Zobacz SMS-y, za pomocą których próbowano zainfekować Pegasusem telefony polskich polityków

dodał 17 lutego 2022 o 11:29 w kategorii Info, Prywatność  z tagami:
Zobacz SMS-y, za pomocą których próbowano zainfekować Pegasusem telefony polskich polityków

Z dzisiejszych publikacji prasowych dowiadujemy się, że Pegasusem próbowano infekować także telefony z Androidem. Metodą infekcji były złośliwe linki przesyłane za pomocą personalizowanych SMS-ów. Przedstawiamy te wiadomości.

Śledztwo Wyborczej i Die Zeit we współpracy z Amnesty International pozwoliło zlokalizować próby infekcji telefonów Magdaleny Łośko i Ryszarda Brejzy. Co ciekawe, oba telefony działały pod kontrolą systemu operacyjnego Android. Nie wnikając w aspekty prawne, etyczne i polityczne tych zdarzeń, przyjrzyjmy się temu, jak wyglądały same wiadomości i pod kogo podszywało się CBA, próbując personalizować ataki na poszczególne cele. Treść wiadomości zaczerpnęliśmy z zaktualizowanego załącznika do raportu Amnesty International.

Najpierw przyjrzymy się ich treści, a potem rzucimy okiem na użyte adresy stron WWW.

Wiadomości wysłane do Magdaleny Łośko

Data (UTC)Nadawca i treść 
2019-04-17 12:42:55 Nadawca: Klub51015
Zakupy z klubem 5.10.15! Sezonowa wyprzedaż -50% online i w sklepach stacjonarnych. Sprawdź: https://sale-2019.com/2CaJGuQ 
2019-04-18 14:13:26 Nadawca: SklepyCCC
Przeceny do 50% na obuwie, a dla klubowiczów dodatkowe 10% rabatu na wszystkie produkty! Oferta do 20-04-2019. Sprawdź online!  http://bit.ly/lPl1jEU 
2019-04-19 10:40:51 Nadawca: Playpl
Pobierz fakturę nr: F/20087153/04/19 na kwotę 125.00 zł. Jej termin płatności mija 2019/04/26. Zaloguj się online http://bit.ly/nEFmH03 
2019-04-23 07:12:47 Nadawca: Infor
Mobbing w miejscu pracy to pojęcie szersze niż powszechnie się wydaje. Czytaj więcej: http://bit.ly/PpF97sS 

Widzimy tu dość intensywną kampanię – 4 wiadomości w ciągu 6 dni, wskazujące zapewne na wielokrotne próby zdobycia dostępu do urządzenia ofiary. Niestety do tej pory Amnesty International nie opracowała metodyki analizy śladów Pegasusa na urządzeniach z Androidem, zatem nie wiemy, czy próby te były udane.

Rzekomi nadawcy wiadomości, pod których podszywało się CBA oraz sama treść SMS-ów zostały dobrane tak, by zwiększyć prawdopodobieństwo kliknięcia w link. Były to wiadomości wysoce spersonalizowane. Jak informuje sama ofiara, faktycznie posiada kartę sieci sklepów 5-10-15. Jeszcze lepiej dobrana była treść wiadomości udającej operatora sieci komórkowej Play – ofiara faktycznie dostała tydzień wcześniej fakturę o tym właśnie numerze i takiej kwocie do opłacenia. Czy to oznacza, że nadawcy mieli dostęp do jej skrzynki pocztowej? Niekoniecznie – źródłem informacji mogły być systemy operatora, a także treść wiadomości SMS od prawdziwego Playa z informacją o fakturze. Pozostałe dwie wiadomości również wskazywały na dobór pod kątem ofiary – Magdalena Łośko przypomina sobie, że interesowała się wówczas kwestiami mobbingu, a zakupy butów są dość oczywistym wątkiem.

Wiadomości wysłane do Ryszarda Brejzy

Data (UTC)Nadawca i treść
2019-07-11 12:15:35 Nadawca: BramkaSMS
Panie Prezydencie, widział Pan komentarze na portalu “ino” na temat skoszonej łąki? Proszę wejść i poczytać. Podsyłam link do artykułu: http://tinyurl[.]com/y69p3pyk (https://newsportal24[.]online/mtM8dy6cz) 
2019-07-12 07:18:19 Nadawca: PlatformaKO
Już 12-13 lipca spotkajmy się na Forum Programowym Koalicji Obywatelskiej, by porozmawiać o Polsce! http://tinyurl[.]com/y3cnsgzl (https://loginverify[.]net/EWSRfbj) 
2019-07-12 16:23:51 Nadawca: HTC-Polska
Zapisz sie do klubu HTC! Jako klubowicz będziesz otrzymywać niedostępne dla innych informacje o nowych produktach, akcesoriach i usługach. Korzystaj w pełni z możliwości swojego telefonu! https://oneadjump[.]com/SQY8jBX 
2019-07-16 08:38:32 Nadawca: WCZK-A1
AmberGO – nowy system płatności na autostradzie A1! System automatycznego poboru opłat bez biletów i bez dokonywania płatności na bramkach. https://loginverify[.]net/6Egzh2F Wypróbuj już teraz! 
2019-07-24 06:56:35 Nadawca: KtoMaLek.pl
Kryzys lekowy trwa! Sprawdź, w której aptece w okolicy dostaniesz potrzebny lek! https://sale-2019[.]com/8QCAqcU8 
2019-07-29 12:23:42 Nadawca: Energa
Drogi kliencie, przypominamy o ostatecznym terminie składania oświadczeń ws. zamrożenia cen energii. Pełną informację o uprawnieniu do rozliczeń według niższych cen i stawek znajdziesz na naszej stronie: https://loginverify[.]net/sj5zsue 
2019-07-31 13:24:43 Nadawca: BramkaSMS
Ryszard zagłosuj w sondażu dotyczącym naszej kandydatki do senatu. To już ostatnie chwile!  https://newsportal24[.]online/kcUU9pshh 
2019-08-06 12:05:56 Nadawca: e-nadmorzem
Hotele na Wybrzeżu Bałtyku do 50% zniżki. Zobacz ofertę. https://holiday-sun[.]net/eXppP19S 
2019-08-14 11:53:11 Nadawca: Bytom
Dzień dobry, informujemy, że Pańska przesyłka jest do odebrania w salonie firmowym Bytom C.H. Złote Tarasy. Prosimy o przygotowanie numeru zamówienia. Przejdź do Twojego zamówienia:  https://awizo[.]info/7AvsrqNYR 
2019-08-20 12:06:19 Nadawca: newsportal:
Znamy już pełne listy wyborcze! Czeka nas kilka ciekawych starć. Zobacz listę kandydatów z Twojego okręgu wyborczego  https://newsportal24[.]online/8ZedQvG 

Tu widzimy 10 wiadomości wysłanych na przestrzeni ok. 40 dni. Większość charakteryzuje wysoki poziom personalizacji.

Wiadomości od nadawcy „BramkaSMS” zwracają się wręcz do ofiary jego imieniem lub tytułem i wskazują na lokalny portal i aktualne sprawy partyjne. Kolejnym fałszywym nadawcą jest „PlatformaKO” z zaproszeniem na forum programowe Koalicji Obywatelskiej. Wątek polityczny kontynuuje SMS z rzekomym linkiem do list kandydatów z danego okręgu wyborczego.

Wiadomość od rzekomego serwisu „e-nadmorzem” przychodzi, według ofiary, gdy rozważa ona spędzenie wczasów nad Bałtykiem. Autostradą A1, pod którą podszywa się inna wiadomość, pojedzie tam dopiero za miesiąc. Klub HTC wskazuje na markę telefonu – tu jednak nie wiemy, czy faktycznie trafnie. Nadawcy podszywają się, podobnie jak w przypadku poprzedniej ofiary, pod dostawców usług (tam Play, tu Energa) i popularne sklepy (tam CCC i 5-10-15, tu Bytom). Większość wiadomości wygląda na precyzyjnie spersonalizowana w celu zwiększenia prawdopodobieństwa kliknięcia w link.

Analiza linków i domen

W wiadomościach pojawiają się dwie kategorie linków: linki skrócone (przekierowania) i linki docelowe. W wiadomościach SMS nie da się zrobić podobnej sztuczki, jak w e-mailu, gdzie można wyświetlić inną treść linka, a inny podłożyć pod spód. Wszystkie widoczne linki musiały w momencie ich kliknięcia prowadzić do widocznych adresów.

Spośród 15 linków mamy 5 linków skróconych i 10 docelowych. Niestety 3 spośród skróconych, prowadzące do platformy bit.ly, zostały już usunięte i nie udało nam się znaleźć ich śladów w sieci (może wy będziecie mieć więcej talentu i to się uda):

http://bit.ly/lPl1jEU 
http://bit.ly/nEFmH03 
http://bit.ly/PpF97sS 

Nie wiemy zatem, dokąd prowadziły. Skąd wiemy zatem, że były złośliwe? Firmy, pod które się podszyto, zapewniają, że ich nie wysłały, a metoda konstruowania wiadomości jest analogiczna do potwierdzonych już wcześniej ataków operatorów Pegasusa.

Kolejne dwa skrócone linki prowadziły do skracacza tinyurl.com, na którym zachowały się przekierowania, więc wiemy, gdzie mogła wylądować ofiara po kliknięciu.

http://tinyurl.com/y3cnsgzl -> https://loginverify.net/EWSRfbj
http://tinyurl.com/y69p3pyk -> https://newsportal24.online/mtM8dy6cz

Możemy zatem te 2 ujawnione linki dodać do 10 znanych z treści SMS-ów i dostaniemy taką oto listę:

https://awizo.info/7AvsrqNYR
https://holiday-sun.net/eXppP19S
https://loginverify.net/6Egzh2F
https://loginverify.net/EWSRfbj
https://loginverify.net/sj5zsue
https://newsportal24.online/8ZedQvG
https://newsportal24.online/kcUU9pshh
https://newsportal24.online/mtM8dy6cz
https://oneadjump.com/SQY8jBX
https://sale-2019.com/2CaJGuQ
https://sale-2019.com/8QCAqcU8

Mamy zatem po 3 linki do domen loginverify.net i newsportal24.online, 2 linki do sale-2019.com i po jednym do oneadjump.com, holiday-sun.net i awizo.info. Szczególnie ta ostatnia jest ciekawa, bo jako jedyna brzmi polskojęzycznie.

Wszystkie te domeny łączy podobna, nietypowa historia. Pierwotnie rejestrowane w 2019 w dość egzotycznej infrastrukturze, wszystkie na 3 adresach IP z tej samej klasy adresowej, rok lub dwa lata później lądowały na zupełnie innym serwerze, wspólnym dla wszystkich adresów.

loginverify.net w 2019 103.7.8.217, w 2020 91.195.240.117
newsportal24.online w 2019 103.7.8.215, w 2021 91.195.240.117
sale-2019.com w 2019 103.7.8.216, w 2020 91.195.240.117
oneadjump.com w 2019 103.7.8.217, w 2020 91.195.240.117
holiday-sun.net w 2019 103.7.8.216, w 2020 91.195.240.117
awizo.info w 2019 103.7.8.215, w 2021 91.195.240.117

To wskazuje, że wszystkie analizowane domeny z dużym prawdopodobieństwem należały do jednego zbioru, używanego w atakach przez jeden podmiot. Co ciekawe, domeny te nie zostawiły żadnych widocznych śladów online (ponownie, jeśli na jakieś traficie, wołajcie – zbiorowa moc OSINT-u jest niezmierzona).

Skąd wiemy, że to Pegasus?

Pominiemy tu oczywiste wątki polityczne, jak dobór celów i czasu ataków (tu polecamy artykuł Wyborczej na ten temat).

Po pierwsze, numery obu ofiar pojawiły się na liście 50 000 potencjalnych celów Pegasusa, opisywanej kilka miesięcy temu przez międzynarodowe konsorcjum dziennikarskie. Wiele z tych numerów zostało potwierdzonych jako faktyczne infekcje Pegasusem na podstawie analiz samych telefonów.

Po drugie, specjaliści Amnesty International potwierdzają zgodność charakterystyki analizowanych wiadomości z innymi analogicznymi atakami Pegasusem, które do tej pory obserwowali w innych krajach.

Po trzecie, odpowiadając na pytanie, skąd wiemy, że nie przez przypadek jakaś inna grupa przestępcza, atakująca kogo popadnie. Takie ataki praktycznie zawsze zostawiają ślady w sieci – wiele firm ogłasza złośliwe domeny, linki i adresy, umieszcza je w raportach, publikuje online. Tu nie natrafiliśmy na żaden ślad domen użytych w SMS-ach, co wskazuje, że była to bardzo wąsko wycelowana kampania. Tę teorię potwierdza wysoka personalizacja treści wiadomości. Odpowiada to znanym schematom działania operatora Pegasusa.

Chcesz wiedzieć więcej?

Zapraszamy na nasz (płatny) webinar poświęcony Pegasusowi – tu można zgłosić chęć uczestnictwa i dostać najlepszy możliwy rabat. Slajdy już kończymy – ale codziennie trzeba coś dopisywać :)