Z dzisiejszych publikacji prasowych dowiadujemy się, że Pegasusem próbowano infekować także telefony z Androidem. Metodą infekcji były złośliwe linki przesyłane za pomocą personalizowanych SMS-ów. Przedstawiamy te wiadomości.
Śledztwo Wyborczej i Die Zeit we współpracy z Amnesty International pozwoliło zlokalizować próby infekcji telefonów Magdaleny Łośko i Ryszarda Brejzy. Co ciekawe, oba telefony działały pod kontrolą systemu operacyjnego Android. Nie wnikając w aspekty prawne, etyczne i polityczne tych zdarzeń, przyjrzyjmy się temu, jak wyglądały same wiadomości i pod kogo podszywało się CBA, próbując personalizować ataki na poszczególne cele. Treść wiadomości zaczerpnęliśmy z zaktualizowanego załącznika do raportu Amnesty International.
Najpierw przyjrzymy się ich treści, a potem rzucimy okiem na użyte adresy stron WWW.
Wiadomości wysłane do Magdaleny Łośko
| Data (UTC) | Nadawca i treść |
| 2019-04-17 12:42:55 | Nadawca: Klub51015 Zakupy z klubem 5.10.15! Sezonowa wyprzedaż -50% online i w sklepach stacjonarnych. Sprawdź: https://sale-2019.com/2CaJGuQ |
| 2019-04-18 14:13:26 | Nadawca: SklepyCCC Przeceny do 50% na obuwie, a dla klubowiczów dodatkowe 10% rabatu na wszystkie produkty! Oferta do 20-04-2019. Sprawdź online! http://bit.ly/lPl1jEU |
| 2019-04-19 10:40:51 | Nadawca: Playpl Pobierz fakturę nr: F/20087153/04/19 na kwotę 125.00 zł. Jej termin płatności mija 2019/04/26. Zaloguj się online http://bit.ly/nEFmH03 |
| 2019-04-23 07:12:47 | Nadawca: Infor Mobbing w miejscu pracy to pojęcie szersze niż powszechnie się wydaje. Czytaj więcej: http://bit.ly/PpF97sS |
Widzimy tu dość intensywną kampanię – 4 wiadomości w ciągu 6 dni, wskazujące zapewne na wielokrotne próby zdobycia dostępu do urządzenia ofiary. Niestety do tej pory Amnesty International nie opracowała metodyki analizy śladów Pegasusa na urządzeniach z Androidem, zatem nie wiemy, czy próby te były udane.
Rzekomi nadawcy wiadomości, pod których podszywało się CBA oraz sama treść SMS-ów zostały dobrane tak, by zwiększyć prawdopodobieństwo kliknięcia w link. Były to wiadomości wysoce spersonalizowane. Jak informuje sama ofiara, faktycznie posiada kartę sieci sklepów 5-10-15. Jeszcze lepiej dobrana była treść wiadomości udającej operatora sieci komórkowej Play – ofiara faktycznie dostała tydzień wcześniej fakturę o tym właśnie numerze i takiej kwocie do opłacenia. Czy to oznacza, że nadawcy mieli dostęp do jej skrzynki pocztowej? Niekoniecznie – źródłem informacji mogły być systemy operatora, a także treść wiadomości SMS od prawdziwego Playa z informacją o fakturze. Pozostałe dwie wiadomości również wskazywały na dobór pod kątem ofiary – Magdalena Łośko przypomina sobie, że interesowała się wówczas kwestiami mobbingu, a zakupy butów są dość oczywistym wątkiem.
Wiadomości wysłane do Ryszarda Brejzy
| Data (UTC) | Nadawca i treść |
| 2019-07-11 12:15:35 | Nadawca: BramkaSMS Panie Prezydencie, widział Pan komentarze na portalu “ino” na temat skoszonej łąki? Proszę wejść i poczytać. Podsyłam link do artykułu: http://tinyurl[.]com/y69p3pyk (https://newsportal24[.]online/mtM8dy6cz) |
| 2019-07-12 07:18:19 | Nadawca: PlatformaKO Już 12-13 lipca spotkajmy się na Forum Programowym Koalicji Obywatelskiej, by porozmawiać o Polsce! http://tinyurl[.]com/y3cnsgzl (https://loginverify[.]net/EWSRfbj) |
| 2019-07-12 16:23:51 | Nadawca: HTC-Polska Zapisz sie do klubu HTC! Jako klubowicz będziesz otrzymywać niedostępne dla innych informacje o nowych produktach, akcesoriach i usługach. Korzystaj w pełni z możliwości swojego telefonu! https://oneadjump[.]com/SQY8jBX |
| 2019-07-16 08:38:32 | Nadawca: WCZK-A1 AmberGO – nowy system płatności na autostradzie A1! System automatycznego poboru opłat bez biletów i bez dokonywania płatności na bramkach. https://loginverify[.]net/6Egzh2F Wypróbuj już teraz! |
| 2019-07-24 06:56:35 | Nadawca: KtoMaLek.pl Kryzys lekowy trwa! Sprawdź, w której aptece w okolicy dostaniesz potrzebny lek! https://sale-2019[.]com/8QCAqcU8 |
| 2019-07-29 12:23:42 | Nadawca: Energa Drogi kliencie, przypominamy o ostatecznym terminie składania oświadczeń ws. zamrożenia cen energii. Pełną informację o uprawnieniu do rozliczeń według niższych cen i stawek znajdziesz na naszej stronie: https://loginverify[.]net/sj5zsue |
| 2019-07-31 13:24:43 | Nadawca: BramkaSMS Ryszard zagłosuj w sondażu dotyczącym naszej kandydatki do senatu. To już ostatnie chwile! https://newsportal24[.]online/kcUU9pshh |
| 2019-08-06 12:05:56 | Nadawca: e-nadmorzem Hotele na Wybrzeżu Bałtyku do 50% zniżki. Zobacz ofertę. https://holiday-sun[.]net/eXppP19S |
| 2019-08-14 11:53:11 | Nadawca: Bytom Dzień dobry, informujemy, że Pańska przesyłka jest do odebrania w salonie firmowym Bytom C.H. Złote Tarasy. Prosimy o przygotowanie numeru zamówienia. Przejdź do Twojego zamówienia: https://awizo[.]info/7AvsrqNYR |
| 2019-08-20 12:06:19 | Nadawca: newsportal: Znamy już pełne listy wyborcze! Czeka nas kilka ciekawych starć. Zobacz listę kandydatów z Twojego okręgu wyborczego https://newsportal24[.]online/8ZedQvG |
Tu widzimy 10 wiadomości wysłanych na przestrzeni ok. 40 dni. Większość charakteryzuje wysoki poziom personalizacji.
Wiadomości od nadawcy „BramkaSMS” zwracają się wręcz do ofiary jego imieniem lub tytułem i wskazują na lokalny portal i aktualne sprawy partyjne. Kolejnym fałszywym nadawcą jest „PlatformaKO” z zaproszeniem na forum programowe Koalicji Obywatelskiej. Wątek polityczny kontynuuje SMS z rzekomym linkiem do list kandydatów z danego okręgu wyborczego.
Wiadomość od rzekomego serwisu „e-nadmorzem” przychodzi, według ofiary, gdy rozważa ona spędzenie wczasów nad Bałtykiem. Autostradą A1, pod którą podszywa się inna wiadomość, pojedzie tam dopiero za miesiąc. Klub HTC wskazuje na markę telefonu – tu jednak nie wiemy, czy faktycznie trafnie. Nadawcy podszywają się, podobnie jak w przypadku poprzedniej ofiary, pod dostawców usług (tam Play, tu Energa) i popularne sklepy (tam CCC i 5-10-15, tu Bytom). Większość wiadomości wygląda na precyzyjnie spersonalizowana w celu zwiększenia prawdopodobieństwa kliknięcia w link.
Analiza linków i domen
W wiadomościach pojawiają się dwie kategorie linków: linki skrócone (przekierowania) i linki docelowe. W wiadomościach SMS nie da się zrobić podobnej sztuczki, jak w e-mailu, gdzie można wyświetlić inną treść linka, a inny podłożyć pod spód. Wszystkie widoczne linki musiały w momencie ich kliknięcia prowadzić do widocznych adresów.
Spośród 15 linków mamy 5 linków skróconych i 10 docelowych. Niestety 3 spośród skróconych, prowadzące do platformy bit.ly, zostały już usunięte i nie udało nam się znaleźć ich śladów w sieci (może wy będziecie mieć więcej talentu i to się uda):
http://bit.ly/lPl1jEU http://bit.ly/nEFmH03 http://bit.ly/PpF97sS
Nie wiemy zatem, dokąd prowadziły. Skąd wiemy zatem, że były złośliwe? Firmy, pod które się podszyto, zapewniają, że ich nie wysłały, a metoda konstruowania wiadomości jest analogiczna do potwierdzonych już wcześniej ataków operatorów Pegasusa.
Kolejne dwa skrócone linki prowadziły do skracacza tinyurl.com, na którym zachowały się przekierowania, więc wiemy, gdzie mogła wylądować ofiara po kliknięciu.
http://tinyurl.com/y3cnsgzl -> https://loginverify.net/EWSRfbj http://tinyurl.com/y69p3pyk -> https://newsportal24.online/mtM8dy6cz
Możemy zatem te 2 ujawnione linki dodać do 10 znanych z treści SMS-ów i dostaniemy taką oto listę:
https://awizo.info/7AvsrqNYR https://holiday-sun.net/eXppP19S https://loginverify.net/6Egzh2F https://loginverify.net/EWSRfbj https://loginverify.net/sj5zsue https://newsportal24.online/8ZedQvG https://newsportal24.online/kcUU9pshh https://newsportal24.online/mtM8dy6cz https://oneadjump.com/SQY8jBX https://sale-2019.com/2CaJGuQ https://sale-2019.com/8QCAqcU8
Mamy zatem po 3 linki do domen loginverify.net i newsportal24.online, 2 linki do sale-2019.com i po jednym do oneadjump.com, holiday-sun.net i awizo.info. Szczególnie ta ostatnia jest ciekawa, bo jako jedyna brzmi polskojęzycznie.
Wszystkie te domeny łączy podobna, nietypowa historia. Pierwotnie rejestrowane w 2019 w dość egzotycznej infrastrukturze, wszystkie na 3 adresach IP z tej samej klasy adresowej, rok lub dwa lata później lądowały na zupełnie innym serwerze, wspólnym dla wszystkich adresów.
loginverify.net w 2019 103.7.8.217, w 2020 91.195.240.117 newsportal24.online w 2019 103.7.8.215, w 2021 91.195.240.117 sale-2019.com w 2019 103.7.8.216, w 2020 91.195.240.117 oneadjump.com w 2019 103.7.8.217, w 2020 91.195.240.117 holiday-sun.net w 2019 103.7.8.216, w 2020 91.195.240.117 awizo.info w 2019 103.7.8.215, w 2021 91.195.240.117
To wskazuje, że wszystkie analizowane domeny z dużym prawdopodobieństwem należały do jednego zbioru, używanego w atakach przez jeden podmiot. Co ciekawe, domeny te nie zostawiły żadnych widocznych śladów online (ponownie, jeśli na jakieś traficie, wołajcie – zbiorowa moc OSINT-u jest niezmierzona).
Skąd wiemy, że to Pegasus?
Pominiemy tu oczywiste wątki polityczne, jak dobór celów i czasu ataków (tu polecamy artykuł Wyborczej na ten temat).
Po pierwsze, numery obu ofiar pojawiły się na liście 50 000 potencjalnych celów Pegasusa, opisywanej kilka miesięcy temu przez międzynarodowe konsorcjum dziennikarskie. Wiele z tych numerów zostało potwierdzonych jako faktyczne infekcje Pegasusem na podstawie analiz samych telefonów.
Po drugie, specjaliści Amnesty International potwierdzają zgodność charakterystyki analizowanych wiadomości z innymi analogicznymi atakami Pegasusem, które do tej pory obserwowali w innych krajach.
Po trzecie, odpowiadając na pytanie, skąd wiemy, że nie przez przypadek jakaś inna grupa przestępcza, atakująca kogo popadnie. Takie ataki praktycznie zawsze zostawiają ślady w sieci – wiele firm ogłasza złośliwe domeny, linki i adresy, umieszcza je w raportach, publikuje online. Tu nie natrafiliśmy na żaden ślad domen użytych w SMS-ach, co wskazuje, że była to bardzo wąsko wycelowana kampania. Tę teorię potwierdza wysoka personalizacja treści wiadomości. Odpowiada to znanym schematom działania operatora Pegasusa.
Chcesz wiedzieć więcej?
Zapraszamy na nasz (płatny) webinar poświęcony Pegasusowi – tu można zgłosić chęć uczestnictwa i dostać najlepszy możliwy rabat. Slajdy już kończymy – ale codziennie trzeba coś dopisywać :)
Komentarze
Czy niedziałający link do webinara to pierwsze zadanie z OSINTu? ;)
U nas działa.
It’s not DNS
There’s no way it’s DNS
It was DNS
czyli to podpucha :)
firewall może blokować link, Portmaster blokuje
artykul z wyborczej to rzeczywiscie, w rzeczy samej pominiecie watkow politycznych ;-)
Włącz sobie TVP albo Republikę albo poczytaj wŚmieci lub Gazetę Wolską czy inną szczujnię… tam nie ma wątków politycznych. Jest tylko prawda. Czysta niczym lilija xD
Ty duzy pies, jak juz chcesz wymieniac, to wymien wszystkie „obiektywne”media a nie tylko te pro rzadowe.
@Akita
Nic nie stoi na przeszkodzie żebyś Ty wymienił te co Tobie leżą na sercu :)
Każde medium jest subiektywne. Trzeba to rozumieć.
No wiesz… to zabrzmiało jak wypowiedź symetrysty.
Tak, to prawda, każdy jest subiektywny, my też.
Dla mnie „Wyborcza” czy „Polityka” jest bliższa – obiektywnie – prawdy niż prorządowe, prawicowe szczujnie. A na pewno jest tak w kontekście brutalnej inwigilacji Pegasusem.
Nie baw się w symetryzm. Zło jakim jest PiS należy nazywać po imieniu. PiS to czyste zło! Od nielegalnych, bezprawnych podsłuchów opozycji aż po zdewastowanie demokracji.
Nadzieją jest młode pokolenie u którego PiS ma już przejeb…
@Duży Pies
Ja to do Akity pisałem ;) Coś mi chyba nie wyszło ;)
Ale skoro już się uzewnętrzniany to powiem tak: mam swoje bardzo konkretne poglądy, mam swoje „ulubione” media, ale przyjmuję do wiadomości że obok żyją ludzie którzy mają poglądy przeciwstawne do moich. Jeśli zacznę od ataku, nie poznam sposobów ich myślenia ani tego jak na nie reaguję. A tym samym będę tym człowiekiem z SW który nie zna ani swojego przeciwnika ani siebie. Skąd wiem? Bo już próbowałem ;)
To co oceniasz za obiektywne a co za nieobiektywne zależy od twojego postrzegania świata, a te z kolei od doświadczenia życiowego. O ile jakieś masz.
Ja mam inne doświadczenie i inne poglądy.
A na młodzież to bym tak za bardzo nie liczył. Oni mają jeszcze siano w głowie (też kiedyś miałem) i najpierw będą działać, a potem zrozumieją, że świat jest ociupinkę bardziej skomplikowany.
I, że to co wydawało się białe nie jest takie białe, a to co miało być czarne, wcale nie było takie czarne.
Czyli? Generalnie nie mamy nawet pewności, że to był Pegasus, bo nie ma na to dowodów. Urocze.
A nawet nie wiemy czy to było ABW czy np ktoś, kto chciał nam tu politycznie namieszać. A właściwie wiemy że to raczej na pewno nie było „nasze” ABW… Skąd wiemy? Ano domyślcie się…
Awizo.info tylko z 2014 r. jakiś ślad https://web.archive.org/web/2014*/http://awizo.info/
Newsportal24.info ślady od 2006 do 2019
https://web.archive.org/web/2019*/http://newsportal24.info/
Co? Przecież domeny mogą być ponownie rejestrowane, to nie jest tak, że właściciel apple.com sprzed 20 lat to ceo apple
Adaś jest takim specjalistą, że nawet webarchive nie sprawdził, ale po co? Zapraszają do mediów to nie trzeba być rzetelnym :)
https://youtu.be/QiS3UzKoZYA
„Nie umiem odróżnić domeny .info od .online”
„Piszę o czyjejś rzetelności.”
Gratuluję Tomaszu!
Ten drugi to newsportal24.online nie info. Ale faktycznie awizo.info korzystało z http://www.masternet.pl/
„poprawna zawartość domeny: awizo.info w chwili obecnej nie może zostać wyświetlona.
Domena utrzymywana jest na serwerach DNS MasterNET.pl
lecz nie została zaparkowana na serwerze wirtualnym
lub czeka na przeładowanie serwera HTTPd”
Czemu takie fajne rzeczy wysyłają do kompletnie niezainteresowanych tematem ludzi, ja bym naprawdę docenił takiego linka do 0-daya, na pewno żaden nie pozostałby nieotwarty.
a kliknięcie w link z peceta z windowsem wywoła infekcje?
Tak, weneryczną ;)
Swoją drogą to szanowni agenci chyba nie ogarnęli, że jak się wysyła dzień po dniu podejrzanego SMSa, to to może wzbudzić czujność ofiary, jeżeli w pierwszego nie kliknęła. Słabo się postarali, powinno być kilka dni przerwy. Godziny w miarę OK, ale przed 7? Jaka firma wysyła tak SMS?
To chyba któryś zmianę zaczynał i na dzień dobry SMS wysłał xD.
„szanowni agenci” ze służby od Pegasusa to banda kretynów.
Myślałeś że za parę tysi przyjdą tam informatyczne geeki?
Ta służba jest do zaorania! Chlor i Gumowe Ucho dobili ją całkowicie!
Historyczne rekordy WHOIS dostępne dla niektórych domen pokazują, że zostały zarejestrowane przez usługi pokroju DomainsByProxy. Sale-2019 została zarejestrowana w Tucows Domains, więc niby jawnie. Ciekawe.
>Takie ataki praktycznie zawsze zostawiają ślady w sieci – wiele firm ogłasza złośliwe domeny, linki i adresy, umieszcza je w raportach, publikuje online. Tu nie natrafiliśmy na żaden ślad domen użytych w SMSach, co wskazuje, że była to bardzo wąsko wycelowana kampania.
Albo te całe CERT-y dostały polecenie nie zajmować się tymi domenami…
Sorry Adam, ale najzwyczajniej w świecie powielasz farmazon.
Sam mówisz, że nie masz żadnych dowodów, dlatego twierdzisz że to Pegasus?
I jak tu traktować poważnie twoje wypociny?
https://youtu.be/QiS3UzKoZYA
Aż po nogawce pociekło pislamiście
Wiedza informatyczna + OSINT + psychologia + socjotechnika = Poprawna atrybucja
To coś, czego ćwierćinteligencie nie ogarnąłeś…
Zapomniałeś dopisać subiektywizm.
Niepolityczne polecenie Wyborczej i Die Zeit… Ale fuckapp. Mogliście chociaż pociąć ich Art. O które miejsca Wam chodzi, bo politycznie można dostać torsji. Jesteście techniczni i takie polecani Wam szkodzą. Ps. Dostaję torsji na myśl o polityce, więc się @Duży Pies nie produkuj
„I jak tu traktować poważnie twoje wypociny?”
Jak tu traktować poważnie twoje wypociny, skoro najwyraźniej nie potrafisz przeczytać artykułu ze zrozumieniem?
To wskaż chociaż jeden.
Najważniejsze, że do mediów zapraszają, cytują, to można siać popelinę :)
Myślę, że takie firmy jak Cisco, Akamai itp., które analizują ruch sieciowy mogą mieć historię połączeń poszczególnych urządzeń, tylko nie wychylają się z tym, bo to nie jest w ich interesie.
To nie SMSy infekowały, tylko kontent za linkami w SMSach. Do zainfekowania potrzebna była akcja użytkownika. Tytuł powinien zostać skorygowany.
SMSy są na tyle prymitywne (te ca. 160 znaków + minimum metadanych), że przewrócenie albo wyskoczenie ze stosu obsługi jest dość trudne nawet na starych i nieaktualnych maszynach. Na szczęście… Natomiast w Applu mieli do dyspozycji iMessagesy z wrażliwym parserem grafiki w backendzie. Chyba wiadomo, dlaczego Google & Co. chcą ubić SMSy…
Odnośnie zarzekania się operatorów co do niewysyłania wiadomości, to bym podchodził z rezerwą. Raz próbowałem wypytać Playa odnośnie SMSa reklamowego czy coś przez nich wysłanego, to powiedzieli że nie wiedzą skąd jest wiadomość.
Domeny i adresy IP Pegasusa są na bieżąco uaktualniane z wielu źródeł, między innymi z list Amnesty International raz na dobę.
Jak ktoś jest administratorem serwera pocztowego to zachęcam do korzystania z list RBL polspam.pl, a w szczególności tej: rhsbl-danger.rbl.polspam.pl
Są na niej domeny z listy oszustów tworzonej przez CERT NASK oraz z wielu innych źródeł i współpracujących RBL-i.
Jeszcze tego samego dnia zaparkowane domeny zostały przeniesione na tomaszklim.pl = payload.pl ;)
Co się stanie, jak się w nie teraz kliknie?