Amnesty International : Comment détecter le logiciel Pegasus

Introduction

NSO Group affirme que son logiciel espion Pegasus n’est utilisé que pour « enquêter sur le terrorisme et le crime »  et « ne laisse aucune trace » . Ce rapport de méthodologie médico-légale montre qu’aucune de ces déclarations n’est vraie. Ce rapport accompagne la publication du Pegasus Project, une enquête collaborative impliquant plus de 80 journalistes de 17 organisations médiatiques dans 10 pays coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International. [1]

Le laboratoire de sécurité d’Amnesty International a effectué une analyse médico-légale approfondie de nombreux appareils mobiles de défenseurs des droits humains (DDH) et de journalistes du monde entier. Cette recherche a mis au jour une surveillance illégale généralisée, persistante et continue et des violations des droits humains perpétrées à l’aide du logiciel espion Pegasus de NSO Group.

Comme indiqué dans les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, NSO Group doit prendre de toute urgence des mesures proactives pour s’assurer qu’il ne cause pas ou ne contribue pas à des violations des droits de l’homme dans le cadre de ses opérations mondiales, et pour répondre à toute violation des droits de l’homme lorsque ils se produisent. Afin de s’acquitter de cette responsabilité, NSO Group doit exercer une diligence raisonnable en matière de droits humains et prendre des mesures pour s’assurer que les DDH et les journalistes ne continuent pas à devenir des cibles de surveillance illégale.

Dans ce rapport sur la méthodologie médico-légale, Amnesty International partage sa méthodologie et publie un outil de criminalistique mobile open source et des indicateurs techniques détaillés, afin d’aider les chercheurs en sécurité de l’information et la société civile à détecter et à répondre à ces menaces graves.

Ce rapport documente les traces médico-légales laissées sur les appareils iOS et Android après le ciblage avec le logiciel espion Pegasus. Cela inclut les dossiers médico-légaux reliant les récentes infections à Pegasus à la charge utile Pegasus 2016 utilisée pour cibler le DRH Ahmed Mansoor.

Les attaques Pegasus détaillées dans ce rapport et les annexes qui l’accompagnent datent de 2014 jusqu’en juillet 2021. Celles-ci incluent également les attaques dites « zéro-clic » qui ne nécessitent aucune interaction de la part de la cible. Des attaques Zero-click sont observées depuis mai 2018 et se poursuivent jusqu’à présent. Plus récemment, une attaque « zéro clic » réussie a été observée en exploitant plusieurs jours zéro pour attaquer un iPhone 12 entièrement corrigé exécutant iOS 14.6 en juillet 2021.

Les sections 1 à 8 de ce rapport décrivent les traces médico-légales laissées sur les appareils mobiles à la suite d’une infection par Pegasus. Ces preuves ont été recueillies à partir des téléphones des DDH et des journalistes dans plusieurs pays.

Enfin, dans la section 9, le rapport documente l’évolution de l’infrastructure du réseau Pegasus depuis 2016. NSO Group a repensé son infrastructure d’attaque en utilisant plusieurs couches de domaines et de serveurs. Des erreurs de sécurité opérationnelles répétées ont permis au laboratoire de sécurité d’ Amnesty  International de maintenir une visibilité continue sur cette infrastructure. Nous publions un ensemble de 700 domaines liés à Pegasus.

Les noms de plusieurs des cibles de la société civile dans le rapport ont été anonymisés pour des raisons de sûreté et de sécurité. Les personnes qui ont été rendues anonymes ont reçu un nom de code alphanumérique dans ce rapport. 

1. Découvrir les attaques par injection de réseau Pegasus

Amnesty enquête technique internationale sur Pegasus ONS densifiés suite à notre découverte du ciblage d’un Amnesty International staffer et un activiste saoudien, Yahya Assiri, en 2018. Lab sécurité d’Amnesty International a commencé à affiner sa méthodologie de médecine légale grâce à la découverte des attaques contre les défenseurs des droits humains au Maroc 2019 , qui ont été encore corroborées par des attaques que nous avons découvertes contre un journaliste marocain en 2020 . Dans cette première section, nous détaillons le processus qui a conduit à la découverte de ces compromis.

De nombreux rapports publics avaient identifié les clients de NSO Group utilisant des messages SMS avec des domaines d’exploitation Pegasus au fil des ans. En conséquence, des messages similaires sont ressortis de notre analyse du téléphone de la militante marocaine Maati Monjib, qui était l’une des militantes ciblées, comme le documente le rapport 2019 d’ Amnesty International .

Cependant, lors d’une analyse plus approfondie, nous avons également remarqué des redirections suspectes enregistrées dans l’historique de navigation de Safari. Par exemple, dans un cas, nous avons remarqué une redirection vers une URL étrange après que Maati Monjib a tenté de visiter Yahoo :

Identifiant de visiteDate (UTC)URLSource de redirectionDestination de redirection
161192019-07-22 17:42:32.475http://yahoo.fr/nul16120
161202019-07-22 17:42:32.478https://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz16119nul

Veuillez noter : tout au long de ce document, nous avons échappé aux domaines malveillants avec le marquage [.] pour éviter les clics et visites accidentels.)

L’URL https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz est immédiatement apparue suspecte, notamment en raison de la présence d’un sous-domaine de 4ème niveau, d’un numéro de port élevé non standard, et d’un URI aléatoire similaire aux liens contenus dans des messages SMS précédemment documentés en rapport avec Pegasus de NSO Group. Comme vous pouvez le voir dans le tableau ci-dessus, la visite de Yahoo a été immédiatement redirigée vers cette URL suspecte avec l’ID de base de données 16120.

Dans notre rapport d’ octobre 2019 , nous détaillons comment nous avons déterminé que ces redirections sont le résultat d’attaques par injection de réseau effectuées soit via des dispositifs tactiques, tels que des tours cellulaires malveillantes, soit via des équipements dédiés placés chez l’opérateur mobile. Lorsque, des mois plus tard, nous avons analysé l’iPhone du journaliste indépendant marocain Omar Radi, qui, comme indiqué dans notre rapport 2020, était ciblé, nous avons trouvé des enregistrements similaires impliquant également le domaine free247downloads[.]com .

En novembre 2019, après le premier rapport d’Amnesty International, un nouveau domaine urlpush[.]net a été enregistré. Nous l’avons trouvé par la suite impliqué dans des redirections similaires vers l’URL https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj.

Bien que les enregistrements de l’historique de Safari soient généralement de courte durée et soient perdus après quelques mois (ainsi que potentiellement purgés intentionnellement par des logiciels malveillants), nous avons néanmoins pu trouver les domaines d’infection de NSO Group dans d’autres bases de données du téléphone d’Omar Radi qui n’apparaissaient pas dans Safari. Histoire. Par exemple, nous avons pu identifier les visites via la base de données Favicon.db de Safari , qui a été laissée intacte par Pegasus :

Date (UTC)   URLURL de l’icône
2019-02-11 14:45:53https://d9z3sz93x5ueidq3.get1tn0w.free247downloads[.]com:30897/rdEN5YPhttps://d9z3sz93x5ueidq3.get1tn0w.free247downloads[.]com:30897/favicon.ico
2019-09-13 17:01:38https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse#011356570257117296834845704022338973133022433397236https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/favicon.ico
2019-09-13 17:01:56https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse#068099561614626278519925358638789161572427833645389https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/favicon.ico
2020-01-17 11:06:32https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj#074196419827987919274001548622738919835556748325946%2324https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/favicon.ico 
2020-01-27 11:06:24https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj#074196419827987919274001548622738919835556748325946https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/favicon.ico

Comme expliqué dans l’annexe technique de notre rapport 2020 sur les attaques Pegasus au Maroc , ces redirections ne se produisent pas seulement lorsque la cible navigue sur Internet avec l’application navigateur, mais également lors de l’utilisation d’autres applications. Par exemple, dans un cas, Amnesty International a identifié une injection de réseau alors qu’Omar Radi utilisait l’application Twitter. Lors de la prévisualisation d’un lien partagé dans sa timeline, le service com.apple.SafariViewService a été invoqué pour charger une Safari WebView, et une redirection s’est produite.

Pour cette raison, nous pouvons trouver des enregistrements supplémentaires impliquant les domaines free247downloads[.]com et urlpush[.]net dans le stockage local WebKit spécifique à l’application, les dossiers IndexedDB, etc. Dans plusieurs cas, les fichiers IndexedDB ont été créés par Safari peu de temps après la redirection de l’injection réseau vers le serveur d’installation Pegasus.

De plus, les journaux des ressources de session de Safari fournissent des traces supplémentaires qui n’apparaissent pas systématiquement dans l’historique de navigation de Safari. Il semble que Safari n’enregistre pas les chaînes de redirection complètes et ne conserve que des enregistrements d’historique indiquant la dernière page chargée. Les journaux de ressources de session récupérés à partir des téléphones analysés démontrent que des domaines de transfert supplémentaires sont utilisés comme trampolines menant éventuellement aux serveurs d’infection. En fait, ces logs révèlent que la toute première injection réseau contre Maati Monjib que nous décrivons au début de cet article impliquait également le domaine documentpro[.]org :

Source de redirectionOrigineDestination de redirection
yahoo.frdocumentpro[.]orgfree247downloads[.]com

Maati Monjib a visité http://yahoo.fr, et une injection réseau a redirigé de force le navigateur vers documentpro[.]org avant de le rediriger vers free247downloads[.]com et de procéder à l’exploitation.

De même, à une autre occasion, Omar Radi a visité le site Web du journal français Le Parisien, et une injection de réseau l’a redirigé via le domaine de mise en scène tahmilmilafate[.]com , puis finalement vers free247downloads[.]com également. Nous avons également vu tahmilmilafate[.]info utilisé de la même manière :

Source de redirectionOrigineDestination de redirection
leparisien.frtahmilmilafate[.]comfree247downloads[.]com

Lors des dernières tentatives observées par Amnesty International contre Omar Radi en janvier 2020, son téléphone a été redirigé vers une page d’exploitation à l’ adresse gnyjv1xltx.info8fvhgl3.urlpush[.]net en passant par le domaine baramije[.]net . Le domaine baramije[.]net a été enregistré un jour avant urlpush[.]net , et un site Web leurre a été créé à l’aide du CMS open source Textpattern.

Les traces d’activité du réseau n’étaient pas les seuls indicateurs disponibles de compromission, et une inspection plus approfondie des iPhones a révélé des processus exécutés qui ont finalement conduit à l’établissement d’un modèle cohérent unique à tous les iPhones suivants qu’Amnesty International a analysés et trouvés infectés.

2. BridgeHead de Pegasus et d’autres processus malveillants apparaissent

Amnesty International, Citizen Lab et d’autres ont principalement attribué les attaques de logiciels espions Pegasus sur la base des noms de domaine et d’autres infrastructures réseau utilisées pour lancer les attaques. Cependant, les preuves médico-légales laissées par le logiciel espion Pegasus fournissent un autre moyen indépendant d’attribuer ces attaques à la technologie de NSO Group.

iOS conserve des enregistrements des exécutions de processus et de leur utilisation respective du réseau dans deux fichiers de base de données SQLite appelés « DataUsage.sqlite » et « netusage.sqlite » qui sont stockés sur l’appareil. Il convient de noter que si le premier est disponible dans la sauvegarde iTunes, le second ne l’est pas. De plus, il convient de noter que seuls les processus ayant effectué une activité réseau apparaîtront dans ces bases de données.

Les bases de données d’utilisation du réseau de Maati Monjib et d’Omar Radi contenaient des enregistrements d’un processus suspect appelé « bh » . Ce processus « bh » a été observé à plusieurs reprises immédiatement après les visites dans les domaines d’installation de Pegasus.

Le téléphone de Maati Monjib a enregistré l’exécution de « bh » d’avril 2018 à mars 2019 :

Première date (UTC)Dernière date (UTC)Nom du processusWWAN INWWAN OUTID de processus
2018-04-29 00:25:122019-03-27 22:45:10bh3319875.0144443.059472

Amnesty International a trouvé des enregistrements similaires sur le téléphone d’Omar Radi entre février et septembre 2019 :

Première date (UTC)Dernière date (UTC)Nom du processusWWAN INWWAN OUTID de processus
2019-02-11 14:45:562019-09-13 17:02:11bh3019409.0147684.050465

La dernière exécution enregistrée de « bh » s’est produite quelques secondes après une injection réseau réussie (comme le montrent les enregistrements de favicon répertoriés précédemment au 13-09-2019 17:01:56).

Surtout, nous trouvons des références à « bh » dans l’échantillon iOS de Pegasus récupéré des attaques de 2016 contre le défenseur des droits humains des Émirats arabes unis Ahmed Mansoor, découvert par Citizen Lab et analysé en profondeur par la société de cybersécurité Lookout .

Comme décrit dans l’analyse de Lookout, en 2016, NSO Group a exploité une vulnérabilité dans iOS JavaScriptCore Binary (jsc) pour réaliser l’exécution de code sur l’appareil. Cette même vulnérabilité a également été utilisée pour maintenir la persistance sur l’appareil après le redémarrage. Nous trouvons des références à « bh » dans tout le code de l’exploit :

var compressé_ bh _addr = shellcode_addr_aligned + shellcode32.byteLength;replacePEMagics(shellcode32, dlsym_addr, compressé_ bh _addr, bundle. bh CompressedByteLength);storeU32Array(shellcode32, shellcode_addr);storeU32Array(bundle. bh Compressed32, compressé_ bh _addr);

Ce module est décrit dans l’analyse de Lookout comme suit :

« bh.c – Charge les fonctions API liées à la décompression des charges utiles de l’étape suivante et à leur placement correct sur l’iPhone de la victime à l’aide de fonctions telles que BZ2_bzDecompress, chmod et malloc »

Lookout explique en outre qu’un fichier de configuration situé dans /var/tmp/jb_cfg est déposé à côté du binaire. Fait intéressant, nous trouvons le chemin d’accès à ce fichier exporté en tant que _kBridgeHeadConfigurationFilePath dans la partie fichier libaudio.dylib du bundle Pegasus :

__const:0001AFCC EXPORTATION _kBridgeHeadConfigurationFilePath__const:0001AFCC _kBridgeHeadConfigurationFilePath DCD cfstr_VarTmpJb_cfg ; « /var/tmp/jb_cfg »

Par conséquent, nous soupçonnons que « bh » pourrait signifier « BridgeHead » , qui est probablement le nom interne attribué par NSO Group à ce composant de leur boîte à outils. 

L’apparition du processus « bh » juste après l’injection réseau réussie du téléphone d’Omar Radi est cohérente avec l’objectif évident du module BridgeHead. Il termine l’exploitation du navigateur, enracine l’appareil et se prépare à son infection avec la suite Pegasus complète.

2.1 Processus suspects supplémentaires après BridgeHead

Le processus bh est apparu pour la première fois sur le téléphone d’Omar Radi le 11 février 2019. Cela s’est produit 10 secondes après qu’un fichier IndexedDB a été créé par le serveur d’installation Pegasus et qu’une entrée de favicon a été enregistrée par Safari. À peu près au même moment, le fichier com.apple.CrashReporter.plist a été écrit dans /private/var/root/Library/Preferences/ , probablement pour désactiver le signalement des journaux de plantage à Apple. La chaîne d’exploit avait obtenu l’autorisation root à ce stade.

Moins d’une minute plus tard, un processus  » roleaboutd  » apparaît pour la première fois.

Date (UTC)Événement 
2019-02-11 14:45:45Enregistrement DB indexé pour l’URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897/ 
2019-02-11 14:45:53Enregistrement Safari Favicon pour l’URL hxxps//d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP 
2019-02-11 14:45:54Reporter de crash désactivé en écrivant com.apple.CrashReporter.plist 
2019-02-11 14:45:56Processus : bh 
2019-02-11 14:46:23Processus : roleaboutd en premier 
2019-02-11 17:05:24Processus : dernier rôle 

L’appareil d’Omar Radi a été à nouveau exploité le 13 septembre 2019. Là encore, un processus « bh » a démarré peu après. À cette époque, le fichier com.apple.softwareupdateservicesd.plist a été modifié. Un processus « msgacntd » a également été lancé. 

Date (UTC)Événement
2019-09-13 17:01:38Enregistrement Safari Favicon pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse
2019-09-13 17:02:11Processus : bh
2019-09-13 17:02:33Processus : msgacntd d’ abord
2019-09-13 17:02:35Fichier modifié : com.apple.softwareupdateservicesd.plist
2019-09-14 20:51:54Processus : msgacntd en dernier

 Sur la base du moment et du contexte de l’exploitation, Amnesty International pense que les processus roleaboutd et msgacntd sont une étape ultérieure du logiciel espion Pegasus qui a été chargé après une exploitation réussie et une élévation des privilèges avec la charge utile BridgeHead .

De même, l’analyse médico-légale du téléphone de Maati Monjib a révélé l’exécution de processus plus suspects en plus de bh . Un processus nommé pcsd et un autre nommé fmld sont apparus en 2018 :

date de poingDernier rendez-vousNom du processusWWAN INWWAN OUTID de processus
2018-05-04 23:30:452018-05-04 23:30:45pcsd12305.010173.014946
2018-05-21 23:46:062018-06-4 13:05:43fmld0.0188326.021207

Amnesty International a vérifié qu’aucun fichier binaire légitime du même nom n’était distribué dans les versions récentes d’iOS.

La découverte de ces processus sur les téléphones d’Omar Radi et de Maati Monjib est ensuite devenue déterminante pour la poursuite des enquêtes d’Amnesty International, car nous avons trouvé des processus portant les mêmes noms sur les appareils d’individus ciblés du monde entier.

3. Processus Pegasus suite à l’exploitation potentielle d’Apple Photos

Au cours des enquêtes d’Amnesty International dans le cadre du projet Pegasus, nous avons découvert d’autres cas où le processus « bh » mentionné ci-dessus a été enregistré sur des appareils compromis par différents vecteurs d’attaque.

Dans un cas, le téléphone d’un avocat français des droits de l’homme (CODE : FRHRL1) a été compromis et le processus « bh » a été exécuté quelques secondes après que le trafic réseau pour l’application iOS Photos ( com.apple.mobileslideshow ) a été enregistré pour la première fois. Encore une fois, après une exploitation réussie, le rapport de plantage a été désactivé en écrivant un fichier com.apple.CrashReporter.plist sur l’appareil.

2019-10-29 09:04:32Processus : mobileslideshow/com.apple.mobileslideshow d’abord
2019-10-29 09:04:58Processus : bh
2019-10-29 09:05:08com.apple.CrashReporter.plist abandonné
2019-10-29 09:05:53Processus : mptbd

La prochaine et dernière activité réseau pour l’application iOS Photos a été enregistrée le 18 décembre 2019, précédant encore une fois l’exécution de processus malveillants sur l’appareil.

2019-12-18 08:13:33Processus : mobileslideshow/com.apple.mobileslideshow dernier
2019-12-18 08:13:47Processus : bh
2019-12-18 11:50:15Processus : ckebld

Dans un cas distinct, nous avons identifié un schéma similaire avec les processus « mobileslideshow » et « bh » sur l’iPhone d’un journaliste français (CODE : FRJRN1) en mai 2020 :

2020-05-24 15:44:21Processus : mobileslideshow/com.apple.mobileslideshow d’abord
2020-05-24 15:44:39Processus : bh
2020-05-24 15:46:51Processus : fservernetd
 
2020-05-27 16:58:31Processus : mobileslideshow/com.apple.mobileslideshow dernier
2020-05-27 16:58:52Processus : bh
2020-05-27 18:00:00Processus : ckkeyrollfd

Amnesty International n’a pas été en mesure de capturer les charges utiles liées à cette exploitation, mais soupçonne que l’application iOS Photos ou le service Photostream ont été utilisés dans le cadre d’une chaîne d’exploitation pour déployer Pegasus. Les applications elles-mêmes peuvent avoir été exploitées ou leurs fonctionnalités mal utilisées pour fournir un exploit JavaScript ou de navigateur plus traditionnel à l’appareil.

Comme vous pouvez le voir dans les tableaux ci-dessus , des noms de processus supplémentaires tels que mptbd , ckeblld , fservernetd et ckkeyrollfd apparaissent juste après bh . Comme pour fmld et pcsd, Amnesty International pense qu’il s’agit de charges utiles supplémentaires téléchargées et exécutées après un compromis réussi. Au fur et à mesure que nos enquêtes progressaient, nous avons identifié des dizaines de noms de processus malveillants impliqués dans les infections Pegasus.

De plus, Amnesty International a trouvé le même compte iCloud bogaardlisa803[@]gmail.com enregistré comme étant lié au service « com.apple.private.alloy.photostream » sur les deux appareils. Les comptes iCloud créés à dessein semblent être au cœur de la diffusion de plusieurs vecteurs d’attaque « zéro clic » dans de nombreux cas récents d’appareils compromis analysés par Amnesty International.

4. Un iMessage zero-click 0day largement utilisé en 2019

Alors que les messages SMS contenant des liens malveillants étaient la tactique de choix des clients de NSO Group entre 2016 et 2018, ces dernières années, ils semblent être devenus de plus en plus rares. La découverte d’attaques par injection de réseau au Maroc a signalé que la tactique des attaquants était en effet en train de changer. L’injection de réseau est un vecteur d’attaque efficace et rentable pour un usage domestique, en particulier dans les pays ayant un effet de levier sur les opérateurs mobiles. Cependant, s’il n’est efficace que sur les réseaux nationaux, le ciblage de cibles étrangères ou d’individus dans les communautés de la diaspora a également changé. 

À partir de 2019, un nombre croissant de vulnérabilités dans iOS, en particulier iMessage et FaceTime, ont commencé à être corrigées grâce à leurs découvertes par des chercheurs en vulnérabilité ou par des fournisseurs de cybersécurité signalant des exploits découverts dans la nature.

En réponse, Amnesty International a étendu sa méthodologie médico-légale pour collecter toutes les traces pertinentes par iMessage et FaceTime. iOS conserve un enregistrement des identifiants Apple vus par chaque application installée dans un fichier plist situé dans /private/var/mobile/Library/Preferences/com.apple.identityservices. idstatuscache .plist . Ce fichier est également généralement disponible dans une sauvegarde iTunes régulière, il peut donc être facilement extrait sans avoir besoin d’un jailbreak.

Ces dossiers ont joué un rôle essentiel dans les enquêtes ultérieures. Dans de nombreux cas, nous avons découvert des processus Pegasus suspectés exécutés sur des appareils immédiatement après des recherches de compte iMessage suspectes. Par exemple, les enregistrements suivants ont été extraits du téléphone d’un journaliste français (CODE FRJRN2) :

2019-06-16 12:08:44Recherche de bergers.o79@gmail.com par com.apple.madrid (iMessage)
2019-08-16 12:33:52Recherche de bergers.o79@gmail \x00\x00 om par com.apple.madrid (iMessage)
2019-08-16 12:37:55Le fichier Library/Preferences/com.apple.CrashReporter.plist est créé dans RootDomain
2019-08-16 12:41:25Le fichier Library/Preferences/roleaccountd.plist est créé dans RootDomain
2019-08-16 12:41:36Processus : roleaccountd
2019-08-16 12:41:52Processus : mise en scène                    
2019-08-16 12:49:21Processus : aggregatenotd

L’analyse médico-légale d’Amnesty International de plusieurs appareils a trouvé des enregistrements similaires. Dans de nombreux cas, le même compte iMessage se reproduit sur plusieurs appareils ciblés, indiquant potentiellement que ces appareils ont été ciblés par le même opérateur. De plus, les processus roleaccountd et stagingd se produisent de manière cohérente, avec d’autres.

Par exemple, l’iPhone d’un journaliste hongrois (CODE HUJRN1) affichait à la place les enregistrements suivants :

2019-09-24 13:26:15Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-09-24 13:26:51Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-24 13:32:10Processus : roleaccountd
2019-09-24 13:32:13Processus : mise en scène

Dans ce cas, les premiers processus suspects réalisant une activité réseau ont été enregistrés 5 minutes après la première recherche. Le fichier com.apple.CrashReporter.plist était déjà présent sur cet appareil après une infection réussie précédente et n’a pas été réécrit. 

L’iPhone d’un autre journaliste hongrois (CODE HUJRN2) affiche des recherches pour les mêmes comptes iMessage ainsi que de nombreux autres processus ainsi que roleaccountd et stagingd :

2019-07-15 12:01:37Recherche de mailto:e \x00\x00 adavies8266@gmail.com par com.apple.madrid (iMessage)
2019-07-15 14:21:40Processus : accountpfd
2019-08-29 10:57:43Processus : roleaccountd
2019-08-29 10:57:44Processus : mise en scène
2019-08-29 10:58:35Processus : launchrexd
2019-09-03 07:54:26Processus : roleaccountd
2019-09-03 07:54:28Processus : mise en scène
2019-09-03 07:54:51Processus : seracompted
2019-09-05 13:26:38Processus : seracompted
2019-09-05 13:26:55Processus : misbrigd
2019-09-10 06:09:04Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-10 06:09:47Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-10-30 14:09:51Processus : nehelprd

Il est intéressant de noter que dans les traces qu’Amnesty International a récupérées à partir de 2019, les recherches iMessage qui ont immédiatement précédé l’exécution de processus suspects contenaient souvent un remplissage 0x00 de deux octets dans l’adresse e-mail enregistrée par le fichier ID Status Cache.

5. Apple Music mis à profit pour livrer Pegasus en 2020

À la mi-2021, Amnesty International a identifié un autre cas d’un éminent journaliste d’investigation azerbaïdjanais (CODE AZJRN1) qui a été la cible à plusieurs reprises d’attaques Pegasus Zero-Click de 2019 jusqu’à la mi-2021.

Encore une fois, nous avons trouvé un modèle similaire de traces médico-légales sur l’appareil après la première exploitation réussie enregistrée :

2019-03-28 07:43:14Fichier : Library/Preferences/ com.apple.CrashReporter.plist de RootDomain
2019-03-28 07:44:03Fichier : Bibliothèque/Préférences/ roleaccountd.plist de RootDomain
2019-03-28 07:44:14Processus : roleaccountd
2019-03-28 07:44:14Processus : mise en scène

Fait intéressant, nous avons trouvé des signes d’une nouvelle technique d’infection iOS utilisée pour compromettre cet appareil. Une infection réussie s’est produite le 10 juillet 2020 :

2020-07-06 05:22:21Recherche de f\x00\x00ip.bl82@gmail.com par iMessage (com.apple.madrid)
2020-07-10 14:12:09  Demande Pegasus par l’application Apple Music : https://x1znqjo0x8b8j.php78mp9v.opposedarrangement[.]net:37271/afAVt89Wq/stadium/pop2.html?key=501_4&n=7
2020-07-10 14:12:21Processus : roleaccountd
2020-07-10 14:12:53Processus : mise en scène
2020-07-13 05:05:17Demande Pegasus par l’application Apple Music :
https://4n3d9ca2st.php78mp9v.opposedarrangement[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7

Peu de temps avant le lancement de Pegasus sur l’appareil, nous avons vu le trafic réseau enregistré pour le service Apple Music. Ces requêtes HTTP ont été récupérées à partir d’un fichier de cache réseau situé dans /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache. db que nous avons récupéré en jailbreakant l’appareil.

Amnesty International ne peut pas déterminer à partir de la médecine légale si Apple Music a lui-même été exploité pour transmettre l’infection initiale ou si, au lieu de cela, l’application a été maltraitée dans le cadre d’une chaîne d’évasion et d’escalade des privilèges du bac à sable. Des recherches récentes ont montré que les applications intégrées telles que l’application iTunes Store peuvent être utilisées de manière abusive pour exécuter un exploit de navigateur tout en échappant au sandbox restrictif de l’application Safari.

Plus important encore, la requête HTTP effectuée par l’application Apple Music pointe vers le domaine opposédarrangement[.]net , que nous avions précédemment identifié comme appartenant à l’infrastructure réseau Pegasus de NSO Group. Ce domaine correspondait à une empreinte distinctive que nous avons conçue lors de la réalisation d’analyses à l’échelle d’Internet suite à notre découverte des attaques par injection de réseau au Maroc (voir la section 9).

De plus, ces URL présentent des caractéristiques particulières typiques d’autres URL que nous avons trouvées impliquées dans les attaques Pegasus au fil des ans, comme expliqué dans la section suivante.

6. Megalodon : iMessage zero-click 0-day return en 2021

L’analyse menée par Amnesty International sur plusieurs appareils révèle des traces d’attaques similaires à celles que nous avons observées en 2019. Ces attaques ont été observées aussi récemment qu’en juillet 2021. Amnesty International pense que Pegasus est actuellement livré par le biais d’exploits sans clic qui restent fonctionnels jusqu’au dernier version disponible d’iOS au moment de la rédaction (juillet 2021).

Sur l’iPhone d’un avocat français des droits de l’homme (CODE FRHRL2), nous avons observé une recherche d’un compte iMessage suspect inconnu de la victime, suivie d’une requête HTTP effectuée par le processus com.apple.coretelephony . Il s’agit d’un composant d’iOS impliqué dans toutes les tâches liées à la téléphonie et probablement parmi ceux exploités dans cette attaque. Nous avons trouvé des traces de cette requête HTTP dans un fichier cache stocké sur le disque dans /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db contenant des métadonnées sur la requête et la réponse. Le téléphone a envoyé des informations sur l’appareil, notamment le modèle 9,1 (iPhone 7) et le numéro de version iOS 18C66(version 14.3) à un service proposé par Amazon CloudFront, suggérant que NSO Group est passé à l’utilisation des services AWS ces derniers mois. Au moment de cette attaque, la nouvelle version iOS 14.4 n’était sortie que depuis quelques semaines.

Date (UTC)Événement
2021-02-08 10:42:40Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-02-08 11:27:10com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/fV2GsPXgW//stadium/megalodon?m=iPhone9,1&v=18C66
2021-02-08 11:27:21Processus : gatekeeper
2021-02-08 11:27:22gatekeeperd exécute une requête HTTP vers https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000
2021-02-08 11:27:23Processus : gatekeeper

Le fichier Cache.db pour com.apple.coretelephony contient des détails sur la réponse HTTP qui semble avoir été un téléchargement d’environ 250 Ko de données binaires. En effet, nous avons trouvé le binaire téléchargé dans le sous-dossier fsCachedData , mais il était malheureusement crypté. Amnesty International pense qu’il s’agit de la charge utile lancée en tant que gardien .

Amnesty International a ensuite analysé l’iPhone d’un journaliste (CODE MOJRN1), qui contenait des enregistrements très similaires. Cet appareil a été exploité à plusieurs reprises entre février et avril 2021 et dans toutes les versions d’iOS. La tentative la plus récente a montré les indicateurs de compromis suivants :

Date (UTC)                           Événement
2021-04-02 10:15:38Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-04-02 10:36:00com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/megalodon?m=iPhone8,1&v=18D52&u=[REDACTED]
2021-04-02 10:36:08Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk
2021-04-02 10:36:16Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/01-00000000
2021-04-02 10:36:16com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/cszjcft=frzaslm
2021-04-02 10:36:35Processus : gatekeeper
2021-04-02 10:36:45Processus : rolexd

Comme il est évident , le même compte iMessage observé dans l’affaire distincte précédente a été impliqué dans cette exploitation et compromis des mois plus tard. Le même site Web CloudFront a été contacté par com.apple.coretelephony et les processus supplémentaires ont exécuté, téléchargé et lancé des composants malveillants supplémentaires.

L’enregistrement initial indique que l’iPhone 6s compromis utilisait iOS 14.4 (numéro de build 18D52) au moment de l’attaque. Bien que les versions 14.4.1 et 14.4.2 étaient déjà disponibles à l’époque, elles ne traitaient que les vulnérabilités de WebKit, il est donc prudent de supposer que la vulnérabilité exploitée dans ces attaques iMessage a été exploitée en tant que jour 0.

Il convient de noter que parmi les nombreux autres noms de processus malveillants observés exécutés sur ce téléphone, nous voyons msgacntd , que nous avons également trouvé en cours d’exécution sur le téléphone d’Omar Radi en 2019, comme documenté précédemment.

En outre, il convient de noter que les URL que nous avons observées utilisées dans les attaques au cours des trois dernières années présentent un ensemble cohérent de modèles. Cela confirme l’analyse d’Amnesty International selon laquelle les trois URL sont en fait des composants de l’infrastructure d’attaque des clients Pegasus. L’attaque Apple Music de 2020 montre la même structure de domaine de niveau 4 et le même numéro de port élevé non standard que l’attaque par injection réseau de 2019. Les domaines free247downloads[.]com et opposés[.]net correspondaient à notre empreinte digitale de domaine Pegasus V4.

De plus, l’URL d’attaque Apple Music et les URL d’attaque Megaladon 2021 partagent un modèle distinctif. Les deux chemins d’URL commencent par un identifiant aléatoire lié à la tentative d’attaque suivi du mot « stade ».

Attaque   URL
Injection réseau (2019)https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse
Attaque Apple Music (2020)https://4n3d9ca2st.php78mp9v.opposedarrangement[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7                                                    
iMessage zéro clic (2021)https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk

Amnesty International a rapporté cette information à Amazon, qui nous a informés avoir « agi rapidement pour fermer l’infrastructure et les comptes impliqués » . [2]

L’iPhone 11 d’un militant français des droits de l’homme (CODE FRHRD1) a également montré une recherche iMessage pour le compte linakeller2203[@]gmail.com le 11 juin 2021 et des processus malveillants par la suite. Le téléphone utilisait iOS 14.4.2 et a été mis à niveau vers 14.6 le lendemain.

Plus récemment, Amnesty International a observé des preuves de compromission de l’iPhone XR d’un journaliste indien (CODE INJRN1) exécutant iOS 14.6 (dernier disponible au moment de la rédaction) le 16 juin 2021. Enfin, Amnesty International a confirmé une infection active. de l’iPhone X d’un militant (CODE RWHRD1) le 24 juin 2021, sous iOS 14.6. Bien que nous n’ayons pas été en mesure d’extraire les enregistrements des bases de données Cache.db en raison de l’impossibilité de jailbreaker ces deux appareils, des données de diagnostic supplémentaires extraites de ces iPhones montrent de nombreuses notifications push iMessage précédant immédiatement l’exécution des processus Pegasus.

L’appareil d’un activiste rwandais (CODE RWHRD1) montre des preuves de plusieurs infections à zéro clic réussies en mai et juin 2021. Nous pouvons en voir un exemple le 17 mai 2021. Un compte iMessage inconnu est enregistré et dans les minutes qui suivent au moins 20 morceaux de pièces jointes iMessage sont créés sur le disque.

Date (UTC)  Événement
2021-05-17 13:39:16Recherche de compte iCloud benjiburns8[@]gmail.com (iMessage)
2021-05-17 13:40:12Fichier : /private/var/mobile/Library/SMS/Attachments/dc/12/DEAE6789-0AC4-41A9-A91C-5A9086E406A5/.eBDOuIN1wq.gif-2hN9
2021-05-17 13:40:21Fichier : /private/var/mobile/Library/SMS/Attachments/41/01/D146B32E-CA53-41C5-BF61-55E0FA6F5FF3/.TJi3fIbHYN.gif-bMJq
2021-05-17 13:44:19Fichier : /private/var/mobile/Library/SMS/Attachments/42/02/45F922B7-E819-4B88-B79A-0FEE289701EE/.v74ViRNkCG.gif-V678

Amnesty International n’a trouvé aucune preuve que l’attaque du 17 mai ait été un succès. Les attaques ultérieures des 18 et 23 juin ont été couronnées de succès et ont conduit au déploiement de charges utiles Pegasus sur l’appareil.

Initialement, de nombreuses notifications push iMessage (com.apple.madrid) ont été reçues et des morceaux de pièces jointes ont été écrits sur le disque. Le tableau suivant montre un échantillon des 48 fichiers joints trouvés sur le système de fichiers.

Date (UTC)  Événement    
2021-06-23 20:45:008 notifications push pour le sujet com.apple.madrid (iMessage)
2021-06-23 20:46:0046 notifications push pour le sujet com.apple.madrid (iMessage)
2021-06-23 20:46:19Fichier : /private/var/tmp/com.apple.messages/F803EEC3-AB3A-4DC2-A5F1-9E39D7A509BB/.cs/ChunkStoreDatabase
2021-06-23 20:46:20Fichier : /private/var/mobile/Library/SMS/Attachments/77/07/4DFA8939-EE64-4CB5-A111-B75733F603A2/8HfhwBP5qJ.gif-u0zD
2021-06-23 20:53:0017 notifications push pour le sujet com.apple.madrid (iMessage)
2021-06-23 20:53:54Fichier : /private/var/tmp/com.apple.messages/50439EF9-750C-4449-B7FC-851F28BD3BD3/.cs/ChunkStoreDatabase
2021-06-23 20:53:54Fichier : /private/var/mobile/Library/SMS/Attachments/36/06/AA10C840-1776-4A51-A547-BE78A3754773/.7bb9OMWUa8.gif-UAPo
2021-06-23 20:54:0054 notifications push pour le sujet com.apple.madrid (iMessage)

Un crash de processus s’est produit à 20:48:56, ce qui a entraîné le démarrage du processus ReportCrash suivi du redémarrage de plusieurs processus liés au traitement d’iMessage :

Date (UTC)  Événement    
2021-06-23 20:48:56Processus avec PID 1192 et nom ReportCrash
2021-06-23 20:48:56Processus avec PID 1190 et nom IMTransferAgent
2021-06-23 20:48:56Processus avec le PID 1153 et le nom SCHelper
2021-06-23 20:48:56Processus avec PID 1151 et nom CategoriesService
2021-06-23 20:48:56Processus avec PID 1147 et nom MessagesBlastDoorService
2021-06-23 20:48:56Processus avec PID 1145 et nom NotificationService

Une deuxième série de plantages et de redémarrages se sont produits cinq minutes plus tard. Le processus ReportCrash a été lancé avec les processus liés à l’analyse du contenu iMessage et des avatars personnalisés iMessage.

Date (UTC)  Événement    
2021-06-23 20:54:16Processus avec PID 1280 et nom ReportCrash
2021-06-23 20:54:16Processus avec PID 1278 et nom IMTransferAgent
2021-06-23 20:54:16Processus avec PID 1266 et nom com.apple.WebKit.WebContent
2021-06-23 20:54:16Processus avec PID 1263 et nom com.apple.accessibility.mediaac
2021-06-23 20:54:16Processus avec le PID 1262 et le nom CategoriesService
2021-06-23 20:54:16Processus avec PID 1261 et nom com.apple.WebKit.Networking
2021-06-23 20:54:16Processus avec PID 1239 et nom avatarsd

Peu de temps après à 20h54 l’exploitation a réussi, et nous observons qu’une requête réseau a été faite par le processus com.apple.coretelephony provoquant la modification du fichier Cache.db. Cela correspond au comportement qu’Amnesty International a observé lors des autres attaques zéro clic de Pegasus en 2021. 

Date (UTC)   Événement    
2021-06-23 20:54:35Fichier : /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db-shm
2021-06-23 20:54:35Fichier : /private/var/wireless/Library/Caches/com.apple.coretelephony/fsCachedData/3C73213F-73E5-4429-AAD9-0D7AD9AE83D1
2021-06-23 20:54:47Fichier: / private / var / root / Library / Caches / appccntd /Cache.db
2021-06-23 20:54:53Fichier : /private/var/tmp/XtYaXXY
2021-06-23 20:55:08Fichier : /private/var/tmp/CFNetworkDownload_JQeZFF.tmp
2021-06-23 20:55:09Fichier : /private/var/tmp/PWg6ueAldsvV8vZ8CYpkp53D
2021-06-23 20:55:10Fichier : /private/var/db/com.apple.xpc.roleaccountd.staging/otpgrefd
2021-06-23 20:55:10Fichier : /private/var/tmp/vditcfwheovjf/kk
2021-06-23 20:59:35Processus : appccntd
2021-06-23 20:59:35Processus : otpgrefd

Enfin, l’analyse d’un iPhone 12 entièrement patché sous iOS 14.6 d’un journaliste indien (CODE INJRN2) a également révélé des signes de compromission réussie. Ces découvertes les plus récentes indiquent que les clients de NSO Group sont actuellement en mesure de compromettre à distance tous les modèles d’iPhone récents et les versions d’iOS. 

Nous avons signalé cette information à Apple, qui nous a informés qu’ils enquêtaient sur la question. [3]

7. Tentatives incomplètes pour cacher des preuves de compromission

Plusieurs iPhones qu’Amnesty International a inspectés indiquent que Pegasus a récemment commencé à manipuler des bases de données système et des enregistrements sur des appareils infectés pour cacher ses traces et entraver les efforts de recherche d’Amnesty International et d’autres enquêteurs.

Fait intéressant, cette manipulation devient évidente lors de la vérification de la cohérence des enregistrements restants dans DataUsage.sqlite et netusage.sqlitebases de données SQLite. Pegasus a supprimé les noms des processus malveillants de la table ZPROCESS dans la base de données DataUsage mais pas les entrées correspondantes de la table ZLIVEUSAGE. La table ZPROCESS stocke des lignes contenant un ID de processus et le nom du processus. La table ZLIVEUSAGE contient une ligne pour chaque processus en cours d’exécution, y compris le volume de transfert de données et l’ID de processus correspondant à l’entrée ZPROCESS. Ces incohérences peuvent être utiles pour identifier les moments où des infections peuvent s’être produites. Des indicateurs Pegasus supplémentaires de compromission ont été observés sur tous les appareils où cette anomalie a été observée. Aucune incohérence similaire n’a été trouvée sur les iPhones propres analysés par Amnesty International.

Bien que les enregistrements les plus récents soient désormais supprimés de ces bases de données, des traces d’exécutions de processus récentes peuvent également être récupérées à partir de journaux de diagnostic supplémentaires du système.                                                                               

Par exemple, les enregistrements suivants ont été récupérés sur le téléphone d’un DRH (CODE RWHRD1) :

Date (UTC)Événement
2021-01-31 23:59:02Processus : libtouchregd (PID 7354)
2021-02-21 23:10:09Processus : mptbd (PID 5663)
2021-02-21 23:10:09Processus : launchrexd (PID 4634)
2021-03-21 06:06:45Processus : roleaboutd (PID 12645)
2021-03-28 00:36:43Processus : otpgrefd (PID 2786)
2021-04-06 21:29:56Processus : locserviced (PID 5492)
2021-04-23 01:48:56Processus : eventfssd (PID 4276)
2021-04-23 23:01:44Processus : aggregatenotd (PID 1900)
2021-04-28 16:08:40Processus : xpccfd (PID 1218)
2021-06-14 00:17:12Processus : faskeepd (PID 4427)
2021-06-14 00:17:12Processus : lobbrogd (PID 4426)
2021-06-14 00:17:12Processus : neagentd (PID 4423)
2021-06-14 00:17:12Processus : com.apple.rapports.events (PID 4421)
2021-06-18 08:13:35Processus : faskeepd (PID 4427)
2021-06-18 15:31:12Processus : launchrexd (PID 1169)
2021-06-18 15:31:12Processus : frtipd (PID 1168)
2021-06-18 15:31:12Processus : RappelIntentsUIExtension (PID 1165)
2021-06-23 14:31:39Processus : launchrexd (PID 1169)
2021-06-23 20:59:35Processus : otpgrefd (PID 1301)
2021-06-23 20:59:35Processus : launchafd (PID 1300)
2021-06-23 20:59:35Processus : vm_stats (PID 1294)
2021-06-24 12:24:29Processus : otpgrefd (PID 1301)

Les fichiers journaux du système révèlent également l’emplacement des binaires Pegasus sur le disque. Ces noms de fichiers correspondent à ceux que nous avons systématiquement observés dans les journaux d’exécution de processus présentés précédemment. Les fichiers binaires sont situés dans le dossier /private/var/db/com.apple.xpc.roleaccountd.staging/, ce qui est cohérent avec les conclusions de Citizen Lab dans un rapport de décembre 2020 .

/private/var/db/com.apple.xpc.roleaccountd.staging/launchrexd/EACA3532-7D15-32EE-A88A-96989F9F558A

Les enquêtes d’Amnesty International, corroborées par des informations secondaires que nous avons reçues, semblent suggérer que Pegasus ne maintient plus la persistance sur les appareils iOS. Par conséquent, les charges utiles binaires associées à ces processus ne sont pas récupérables à partir du système de fichiers non volatile. Au lieu de cela, il faudrait pouvoir jailbreaker l’appareil sans redémarrage et tenter d’extraire les charges utiles de la mémoire.

8. Processus Pegasus déguisés en services système iOS

Parmi les nombreuses analyses médico-légales menées par Amnesty International sur des appareils du monde entier, nous avons trouvé un ensemble cohérent de noms de processus malveillants exécutés sur des téléphones compromis. Alors que certains processus, par exemple bh , semblent être propres à un vecteur d’attaque particulier, la plupart des noms de processus Pegasus semblent simplement déguisés pour apparaître comme des processus légitimes du système iOS, peut-être pour tromper les enquêteurs médico-légaux inspectant les journaux.

Plusieurs de ces noms de processus falsifient les binaires iOS légitimes :

Nom du processus PegasusBinaire iOS falsifié
ABSCarryLogASPCarryLog
agrégénotdagrégé
ckkeyrollfdckkeyrolld
com.apple.Mappit.SnapshotServicecom.apple.MapKit.SnapshotService
com.apple.rapports.eventscom.apple.rapport.events
CommsCenterRootHelperCommCenterRootHelper
Diagnostique-2543Diagnostique-2532
événementsfssdfseventsd
fmldfmfd
JarvisPluginMgrJarvisPlugin
launchafdlancé
MobileSMSdMobileSMS
nehelprdaide
pcsdcom.apple.pcs             
Dialogues PPDDialogues PPP
RappelIntentsUIExtensionRappelsIntentsUIExtension
rlaccountdxpcroleaccountd
roleaccountdxpcroleaccountd

La liste des noms de processus que nous associons aux infections Pegasus est disponible parmi tous les autres indicateurs de compromission sur notre page GitHub .

9. Démêler l’infrastructure d’attaque Pegasus au fil des ans

L’ensemble de noms de domaine, de serveurs et d’infrastructures utilisés pour fournir et collecter des données à partir du logiciel espion Pegasus de NSO Group a évolué à plusieurs reprises depuis sa première divulgation publique par Citizen Lab en 2016.

En août 2018, Amnesty International a publié un rapport « Amnesty International parmi les cibles de la campagne soutenue par les NSO » qui décrivait le ciblage d’un membre du personnel d’Amnesty International et d’un défenseur des droits humains saoudien. Dans ce rapport, Amnesty International a présenté un extrait de plus de 600 noms de domaine liés à l’infrastructure d’attaque de NSO Group. Amnesty International a publié la liste complète des domaines en octobre 2018. Dans ce rapport, nous appelons ces domaines le réseau Pegasus version 3 (V3) .

L’ infrastructure de la version 3 utilisait un réseau de VPS et de serveurs dédiés. Chaque serveur d’installation Pegasus ou serveur de commande et de contrôle (C&C) hébergeait un serveur Web sur le port 443 avec un domaine unique et un certificat TLS. Ces serveurs de périphérie feraient ensuite passer les connexions via une chaîne de serveurs, appelée par NSO Group sous le nom de « Pegasus Anonymizing Transmission Network » (PATN).

Il était possible de créer une paire d’empreintes digitales pour l’ensemble distinctif de suites de chiffrement TLS prises en charge par ces serveurs. La technique d’empreinte digitale est conceptuellement similaire à la technique d’empreinte digitale JA3S publiée par Salesforce en 2019 . Avec cette empreinte digitale, le laboratoire de sécurité d’Amnesty International a effectué des analyses à l’échelle d’Internet pour identifier l’installation/l’infection de Pegasus et les serveurs C&C actifs à l’été 2018. 

NSO Group a commis des erreurs de sécurité opérationnelle critiques lors de la configuration de son infrastructure de version 3. Deux domaines de l’ancien réseau Version 2 ont été réutilisés dans leur réseau Version 3. Ces deux domaines de la version 2, pine-sales[.]com et ecommerce-ads[.]org avaient déjà été identifiés par Citizen Lab. Ces erreurs ont permis à Amnesty International de lier la tentative d’attaque contre notre collègue au produit Pegasus de NSO Group. Ces liens ont été confirmés de manière indépendante par Citizen Lab dans un rapport de 2018 .

NSO Group a rapidement fermé bon nombre de ses serveurs de la version 3 peu de temps après les publications d’Amnesty International et de Citizen Lab le 1er août 2018.

9.1 Nouvelles tentatives de NSO Group pour cacher leur infrastructure

En août 2019, Amnesty International a identifié un autre cas d’utilisation des outils du groupe NSO pour cibler un défenseur des droits humains, cette fois au Maroc. Maati Monjib a été la cible de messages SMS contenant des liens Pegasus Version 3 .

Amnesty a effectué une analyse médico-légale de son iPhone comme décrit précédemment. Cette analyse médico-légale a montré des redirections vers un nouveau nom de domaine free247downloads.com . Ces liens ressemblaient étrangement aux liens d’infection précédemment utilisés par NSO.

Amnesty International a confirmé que ce domaine était lié au groupe NSO en observant des artefacts Pegasus distinctifs créés sur l’appareil peu de temps après l’ouverture de l’URL d’infection. Avec ce nouveau domaine en main, nous avons pu commencer à cartographier l’ infrastructure Pegasus Version 4 (V4) .

NSO Group a remanié son infrastructure pour introduire des couches supplémentaires, ce qui a compliqué la découverte. Néanmoins, nous pouvions maintenant observer au moins 4 serveurs utilisés dans chaque chaîne d’infection.

Domaine de validation : https://baramije[.]net/[CHAINE ALPHANUMÉRIQUE]Domaine d’       exploitation : https://[SUPPRIMÉ].info8fvhgl3.urlpush[.]net:30827/[MÊME CHAÎNE ALPHANUMÉRIQUE]
  1. Un serveur de validation : La première étape était un site web que nous avons vu hébergé sur des hébergeurs mutualisés. Ce site Web exécutait fréquemment une application PHP ou CMS aléatoire et parfois obscure. Amnesty International pense qu’il s’agissait d’un effort visant à rendre les domaines moins distinguables.

    Le serveur de validation vérifierait la demande entrante. Si une requête avait une URL valide et toujours active, le serveur de validation redirigerait la victime vers le domaine du serveur d’exploitation nouvellement généré. Si l’URL ou l’appareil n’était pas valide, il redirigerait vers un site Web leurre légitime. Tout passant ou crawler Internet ne verrait que le leurre PHP CMS.
  2. Serveur DNS d’infection : NSO semble désormais utiliser un sous-domaine unique pour chaque tentative d’exploit. Chaque sous-domaine a été généré et n’a été actif que pendant une courte période. Cela a empêché les chercheurs de trouver l’emplacement du serveur d’exploit sur la base des journaux de périphérique historiques.

    Pour résoudre dynamiquement ces sous-domaines, NSO Group a exécuté un serveur DNS personnalisé sous un sous-domaine pour chaque domaine d’infection. Il a également obtenu un certificat TLS générique qui serait valide pour chaque sous-domaine généré tel que *.info8fvhgl3.urlpush[.]net ou *.get1tn0w.free247downloads[.]com .
  3. Serveur d’installation Pegasus : pour servir la charge utile d’infection réelle, NSO Group doit exécuter un serveur Web quelque part sur Internet. Encore une fois, NSO Group a pris des mesures pour éviter l’analyse Internet en exécutant le serveur Web sur un numéro de port aléatoire élevé.

    Nous supposons que chaque serveur Web d’infection fait partie de la nouvelle génération « Pegasus Anonymizing Transmission Network » . Les connexions au serveur d’infection sont probablement renvoyées par proxy à l’infrastructure Pegasus du client.
  4. Serveur de commande et de contrôle : dans les générations précédentes du PATN, NSO Group utilisait des domaines distincts pour l’infection initiale et la communication ultérieure avec le logiciel espion. Le rapport iPwn de Citizen Lab a fourni la preuve que Pegasus utilise à nouveau des domaines distincts pour le commandement et le contrôle. Pour éviter la découverte basée sur le réseau, le logiciel espion Pegasus a établi des connexions directes avec les serveurs Pegasus C&C sans effectuer au préalable une recherche DNS ou envoyer le nom de domaine dans le champ TLS SNI.

9.2 Identification d’autres domaines d’attaque NSO

Amnesty International a commencé par analyser la configuration des domaines d’infection et des serveurs DNS utilisés dans les attaques contre les journalistes et les défenseurs des droits humains marocains.

Sur la base de notre connaissance des domaines utilisés au Maroc, nous avons développé une empreinte digitale qui a identifié 201 domaines d’installation Pegasus dont l’infrastructure était active au moment de l’analyse initiale. Cet ensemble de 201 domaines comprenait à la fois urlpush[.]net et free247downloads[.]com .

Amnesty International a identifié 500 domaines supplémentaires avec une analyse du réseau ultérieure et en regroupant les modèles d’enregistrement de domaine, l’émission de certificats TLS et la composition de domaine qui correspondaient à l’ensemble initial de 201 domaines.

Amnesty International pense que cela représente une part importante de l’infrastructure d’attaque de la version 4 du groupe NSO. Nous publions ces 700 domaines aujourd’hui. Nous recommandons aux organisations de la société civile et des médias de vérifier leur télémétrie réseau et/ou leurs journaux DNS pour rechercher des traces de ces indicateurs de compromission.

9.3 Que peut-on apprendre de l’infrastructure de NSO Group

Le graphique suivant montre l’évolution de l’infrastructure de NSO Group Pegasus sur une période de 4 ans, de 2016 à mi-2021. Une grande partie de l’ infrastructure de la version 3 a été brutalement fermée en août 2018 à la suite de notre rapport sur un membre du personnel d’Amnesty International ciblé par Pegasus. L’ infrastructure Version 4 a ensuite été progressivement déployée à partir de septembre et octobre 2018.

Un nombre important de nouveaux domaines ont été enregistrés en novembre 2019, peu de temps après que WhatsApp a informé leurs utilisateurs du ciblage présumé avec Pegasus. Cela peut refléter la rotation des domaines NSO en raison du risque perçu de découverte, ou en raison de la perturbation de leur infrastructure d’hébergement existante.

L’infrastructure du serveur DNS V4 a commencé à se déconnecter au début de 2021 à la suite du rapport Citizen Lab iPwn qui a révélé plusieurs domaines Pegasus V4.

Amnesty International soupçonne que la fermeture de l’infrastructure V4 a coïncidé avec le passage de NSO Group à l’utilisation de services cloud tels qu’Amazon CloudFront pour livrer les premières étapes de leurs attaques. L’utilisation de services cloud protège NSO Group de certaines techniques d’analyse Internet.

9.4 Infrastructure d’attaque hébergée principalement en Europe et en Amérique du Nord

L’infrastructure Pegasus de NSO Group se compose principalement de serveurs hébergés dans des centres de données situés dans des pays européens. Les pays hébergeant le plus de serveurs DNS de domaine d’infection comprenaient l’Allemagne, le Royaume-Uni, la Suisse, la France et les États-Unis (États-Unis).

De campagneServeurs par pays
Allemagne212
Royaume-Uni79
Suisse36
La France35
États Unis28
Finlande9
Pays-Bas5
Canada4
Ukraine4
Singapour3
Inde3
L’Autriche3
Japon1
Bulgarie1
Lituanie1
Bahreïn1

Le tableau suivant indique le nombre de serveurs DNS hébergés chez chaque fournisseur d’hébergement. La plupart des serveurs identifiés sont attribués aux sociétés d’hébergement américaines Digital Ocean, Linode et Amazon Web Services (AWS).

De nombreux hébergeurs proposent un hébergement de serveur dans plusieurs emplacements physiques. Sur la base de ces deux tableaux, il apparaît que NSO Group utilise principalement les centres de données européens gérés par des sociétés d’hébergement américaines pour exécuter une grande partie de l’infrastructure d’attaque de ses clients.

RéseauServeurs par réseau
DIGITALOCEAN-ASN142
Linode, LLC114
AMAZONE-0273
Akenes SA60
UpCloud Ltd9
Choopa7
OVH SAS6
Systèmes virtuels LLC2
ASN-QUADRANET-GLOBAL1
combahton GmbH1
UAB Rakréjus1
HZ Hosting Ltd1
PE Brejnev Daniil1
Neterra Ltd.1
Kyiv Optic Networks Ltd1

Les recherches d’Amnesty International ont identifié 28 serveurs DNS liés à l’infrastructure d’infection qui étaient hébergés aux États-Unis.

Nom de domaineIP du serveur DNSRéseau
drp32k77.todoinfonet.com104.223.76.216ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com165.227.52.184DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net167.172.215.114DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net157.245.228.71DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com104.248.126.210DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com138.197.223.170DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com134.209.172.164DIGITALOCEAN-ASN
js43fsf7v.opera-van.com159.203.87.42DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com167.99.105.68DIGITALOCEAN-ASN
css912jy6.reception-desk.net68.183.105.242DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com206.189.214.74DIGITALOCEAN-ASN
js85mail.preferenceviews.com142.93.80.134DIGITALOCEAN-ASN
css3218i.quota-reader.net165.227.17.53DIGITALOCEAN-ASN
mongo87a.sweet-water.org142.93.113.166DIGITALOCEAN-ASN
réagir12x2.towebsite.net3.13.132.96AMAZONE-02
jsb8dmc5z4.gettingurl.com13.59.79.240AMAZONE-02
réagir12x2.towebsite.net3.16.75.157AMAZONE-02
cssgahs5j.redirigir.net18.217.13.50AMAZONE-02
jsm3zsn5kewlmk9q.dns-analytics.com18.225.12.72AMAZONE-02
imgcss35d.domain-routing.com13.58.85.100AMAZONE-02
jsb8dmc5z4.gettingurl.com18.191.63.125AMAZONE-02
js9dj1xzc8d.beanbounce.net199.247.15.15CHOOPA
jsid76api.buildyourdata.com108.61.158.97CHOOPA
cdn19be2.reloadinput.com95.179.177.18CHOOPA
srva9awf.syncingprocess.com66.175.211.107Linode
jsfk3d43.netvisualizer.com172.105.148.64Linode
imgdsg4f35.permalinking.com23.239.16.143Linode
srva9awf.syncingprocess.com45.79.190.38Linode

9.5 Résolutions de domaine d’infection observées dans la base de données DNS passive

Sur la base d’une analyse médico-légale des appareils compromis, Amnesty International a déterminé que NSO Group utilisait un sous-domaine unique et généré de manière aléatoire pour chaque tentative de livraison du logiciel espion Pegasus.

Amnesty International a recherché des ensembles de données DNS passifs pour chacun des domaines Pegasus Version 4 que nous avons identifiés. Les bases de données DNS passives enregistrent la résolution DNS historique pour un domaine et incluent souvent des sous-domaines et l’adresse IP historique correspondante.

Un sous-domaine ne sera enregistré dans les enregistrements DNS passifs que si le sous-domaine a été résolu avec succès et que la résolution a transité par un réseau qui exécutait une sonde DNS passive.

Ces données de sonde sont collectées sur la base d’accords entre les opérateurs de réseau et les fournisseurs de données DNS passifs. De nombreux réseaux ne seront pas couverts par de tels accords de collecte de données. Par exemple, aucune résolution DNS passive n’a été enregistrée pour les domaines d’infection Pegasus utilisés au Maroc.

En tant que telles, ces résolutions ne représentent qu’un petit sous-ensemble de l’activité globale de NSO Group Pegasus .

Domaine d’infectionSous-domaines d’infection uniques
mongo77usr.urlredirect.net417
str1089.mailappzone.com410
apiweb248.theappanalytics.com391
dist564.htmlstats.net245
css235gr.apigraphs.net147
nodesj44s.unusualneighbor.com38
jsonapi2.linksnew.info30
img9fo658tlsuh.securisurf.com19
pc25f01dw.loading-url.net12
dbm4kl5d3faqlk6.healthyguess.com8
img359axw1z.reload-url.net5
css2307.cssgraphics.net5
info2638dg43.newip-info.com3
img87xp8m.catbrushcable.com2
img108jkn42.av-scanner.com2
mongom5sxk8fr6.extractsight.com2
img776cg3.webprotector.co1
tv54d2ml1.topadblocker.net1
drp2j4sdi.safecrusade.com1
api1r3f4.redirectweburl.com1
pc41g20bm.redirectconnection.net1
jsj8sd9nf.randomlane.net1
php78mp9v.opposedarrangement.net1

Le domaine urlredirect.net avait le plus grand nombre de sous-domaines uniques observés. Au total, 417 résolutions ont été enregistrées entre le 4 octobre 2018 et le 17 septembre 2019. La deuxième plus élevée était mailappzone.com qui compte 410 résolutions sur une période de 3 mois entre le 23 juillet 2020 et le 15 octobre 2020.

Amnesty International pense que chacune de ces résolutions de sous-domaine, 1748 au total, représente une tentative de compromission d’un appareil avec Pegasus. Ces 23 domaines représentent moins de 7 % des 379 domaines du serveur d’installation Pegasus que nous avons identifiés. Sur la base de ce petit sous-ensemble, Pegasus a peut-être été utilisé dans des milliers d’attaques au cours des trois dernières années.

10. Appareils mobiles, sécurité et auditabilité

Une grande partie du ciblage décrit dans ce rapport implique des attaques Pegasus ciblant les appareils iOS. Il est important de noter que cela ne reflète pas nécessairement la sécurité relative des appareils iOS par rapport aux appareils Android, ou à d’autres systèmes d’exploitation et fabricants de téléphones.

D’après l’expérience d’Amnesty International, il y a beaucoup plus de traces médico-légales accessibles aux enquêteurs sur les appareils Apple iOS que sur les appareils Android d’origine, c’est pourquoi notre méthodologie se concentre sur les premiers. En conséquence, les cas les plus récents d’infections confirmées par Pegasus ont impliqué des iPhones.

Cette enquête et toutes les enquêtes précédentes démontrent à quel point les attaques contre les appareils mobiles constituent une menace importante pour la société civile dans le monde. La difficulté non seulement à prévenir, mais à détecter à titre posthume les attaques est le résultat d’une asymétrie insoutenable entre les capacités facilement accessibles aux attaquants et les protections inadéquates dont bénéficient les personnes à risque.

Alors que les appareils iOS fournissent au moins quelques diagnostics utiles, les enregistrements historiques sont rares et facilement falsifiés. D’autres appareils offrent peu ou pas d’aide pour effectuer des analyses médico-légales consensuelles. Bien que beaucoup puisse être fait pour améliorer la sécurité des appareils mobiles et atténuer les risques d’attaques telles que celles documentées dans ce rapport, il est possible d’en faire encore plus en améliorant la capacité des propriétaires d’appareils et des experts techniques à effectuer des contrôles réguliers de l’intégrité du système. .

Par conséquent, Amnesty International encourage vivement les fournisseurs d’appareils à explorer des options pour rendre leurs appareils plus contrôlables, sans bien sûr sacrifier les protections de sécurité et de confidentialité déjà en place. Les développeurs de plateformes et les fabricants de téléphones devraient engager régulièrement des conversations avec la société civile pour mieux comprendre les défis auxquels sont confrontés les DDH, qui sont souvent sous-représentés dans les débats sur la cybersécurité.

11. Avec notre Méthodologie, nous publions nos outils et indicateurs

Pendant longtemps, trier l’état d’un appareil mobile présumé compromis a été considéré comme une tâche presque impossible, en particulier au sein des communautés de défense des droits humains dans lesquelles nous travaillons. Grâce au travail du laboratoire de sécurité d’Amnesty International, nous avons développé des capacités importantes qui peuvent profiter à nos pairs et collègues soutenant les militants, les journalistes et les avocats qui sont en danger.

Par conséquent, à travers ce rapport, nous partageons non seulement la méthodologie que nous avons construite au fil des années de recherche, mais également les outils que nous avons créés pour faciliter ce travail, ainsi que les indicateurs de compromis Pegasus que nous avons collectés.

Tous les indicateurs de compromission sont disponibles sur notre GitHub , y compris les noms de domaine de l’infrastructure Pegasus, les adresses e-mail récupérées à partir des recherches de compte iMessage impliquées dans les attaques et tous les noms de processus identifiés par Amnesty International comme associés à Pegasus.

Amnesty International publie également un outil que nous avons créé, appelé Mobile Verification Toolkit (MVT) . MVT est un outil modulaire qui simplifie le processus d’acquisition et d’analyse des données des appareils Android, ainsi que l’analyse des enregistrements des sauvegardes iOS et des vidages du système de fichiers, en particulier pour identifier les traces potentielles de compromission.

MVT peut être fourni avec des indicateurs de compromission au  format STIX2  et identifiera tous les indicateurs correspondants trouvés sur l’appareil. En conjonction avec les indicateurs Pegasus, MVT peut aider à identifier si un iPhone a été compromis.

Entre autres, certaines des caractéristiques de MVT incluent :

  • Décryptez les sauvegardes iOS cryptées.
  • Traitez et analysez les enregistrements de nombreuses bases de données et journaux système du système et des applications iOS.
  • Extrayez les applications installées des appareils Android.
  • Extrayez les informations de diagnostic des appareils Android via le protocole adb.
  • Comparez les enregistrements extraits à une liste fournie d’indicateurs malveillants au format STIX2. Identifiez automatiquement les messages SMS malveillants, les sites Web visités, les processus malveillants, etc.
  • Générez des journaux JSON des enregistrements extraits et séparez les journaux JSON de toutes les traces malveillantes détectées.
  • Générez une chronologie unifiée des enregistrements extraits, ainsi qu’une chronologie de toutes les traces malveillantes détectées.

Remerciements

Le laboratoire de sécurité d’Amnesty International souhaite remercier tous ceux qui ont soutenu cette recherche. Les outils publiés par la communauté de recherche sur la sécurité iOS, notamment libimobiledevice et checkra1n, ont été largement utilisés dans le cadre de cette recherche. Nous tenons également à remercier Censys et RiskIQ pour avoir fourni l’accès à leur analyse Internet et à leurs données DNS passives.

 Amnesty International souhaite remercier Citizen Lab pour ses recherches importantes et approfondies sur NSO Group et d’autres acteurs contribuant à la surveillance illégale de la société civile. Amnesty International remercie Citizen Lab pour son évaluation par les pairs de ce rapport de recherche .           

Enfin, Amnesty International souhaite remercier les nombreux journalistes et défenseurs des droits humains qui ont courageusement collaboré pour rendre cette recherche possible.

Annexe A : Examen par les pairs du rapport méthodologique par Citizen Lab

Le Citizen Lab de l’Université de Toronto a évalué de manière indépendante par des pairs une ébauche de la méthodologie médico-légale décrite dans ce rapport. Leur avis est disponible ici . 

Annexe B : Recherches de comptes iCloud suspectes

Cette annexe montre le chevauchement des comptes iCloud trouvés recherchés sur les appareils mobiles de différentes cibles. Cette liste sera progressivement mise à jour.

Compte iCloudCibler
emmaholm575[@]gmail.com•        AZJRN1 – Khadija Ismayilova
filip.bl82[@]gmail.com•        AZJRN1 – Khadija Ismayilova
kleinleon1987[@]gmail.com•        AZJRN1 – Khadija Ismayilova
bergers.o79[@]gmail.com•        Omar Radi•        FRHRL1 – Joseph Breham•        FRHRL2•        FRJRN1 – Lenaig Bredoux•        FRJRN2•        FRPOI1•        FRPOI2 – François de Rugy
naomiwerff772[@]gmail.com•        Omar Radi•        FRHRL1 – Joseph Breham•        FRPOI1
bogaardlisa803[@]gmail.com•        FRHRL1 – Joseph Breham•        FRJRN1 – Lenaig Bredoux•        FRJRN2
linakeller2203[@]gmail.com•        FRHRD1 – Claude Mangin•        FRPOI3 – Philippe Bouyssou•        FRPOI4•        FRPOI5 – Oubi Buchraya Bachir•        MOJRN1 – Hicham Mansouri
jessicadavies1345[@]outlook.com•        HUJRN1 – András Szabó•        HUJRN2 – Szabolcs Panyi
emmadavies8266[@]gmail.com•        HUJRN1 – András Szabó•        HUJRN2 – Szabolcs Panyi
k.williams.enny74[@]gmail.com•        HUPOI1•        HUPOI2 – Adrien Beauduin•        HUPOI3
taylorjade0303[@]gmail.com•        INHRD1 – SAR Geelani•        INJRN6 – Smita Sharma•        INPOI1 – Prashant Kishor
lee.85.holland[@]gmail.com•        INHRD1 – SAR Geelani•        INJRN6 – Smita Sharma•        INPOI1 – Prashant Kishor
bekkerfredi[@]gmail.com•        INHRD1 – SAR Geelani•        INPOI2
herbruud2[@]gmail.com•        INJRN1 – Mangalam Kesavan Venu•        INJRN2 – Sushant Singh•        INPOI1 – Prashant Kishor
vincent.dahl76[@]gmail.com•        KASH01 – Hatice Cengiz•        KASH02 – Rodney Dixon
oskarschalcher[@]outlook.com•        KASH03 – Wadah Khanfar
benjiburns8[@]gmail.com•        RWHRD1 – Carine Kanimba

Annexe C : Traces détaillées par cible

Cette annexe contient des ventilations détaillées des traces médico-légales récupérées pour chaque cible. Cette annexe sera progressivement mise à jour.

C.1 Aperçu des traces médico-légales pour Maati Monjib

Date (UTC)Événement
2017-11-02 12:29:33SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y73qr7mb redirigeant vers hxxps :/ /revolution-news[.]co /ikXFZ34ca
2017-11-02 16:42:34SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI
2017-11-02 16:44:00SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI à partir de +212766090491
2017-11-02 16:45:10SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 16:57:00SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:13:45SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:21:57SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:30:49SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:40:46SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-15 17:05:17SMS Pegasus avec lien vers hxxps:// videosdownload[.]co /nBBJBIP
2017-11-20 18:22:03SMS Pegasus avec lien vers hxxps:// infospress[.]com /LqoHgMCEE
2017-11-24 13:43:17SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y9hbdqm5 redirigeant vers hxxps:// hmizat[.]co /JaCTkfEp
2017-11-24 17:26:09SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /2Kj2ik6
2017-11-27 15:56:10SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /yTnWt1Ct
2017-11-27 17:32:37SMS Pegasus avec lien vers hxxps:// hmizat[.]co /ronEKDVaf
2017-12-07 18:21:57SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y7wdcd8z redirigeant vers hxxps:// infospress[.]com /Ln3HYK4C
2018-01-08 12:58:14SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y87hnl3o redirigeant vers hxxps:// infospress[.]com /asjmXqiS
2018-02-09 21:12:49Processus : pcsd
16/03/2018 08:24:20Processus : pcsd
2018-04-28 22:25:12Processus : bh
2018-05-04 21:30:45Processus : pcsd
2018-05-21 21:46:06Processus : fmld
2018-05-22 17:36:51Processus : bh
2018-06-04 11:05:43Processus : fmld
2019-03-27 21:45:10Processus : bh
2019-04-14 23:02:41Favicon Safari de l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com :30352/Ld3xuuW5
2019-06-27 20:13:10Favicon Safari de l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com :30497/pczrccr#052045871202826837337308184750023238630846883009852
2019-07-22 15:42:32Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz
2019-07 22 15:42:32Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
2019-07-22 15:43:06Favicon Safari de l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
n / AFichier WebKit IndexedDB pour l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com
n / AFichier WebKit IndexedDB pour l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com
n / AFichier WebKit IndexedDB pour l’URL hxxps://keewrq9z.get1tn0w. free247downloads[.]com
n / AFichier WebKit IndexedDB pour l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com

 C.2 Aperçu des traces médico-légales pour Omar Radi

Date (UTC)Événement
2019-02-11 14:45:45Fichier Webkit IndexedDB pour l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com
2019-02-11 13:45:53Favicon Safari de l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP
2019-02-11 13:45:56Processus : bh
2019-02-11 13:46:16Processus : roleaboutd
2019-02-11 13:46:23Processus : roleaboutd
2019-02-11 16:05:24Processus : roleaboutd
2019-08-16 17:41:06Recherche iMessage pour le compte bergers.o79[@]gmail.com
2019-09-13 15:01:38Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#011356570257117296834845704022338973133022433397236
2019-09-13 15:01:56Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#068099561614626278519925358638789161572427833645389
2019-09-13 15:02:11Processus : bh
2019-09-13 15:02:20Processus : msgacntd
2019-09-13 15:02:33Processus : msgacntd
2019-09-14 15:02:57Processus : msgacntd
2019-09-14 18:51:54Processus : msgacntd
2019-10-29 12:21:18Recherche iMessage pour le compte naomiwerff772[@]gmail.com
2020-01-27 10:06:24Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946
2020-01-27 10:06:26Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#2
2020-01-27 10:06:26Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#24
2020-01-27 10:06:32Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946%2324

Annexe D : Traces médico-légales de Pegasus par cible

L’annexe D se trouve ici . 

[1] Les preuves techniques fournies dans le rapport comprennent les recherches médico-légales menées dans le cadre du projet Pegasus ainsi que des recherches supplémentaires menées par Amnesty International Security Lab depuis la création du Security Lab en 2018. 

[2] Courriel à Amnesty International, mai 2021

[3] Courriel à Amnesty International, juillet 2021.

Source : Amnesty International, 18/07/2021

Etiquettes : Amnesty International, Pegasus, NSO Group, espionnage, #Pegasus #NSOGroup #Espionnage