Pegaso: un espía que no espera; morirá antes de ser expuesto

Instalación sin hacer clic que no requiere ninguna acción por parte del objetivo no es la única habilidad que vale la pena Pegaso el súper software espía que es. Lo que también lo hace único es su capacidad de “recopilación activa”, que otorga a los atacantes el poder de “controlar la información” que desean recopilar del dispositivo objetivo.

Este conjunto de características, dice un discurso de marketing de la empresa israelí NSO Group que desarrolló Pegasus, se denominan “activos ya que traen su colección a solicitud explícita del operador” y “diferencian a Pegasus de cualquier otra solución de recopilación de inteligencia”, es decir , software espía.

“En lugar de simplemente esperar a que llegue la información, con la esperanza de que esta sea la información que estaba buscando, el operador recupera activamente información importante del dispositivo, obteniendo la información exacta que estaba buscando”, afirma el discurso de NSO.

Extracción de datos ‘activa’

El grupo NSO clasifica el espionaje en tres niveles: extracción de datos inicial, monitoreo pasivo y recolección activa.

A diferencia de otros programas espía que solo brindan monitoreo futuro de comunicaciones parciales, dice NSO, Pegasus permite la extracción de todos los datos existentes, incluidos los datos históricos, en el dispositivo para “crear una imagen de inteligencia completa y precisa”. La extracción inicial envía registros SMS, contactos, historial de llamadas (registros), correos electrónicos, mensajes e historial de navegación al servidor de comando y control.

Si bien Pegasus monitorea y recupera nuevos datos en tiempo real, o periódicamente si está configurado para hacerlo, de un dispositivo infectado, también pone a disposición un conjunto completo de funciones de recopilación activa que permiten a un atacante tomar acciones en tiempo real en el objetivo y recuperarse. .Información única del dispositivo y el área circundante en su ubicación.

READ  Explicado: ¿Quién es William Burns, nominado por Joe Biden como jefe de la CIA?

Tales extracciones activas incluyen:

  • Rastreo de ubicación basado en GPS: si el GPS está desactivado desde un objetivo, Pegasus lo habilita para el muestreo y lo apaga inmediatamente. Si no se puede acceder a la señal de GPS, se recupera el Cell-ID.
  • Grabación de sonido ambiental: Pegasus comprueba si el teléfono está en modo inactivo antes de encender el micrófono a través de una llamada silenciosa entrante. Cualquier acción del objetivo que encienda la pantalla del teléfono colgará inmediatamente la llamada y dejará de grabar.
  • Tomando fotos: Tanto la cámara frontal como la trasera se pueden usar después de que Pegasus haya verificado que el teléfono está en modo inactivo. Un atacante puede predeterminar la calidad de la foto para reducir el uso de datos y garantizar una transmisión más rápida. NSO advierte que debido a que el flash nunca se usa y el teléfono puede estar en movimiento o en una habitación con poca luz, las fotos a veces pueden salir borrosas.
  • Reglas y alertas: puede preestablecer una serie de condiciones para la acción en tiempo real, como alertas de cercado geográfico (el objetivo entra o sale de una ubicación definida), alertas de reunión (cuando dos dispositivos comparten la misma ubicación), alerta de conexión (una llamada o mensaje enviado o recibido a / desde un número específico) y alerta de contenido (una palabra específica utilizada en un mensaje), etc.

Transmisión invisible

Los datos transmitidos están cifrados con cifrado simétrico AES de 128 bits. Incluso durante el cifrado, dice NSO, se tiene especial cuidado para garantizar que Pegasus use un mínimo de datos, batería y memoria para asegurarse de que el objetivo no se vuelva sospechoso.

READ  Estados Unidos: hombre de California acusado de usar préstamos COVID para comprar autos de lujo

Es por eso que se prefieren las conexiones Wi-Fi para la transmisión de datos recopilados. NSO dice que ha “pensado más en los métodos de compresión y se ha centrado en transmitir contenido textual cuando sea posible” para minimizar la huella de datos a unos pocos cientos de bytes y garantizar un impacto mínimo en el plano de datos móviles del objetivo.

La transmisión de datos se detiene automáticamente cuando el nivel de la batería es bajo o cuando el objetivo está en itinerancia. Cuando la transmisión no es posible, Pegasus almacena los datos recopilados en un búfer oculto y cifrado que está configurado para alcanzar no más del 5% del espacio libre disponible en el dispositivo. En raras circunstancias en las que no es posible la transmisión a través de canales seguros, un atacante puede recopilar datos urgentes a través de mensajes de texto, pero esto, advierte NSO, puede resultar en costos que aparecen en la factura telefónica del objetivo.

La comunicación entre Pegasus y los servidores centrales se realiza a través de la Red de Transmisión Anónima de Pegasus (PATN), lo que hace que sea “impracticable” volver al origen. Los nodos PATN, dice NSO, están dispersos por todo el mundo, redirigiendo las conexiones de Pegasus a través de diferentes rutas antes de llegar a los servidores de Pegasus.

Función de autodestrucción

Pegasus está equipado con un eficiente mecanismo de autodestrucción. En general, dice NSO, “entendemos que es más importante que la fuente no esté expuesta y que el objetivo no sospeche nada más que mantener al agente con vida y en el trabajo”. Cualquier riesgo de exposición activa automáticamente el mecanismo de autodestrucción, que entra en vigor incluso si Pegasus no se comunica con su servidor desde un dispositivo infectado durante 60 días o durante un período de tiempo personalizado.

READ  Coronavirus: Letonia confirma un nuevo récord de casos diarios de coronavirus

Hay un tercer escenario en el que se activa el mecanismo de autodestrucción. Desde el día en que lanzaron a Pegasus, el grupo NSO no ha permitido que Pegasus infecte los números de teléfono estadounidenses. La compañía ni siquiera permite que los teléfonos infectados viajen a Estados Unidos. En el momento en que una víctima ingresa a los Estados Unidos, Pegasus en su dispositivo entra en modo de autodestrucción.

Estrictamente necesario

Todo lo que se necesita para ejecutar Pegasus son terminales de operador (PC de escritorio estándar) con las siguientes especificaciones:

  • Procesador Core i5
  • 3 GB de RAM
  • Disco duro de 320GB
  • Sistema operativo Windows

Para hardware del sistema:

  • Dos unidades de armario de 42U
  • Hardware de red
  • 10 TB de almacenamiento
  • 5 servidores estándar
  • UPS
  • Módems móviles y tarjetas SIM

Boletin informativo | Haga clic para recibir las mejores explicaciones del día en su bandeja de entrada

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *