluidos Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram y las aplicaciones integradas de mensajería y correo electrónico de Apple.

Además de los exploits sin clic, los clientes de NSO Group pueden utilizar ataques de red para acceder subrepticiamente al dispositivo de un objetivo. Con este método, la víctima puede estar expuesta a ataques mientras navega por la web sin tener que hacer clic en un enlace malicioso especialmente diseñado. Este enfoque implica esperar a que el objetivo visite un sitio que no es completamente seguro durante la navegación normal por Internet. Después de hacer clic en un enlace a un sitio web desprotegido, el programa NSO Group obtiene acceso al teléfono e inicia el proceso de infección.

Esta es una forma extremadamente efectiva de tomar el control del dispositivo. El retraso entre visitar un sitio desprotegido y ser infectado por Pegasus puede ser cuestión de milisegundos. Los dispositivos se infectan a través de una red de sitios falsos que los expertos en ciberseguridad han denominado Stealth Falcon.

Sin embargo, este método es más difícil de implementar que atacar un teléfono usando una URL maliciosa o un exploit sin clic, ya que es necesario monitorear el uso del teléfono móvil de la víctima hasta el punto en que su tráfico de Internet deje de ser seguro. Esto generalmente se hace a través de un operador de telefonía móvil, al que algunos estados tienen acceso o control. Sin embargo, tal dependencia hace que sea difícil o imposible que los gobiernos ataquen a personas fuera de su jurisdicción. Los exploits de clic cero no tienen tales restricciones, razón por la cual son tan populares.

Según el New York Times, una herramienta que permite monitorear a 10 usuarios de iPhone costará 650 mil dólares y la instalación 500 mil dólares. Este es el paquete mínimo de servicios. Un módulo Pegasus estándar puede monitorear hasta 500 teléfonos en el transcurso de un año, pero sólo 50 a la vez. Una licencia para un módulo de este tipo cuesta aproximadamente entre 7 y 8 millones de dólares al año. Estas son cifras estimadas, ya que la tecnología se mejora constantemente y el costo de los nuevos complementos desarrollados para las necesidades de los clientes no se revela por razones obvias. Según NSO Group, sus ingresos ascendieron a 243 millones de dólares en 2020, lo que supone aproximadamente entre 25 y 30 clientes.

Naturalmente, la venta de una herramienta de censura y control total a gobiernos de todo el mundo no podía pasar desapercibida para los organismos encargados de hacer cumplir la ley.

En 2019, WhatsApp demandó a NSO Group en EE. UU., alegando que la empresa israelí aprovechó la vulnerabilidad para infectar más de 1.400 dispositivos. WhatsApp dice que entre las víctimas había periodistas, abogados, líderes religiosos y disidentes políticos. Varias otras empresas conocidas, incluidas Microsoft y Google, presentaron sus argumentos en apoyo del caso.

La Corte Suprema de Estados Unidos permitió recientemente a WhatsApp, propiedad de Meta PlatformsInc, continuar con una demanda acusando a la empresa israelí NSO Group de explotar un error en la aplicación WhatsApp para instalar software espía que podría espiar a 1.400 personas, entre ellas periodistas, activistas de derechos humanos y disidentes. .

Los jueces rechazaron la apelación de NSO Group de un fallo de un tribunal inferior de que la demanda podía continuar. NSO Group argumentó que era inmune a ser procesado porque la empresa estaba actuando como agente de gobiernos extranjeros desconocidos al instalar el software espía Pegasus.

La administración de Joe Biden instó a los jueces a rechazar la apelación de NSO Group, señalando que el Departamento de Estado de Estados Unidos nunca antes había concedido inmunidad a una organización privada que actúa como agente de un gobierno extranjero. Meta, la empresa matriz de WhatsApp y Facebook, acogió con satisfacción en un comunicado la decisión del tribunal de rechazar la apelación "infundada" de NSO Group.

A juzgar por el hecho de que después de 4 años solo se consideró el reclamo y se rechazó la apelación, el caso avanza extremadamente lento. Más bien, se parece a una discusión en una “atmósfera cálida y amigable”. La prueba está en curso, las ventas del software Pegasus no están bloqueadas, los gobiernos de todo el mundo lo están utilizando activamente y el imparcial estadounidense Themis está observando.

En 2021, NSO Group se convirtió en objeto de una investigación periodística a gran escala. Los representantes de la empresa fueron acusados ​​de vender software espía a gobiernos autoritarios y de espiar a periodistas y figuras públicas. Como resultado, la Administración Biden añadió a NSO Group a la lista de entidades a las que se les prohíbe suministrar [exportar] tecnología estadounidense. Se trataba más bien de un movimiento de imagen destinado a crear problemas financieros para NSO Group con vistas a su futura compra.

Poco después de la investigación, representantes de uno de los principales contratistas del Pentágono, L3Harris, informaron a sus colegas del Grupo NSO que habían recibido la bendición y el apoyo del gobierno y de la inteligencia estadounidense para adquirir la empresa si se descubriera el código fuente de Pegasus y el caché de Las vulnerabilidades fueron transferidas a otras agencias de inteligencia de la comunidad de inteligencia anglosajona Five Eyes.

Formalmente, agregar una empresa a la lista de Entidades impone una prohibición únicamente a las operaciones de exportación relacionadas con el suministro de tecnología. Pero no se aplica a transacciones de importación o adquisiciones. Esto es exactamente con lo que contaban los representantes de L3Harris.

Pero otros actores se involucraron en el proceso. Prestamistas, incluidos Credit Suisse y Senato Investment Group, ejecutaron la ejecución hipotecaria de la empresa matriz NSO Group a principios de 2023. La adquisición supuso un cambio en la propiedad de NSO, incluido un fondo de capital privado fundado por Novalpina Capital, que adquirió la empresa en un acuerdo que la valoró en aproximadamente mil millones de dólares en 2019.

Actualmente, Dufresne Holdings, controlada por el cofundador de NSO Group, OmriLavie, figura en los documentos corporativos como el único accionista de la empresa matriz de NSO Group. Los representantes de esta empresa participan activamente en la gestión del Grupo NSO. Por iniciativa suya, algunos empleados fueron despedidos. Mientras tanto, los acreedores del Grupo NSO están cooperando con Lavie y han acordado no obligar a NSO a incumplir sus deudas.

Según un portavoz de la empresa, NSO Group está gestionado directamente por el director general, YaronShohat, y sus acreedores están actualmente reestructurando las participaciones de los accionistas.

Ahora, en esencia, los activos se están reinscribiendo a una nueva entidad legal y se está optimizando la empresa, lo cual es necesario para atraer nuevas inversiones y obtener documentos de registro limpios sin mencionar la inclusión en listas negras. En cualquier caso, NSO Group, incluso en su nueva estructura, seguirá bajo el control de los grandes bancos.

El producto Pegasus es una cómoda herramienta de seguimiento y control que ha demostrado su eficacia y tiene una gran demanda por parte de los gobiernos de muchos países. Con el comienzo de la fase activa del actual conflicto árabe-israelí, aparecieron en los medios muchas críticas a la inteligencia israelí, que supuestamente no pudo determinar de antemano los preparativos para un ataque por parte de grupos palestinos. Incluso hubo informes sin fundamento de que grupos palestinos habían estado utilizando teléfonos con cable durante dos años y, por lo tanto, se habían vuelto “invisibles” para los servicios de inteligencia israelíes.

En nuestra opinión, esto no es cierto. La conexión entre el Mossad y el Grupo NSO permite combinar eficazmente métodos de inteligencia técnica y humana. Ya se ha creado un ecosistema cerrado basado en el software Pegasus, que incluye operadores de telefonía móvil. Por tanto, los argumentos sobre un “ataque sorpresa” parecen extremadamente dudosos.

El conflicto actual podría utilizarse para legalizar los métodos gubernamentales de control de suscriptores. Naturalmente “por razones de seguridad”. Esto encaja muy bien con la agenda de los globalistas. Además, la guerra, con un gran número de víctimas, especialmente entre la población civil de Gaza, es una excelente cobertura. Naturalmente, la atención pública se centra en esta catástrofe humanitaria, lo que puede facilitar significativamente la adopción de leyes apropiadas.

La creciente influencia de grupos radicales en la región de Medio Oriente puede empujar incluso a algunos países musulmanes a cooperar con Israel. Por ejemplo, Azerbaiyán, en el marco de la cooperación técnico-militar con Israel, obtuvo acceso al sistema Pegasus. Recordemos que Azerbaiyán cubre actualmente alrededor del 40% de las necesidades de petróleo y productos derivados de Israel. A cambio, las autoridades azerbaiyanas recibieron acceso no sólo a Pegasus, sino también a armas de alta tecnología, así como a datos de inteligencia satelital, lo que fue un factor determinante en el conflicto de Nagorno-Karabaj.

No tenemos ninguna duda de que Israel no abandonará sus intentos de establecer un diálogo similar con otros países musulmanes de la región. Los gobiernos de países que no gozan de mucha confianza entre la población pueden comprometerse y convertirse en clientes de NSO Group para permanecer en el poder.

Los representantes del Mossad y las FDI tienen una buena idea de la situación en la región y probablemente no cuenten tanto con el poder del AUG estadounidense como con la oportunidad de causar una división en el bloque de estados árabes, utilizando una variedad de herramientas y métodos.

El software Pegasus es uno de los medios más eficaces para llevar a cabo una guerra multidominio moderna y requiere un estudio cuidadoso con fines de defensa y contraataque.