Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CCN-CERT IT-48/21
Julio 2021
USO OFICIAL
USO OFICIAL
CCN-CERT IT-48/21 Detección de software Pegasus en dispositivos iPhone
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el
Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o
extraordinario derivado de la utilización de la información y software que se indican incluso cuando se
advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio
o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.
ÍNDICE
SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL.......................................... 4
ANTECEDENTES .................................................................................................... 5
INTRODUCCIÓN ................................................................................................... 5
PASOS PARA LA DETECCIÓN DE PEGASUS EN TERMINALES IPHONE ...................... 6
PREPARACIÓN DEL ENTORNO DE ANÁLISIS ........................................................... 6
DESCARGA DEL CÓDIGO FUENTE MVT ....................................................................7
INSTALACIÓN DE DEPENDENCIAS EN LINUX ............................................................7
INSTALACIÓN DE MVT ..............................................................................................8
GENERACIÓN DE BACKUP EN ITUNES DEL DISPOSITIVO IPHONE............................ 9
EJECUCIÓN DE MVT SOBRE EL BACKUP ............................................................... 12
DESCARGA DE IOCS PEGASUS ................................................................................12
DESCIFRADO DEL BACKUP ......................................................................................12
EJECUCIÓN DE MVT SOBRE EL BACKUP DESCIFRADO ...........................................13
RESULTADO DEL ANÁLISIS ......................................................................................14
ENVÍO DE RESULTADOS AL CCN-CERT ................................................................. 15
POC ................................................................................................................... 15
ANTECEDENTES
La herramienta Pegasus es un software espía de dispositivos móviles desarrollado por la
compañía israelí NSO Group, orientado al apoyo de investigaciones penales y de
terrorismo legítimas. Permite en algunos casos infectar el dispositivo sin que su usuario
realice ninguna acción previa ni sea consciente del compromiso posterior.
Además, dispone de la capacidad de acceder a prácticamente cualquier información
almacenada en el dispositivo o de realizar acciones sobre el mismo como la activación
del micrófono, grabación de llamadas, acceso al posicionamiento GPS o captura de las
páginas web visionadas, entre muchas otras.
A la luz de la investigación global liderada por medios como The Guardian o The
Washington Post y coordinada por organizaciones sin ánimo de lucro como Amnistía
Internacional y Forbidden Stories, se ha alertado del amplio uso que se hace de esta
herramienta por parte de numerosos países, más allá de los ámbitos para los que está
desarrollada. Entre sus víctimas podrían encontrarse altos cargos de muchos Gobiernos,
políticos, periodistas o figuras muy relevantes en otros ámbitos.
Fruto también de esta investigación, Amnistía Internacional ha publicado una
herramienta para ayudar en la comprobación de si un dispositivo móvil ha sido infectado
con este software. La herramienta se denomina MVT (Mobile Verification Toolkit) y
trabaja sobre las copias de seguridad de los dispositivos iPhone para generar los avisos
de seguridad.
INTRODUCCIÓN
Este documento describe los pasos para comprobar si un dispositivo móvil iPhone,
mediante el análisis de su backup, puede haber sido infectado con el software Pegasus.
Para ello, se hará uso de la herramienta MVT, la cual se apoya en un conjunto de
indicadores para determinar si el dispositivo puede haberse visto comprometido1.
Tiempo estimado del análisis: 1h y 30min (incluyendo el tiempo de realización del
backup).
Se recomienda la aplicación de este procedimiento tanto en dispositivos corporativos
como personales de las autoridades del organismo.
1
A fecha de redacción de este informe, los IOC se encuentran actualizados a fecha del 18/julio/2021.
- 1 máquina con S.O. Linux (Ubuntu Mate 20.04), para el análisis con MVT.
Sobre este Linux se instalarán los siguientes paquetes (tal y como se describe en
el apartado 5.2-Instalación de dependencias Linux):
o Python 3.8.10
o libusb-1.0-0
o curl
2
Más información de MVT en https://www.amnesty.org/en/latest/research/2021/07/forensic-
methodology-report-how-to-catch-nso-groups-pegasus/
3
Nota: Se podría utilizar únicamente la máquina Windows para ambos procesos, pero se deben realizar
modificaciones en el código de librerías de python, como se encuentran reflejado en el siguiente enlace
https://github.com/mvt-project/mvt/issues/61, lo que podría provocar problemas en otros aplicativos.
4
La herramienta MVT permite realizar el backup, pero debido a la ejecución con errores durante las
pruebas puede hacer más complicada la aplicación del procedimiento.
Descargas/mvt
Una vez actualizadas todas las dependencias del equipo, se iniciará la instalación de las
dependencias propias de la herramienta MVT:
INSTALACIÓN DE MVT
Proceso de instalación de la herramienta MVT en la máquina Linux de análisis:
export PATH=$PATH:~/.local/bin
pip3 install .
4. En ese momento el iPhone nos pedirá establecer una relación de confianza con
el PC, que deberemos aceptar.
6. Una vez pulsado el icono, aparecerá la siguiente pantalla donde se marcarán las
opciones del backup.
Cabe desatacar que MVT está desarrollada en Python, el cual se necesita como base de
ejecución tal como se explica en los requisitos software de este documento.
curl -o pegasus.stix2
https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-
18_nso/pegasus.stix2
Esta comando generará un fichero llamado pegasus.stix2 en la ruta actual desde donde
se ha realizado la invocación del comando.
Ejemplo: CCN_NombreApellido_Corporativo
Ilustración 18 Ejemplo de salida con fichero que indican una posible infección
5
La existencia de ficheros que acaben en ‘_detected.json’ podría sugerir que se han encontrado IOCs
potencialmente relacionados con Pegasus en el iPhone analizado.
Una vez terminado el análisis y generado los resultados, se deben eliminar los
backups generados y utilizados por las herramientas, al poder contener datos
sensibles y personales de los propietarios de los dispositivos.
POC
Cualquier duda pueden dirigirla al correo electrónico:
irt@ccn-cert.cni.es