17.02.2022 | 11:29

Adam Haertle

Zobacz SMS-y, za pomocą których próbowano zainfekować Pegasusem telefony polskich polityków

Z dzisiejszych publikacji prasowych dowiadujemy się, że Pegasusem próbowano infekować także telefony z Androidem. Metodą infekcji były złośliwe linki przesyłane za pomocą personalizowanych SMS-ów. Przedstawiamy te wiadomości.

Śledztwo Wyborczej i Die Zeit we współpracy z Amnesty International pozwoliło zlokalizować próby infekcji telefonów Magdaleny Łośko i Ryszarda Brejzy. Co ciekawe, oba telefony działały pod kontrolą systemu operacyjnego Android. Nie wnikając w aspekty prawne, etyczne i polityczne tych zdarzeń, przyjrzyjmy się temu, jak wyglądały same wiadomości i pod kogo podszywało się CBA, próbując personalizować ataki na poszczególne cele. Treść wiadomości zaczerpnęliśmy z zaktualizowanego załącznika do raportu Amnesty International.

Najpierw przyjrzymy się ich treści, a potem rzucimy okiem na użyte adresy stron WWW.

Wiadomości wysłane do Magdaleny Łośko

Data (UTC)Nadawca i treść 
2019-04-17 12:42:55 Nadawca: Klub51015
Zakupy z klubem 5.10.15! Sezonowa wyprzedaż -50% online i w sklepach stacjonarnych. Sprawdź: https://sale-2019.com/2CaJGuQ 
2019-04-18 14:13:26 Nadawca: SklepyCCC
Przeceny do 50% na obuwie, a dla klubowiczów dodatkowe 10% rabatu na wszystkie produkty! Oferta do 20-04-2019. Sprawdź online!  http://bit.ly/lPl1jEU 
2019-04-19 10:40:51 Nadawca: Playpl
Pobierz fakturę nr: F/20087153/04/19 na kwotę 125.00 zł. Jej termin płatności mija 2019/04/26. Zaloguj się online http://bit.ly/nEFmH03 
2019-04-23 07:12:47 Nadawca: Infor
Mobbing w miejscu pracy to pojęcie szersze niż powszechnie się wydaje. Czytaj więcej: http://bit.ly/PpF97sS 

Widzimy tu dość intensywną kampanię – 4 wiadomości w ciągu 6 dni, wskazujące zapewne na wielokrotne próby zdobycia dostępu do urządzenia ofiary. Niestety do tej pory Amnesty International nie opracowała metodyki analizy śladów Pegasusa na urządzeniach z Androidem, zatem nie wiemy, czy próby te były udane.

Rzekomi nadawcy wiadomości, pod których podszywało się CBA oraz sama treść SMS-ów zostały dobrane tak, by zwiększyć prawdopodobieństwo kliknięcia w link. Były to wiadomości wysoce spersonalizowane. Jak informuje sama ofiara, faktycznie posiada kartę sieci sklepów 5-10-15. Jeszcze lepiej dobrana była treść wiadomości udającej operatora sieci komórkowej Play – ofiara faktycznie dostała tydzień wcześniej fakturę o tym właśnie numerze i takiej kwocie do opłacenia. Czy to oznacza, że nadawcy mieli dostęp do jej skrzynki pocztowej? Niekoniecznie – źródłem informacji mogły być systemy operatora, a także treść wiadomości SMS od prawdziwego Playa z informacją o fakturze. Pozostałe dwie wiadomości również wskazywały na dobór pod kątem ofiary – Magdalena Łośko przypomina sobie, że interesowała się wówczas kwestiami mobbingu, a zakupy butów są dość oczywistym wątkiem.

Wiadomości wysłane do Ryszarda Brejzy

Data (UTC)Nadawca i treść
2019-07-11 12:15:35 Nadawca: BramkaSMS
Panie Prezydencie, widział Pan komentarze na portalu “ino” na temat skoszonej łąki? Proszę wejść i poczytać. Podsyłam link do artykułu: http://tinyurl[.]com/y69p3pyk (https://newsportal24[.]online/mtM8dy6cz) 
2019-07-12 07:18:19 Nadawca: PlatformaKO
Już 12-13 lipca spotkajmy się na Forum Programowym Koalicji Obywatelskiej, by porozmawiać o Polsce! http://tinyurl[.]com/y3cnsgzl (https://loginverify[.]net/EWSRfbj) 
2019-07-12 16:23:51 Nadawca: HTC-Polska
Zapisz sie do klubu HTC! Jako klubowicz będziesz otrzymywać niedostępne dla innych informacje o nowych produktach, akcesoriach i usługach. Korzystaj w pełni z możliwości swojego telefonu! https://oneadjump[.]com/SQY8jBX 
2019-07-16 08:38:32 Nadawca: WCZK-A1
AmberGO – nowy system płatności na autostradzie A1! System automatycznego poboru opłat bez biletów i bez dokonywania płatności na bramkach. https://loginverify[.]net/6Egzh2F Wypróbuj już teraz! 
2019-07-24 06:56:35 Nadawca: KtoMaLek.pl
Kryzys lekowy trwa! Sprawdź, w której aptece w okolicy dostaniesz potrzebny lek! https://sale-2019[.]com/8QCAqcU8 
2019-07-29 12:23:42 Nadawca: Energa
Drogi kliencie, przypominamy o ostatecznym terminie składania oświadczeń ws. zamrożenia cen energii. Pełną informację o uprawnieniu do rozliczeń według niższych cen i stawek znajdziesz na naszej stronie: https://loginverify[.]net/sj5zsue 
2019-07-31 13:24:43 Nadawca: BramkaSMS
Ryszard zagłosuj w sondażu dotyczącym naszej kandydatki do senatu. To już ostatnie chwile!  https://newsportal24[.]online/kcUU9pshh 
2019-08-06 12:05:56 Nadawca: e-nadmorzem
Hotele na Wybrzeżu Bałtyku do 50% zniżki. Zobacz ofertę. https://holiday-sun[.]net/eXppP19S 
2019-08-14 11:53:11 Nadawca: Bytom
Dzień dobry, informujemy, że Pańska przesyłka jest do odebrania w salonie firmowym Bytom C.H. Złote Tarasy. Prosimy o przygotowanie numeru zamówienia. Przejdź do Twojego zamówienia:  https://awizo[.]info/7AvsrqNYR 
2019-08-20 12:06:19 Nadawca: newsportal:
Znamy już pełne listy wyborcze! Czeka nas kilka ciekawych starć. Zobacz listę kandydatów z Twojego okręgu wyborczego  https://newsportal24[.]online/8ZedQvG 

Tu widzimy 10 wiadomości wysłanych na przestrzeni ok. 40 dni. Większość charakteryzuje wysoki poziom personalizacji.

Wiadomości od nadawcy „BramkaSMS” zwracają się wręcz do ofiary jego imieniem lub tytułem i wskazują na lokalny portal i aktualne sprawy partyjne. Kolejnym fałszywym nadawcą jest „PlatformaKO” z zaproszeniem na forum programowe Koalicji Obywatelskiej. Wątek polityczny kontynuuje SMS z rzekomym linkiem do list kandydatów z danego okręgu wyborczego.

Wiadomość od rzekomego serwisu „e-nadmorzem” przychodzi, według ofiary, gdy rozważa ona spędzenie wczasów nad Bałtykiem. Autostradą A1, pod którą podszywa się inna wiadomość, pojedzie tam dopiero za miesiąc. Klub HTC wskazuje na markę telefonu – tu jednak nie wiemy, czy faktycznie trafnie. Nadawcy podszywają się, podobnie jak w przypadku poprzedniej ofiary, pod dostawców usług (tam Play, tu Energa) i popularne sklepy (tam CCC i 5-10-15, tu Bytom). Większość wiadomości wygląda na precyzyjnie spersonalizowana w celu zwiększenia prawdopodobieństwa kliknięcia w link.

Analiza linków i domen

W wiadomościach pojawiają się dwie kategorie linków: linki skrócone (przekierowania) i linki docelowe. W wiadomościach SMS nie da się zrobić podobnej sztuczki, jak w e-mailu, gdzie można wyświetlić inną treść linka, a inny podłożyć pod spód. Wszystkie widoczne linki musiały w momencie ich kliknięcia prowadzić do widocznych adresów.

Spośród 15 linków mamy 5 linków skróconych i 10 docelowych. Niestety 3 spośród skróconych, prowadzące do platformy bit.ly, zostały już usunięte i nie udało nam się znaleźć ich śladów w sieci (może wy będziecie mieć więcej talentu i to się uda):

http://bit.ly/lPl1jEU 
http://bit.ly/nEFmH03 
http://bit.ly/PpF97sS 

Nie wiemy zatem, dokąd prowadziły. Skąd wiemy zatem, że były złośliwe? Firmy, pod które się podszyto, zapewniają, że ich nie wysłały, a metoda konstruowania wiadomości jest analogiczna do potwierdzonych już wcześniej ataków operatorów Pegasusa.

Kolejne dwa skrócone linki prowadziły do skracacza tinyurl.com, na którym zachowały się przekierowania, więc wiemy, gdzie mogła wylądować ofiara po kliknięciu.

http://tinyurl.com/y3cnsgzl -> https://loginverify.net/EWSRfbj
http://tinyurl.com/y69p3pyk -> https://newsportal24.online/mtM8dy6cz

Możemy zatem te 2 ujawnione linki dodać do 10 znanych z treści SMS-ów i dostaniemy taką oto listę:

https://awizo.info/7AvsrqNYR
https://holiday-sun.net/eXppP19S
https://loginverify.net/6Egzh2F
https://loginverify.net/EWSRfbj
https://loginverify.net/sj5zsue
https://newsportal24.online/8ZedQvG
https://newsportal24.online/kcUU9pshh
https://newsportal24.online/mtM8dy6cz
https://oneadjump.com/SQY8jBX
https://sale-2019.com/2CaJGuQ
https://sale-2019.com/8QCAqcU8

Mamy zatem po 3 linki do domen loginverify.net i newsportal24.online, 2 linki do sale-2019.com i po jednym do oneadjump.com, holiday-sun.net i awizo.info. Szczególnie ta ostatnia jest ciekawa, bo jako jedyna brzmi polskojęzycznie.

Wszystkie te domeny łączy podobna, nietypowa historia. Pierwotnie rejestrowane w 2019 w dość egzotycznej infrastrukturze, wszystkie na 3 adresach IP z tej samej klasy adresowej, rok lub dwa lata później lądowały na zupełnie innym serwerze, wspólnym dla wszystkich adresów.

loginverify.net w 2019 103.7.8.217, w 2020 91.195.240.117
newsportal24.online w 2019 103.7.8.215, w 2021 91.195.240.117
sale-2019.com w 2019 103.7.8.216, w 2020 91.195.240.117
oneadjump.com w 2019 103.7.8.217, w 2020 91.195.240.117
holiday-sun.net w 2019 103.7.8.216, w 2020 91.195.240.117
awizo.info w 2019 103.7.8.215, w 2021 91.195.240.117

To wskazuje, że wszystkie analizowane domeny z dużym prawdopodobieństwem należały do jednego zbioru, używanego w atakach przez jeden podmiot. Co ciekawe, domeny te nie zostawiły żadnych widocznych śladów online (ponownie, jeśli na jakieś traficie, wołajcie – zbiorowa moc OSINT-u jest niezmierzona).

Skąd wiemy, że to Pegasus?

Pominiemy tu oczywiste wątki polityczne, jak dobór celów i czasu ataków (tu polecamy artykuł Wyborczej na ten temat).

Po pierwsze, numery obu ofiar pojawiły się na liście 50 000 potencjalnych celów Pegasusa, opisywanej kilka miesięcy temu przez międzynarodowe konsorcjum dziennikarskie. Wiele z tych numerów zostało potwierdzonych jako faktyczne infekcje Pegasusem na podstawie analiz samych telefonów.

Po drugie, specjaliści Amnesty International potwierdzają zgodność charakterystyki analizowanych wiadomości z innymi analogicznymi atakami Pegasusem, które do tej pory obserwowali w innych krajach.

Po trzecie, odpowiadając na pytanie, skąd wiemy, że nie przez przypadek jakaś inna grupa przestępcza, atakująca kogo popadnie. Takie ataki praktycznie zawsze zostawiają ślady w sieci – wiele firm ogłasza złośliwe domeny, linki i adresy, umieszcza je w raportach, publikuje online. Tu nie natrafiliśmy na żaden ślad domen użytych w SMS-ach, co wskazuje, że była to bardzo wąsko wycelowana kampania. Tę teorię potwierdza wysoka personalizacja treści wiadomości. Odpowiada to znanym schematom działania operatora Pegasusa.

Chcesz wiedzieć więcej?

Zapraszamy na nasz (płatny) webinar poświęcony Pegasusowi – tu można zgłosić chęć uczestnictwa i dostać najlepszy możliwy rabat. Slajdy już kończymy – ale codziennie trzeba coś dopisywać :)

Powrót

Komentarze

  • 2022.02.17 12:04 Hehe

    Czy niedziałający link do webinara to pierwsze zadanie z OSINTu? ;)

    Odpowiedz
    • 2022.02.17 12:07 adamh

      U nas działa.

      Odpowiedz
      • 2022.02.17 12:16 Hehe

        It’s not DNS
        There’s no way it’s DNS

        It was DNS

        Odpowiedz
      • 2022.02.17 14:20 user1

        czyli to podpucha :)

        Odpowiedz
    • 2022.02.17 14:19 robertk

      firewall może blokować link, Portmaster blokuje

      Odpowiedz
  • 2022.02.17 12:56 tt

    artykul z wyborczej to rzeczywiscie, w rzeczy samej pominiecie watkow politycznych ;-)

    Odpowiedz
    • 2022.02.17 18:57 Duży Pies

      Włącz sobie TVP albo Republikę albo poczytaj wŚmieci lub Gazetę Wolską czy inną szczujnię… tam nie ma wątków politycznych. Jest tylko prawda. Czysta niczym lilija xD

      Odpowiedz
      • 2022.02.17 20:09 Akita

        Ty duzy pies, jak juz chcesz wymieniac, to wymien wszystkie „obiektywne”media a nie tylko te pro rzadowe.

        Odpowiedz
        • 2022.02.19 01:19 wk

          @Akita

          Nic nie stoi na przeszkodzie żebyś Ty wymienił te co Tobie leżą na sercu :)

          Każde medium jest subiektywne. Trzeba to rozumieć.

          Odpowiedz
          • 2022.02.19 11:10 Duży Pies

            No wiesz… to zabrzmiało jak wypowiedź symetrysty.
            Tak, to prawda, każdy jest subiektywny, my też.
            Dla mnie „Wyborcza” czy „Polityka” jest bliższa – obiektywnie – prawdy niż prorządowe, prawicowe szczujnie. A na pewno jest tak w kontekście brutalnej inwigilacji Pegasusem.
            Nie baw się w symetryzm. Zło jakim jest PiS należy nazywać po imieniu. PiS to czyste zło! Od nielegalnych, bezprawnych podsłuchów opozycji aż po zdewastowanie demokracji.
            Nadzieją jest młode pokolenie u którego PiS ma już przejeb…

          • 2022.02.20 05:47 wk

            @Duży Pies

            Ja to do Akity pisałem ;) Coś mi chyba nie wyszło ;)

            Ale skoro już się uzewnętrzniany to powiem tak: mam swoje bardzo konkretne poglądy, mam swoje „ulubione” media, ale przyjmuję do wiadomości że obok żyją ludzie którzy mają poglądy przeciwstawne do moich. Jeśli zacznę od ataku, nie poznam sposobów ich myślenia ani tego jak na nie reaguję. A tym samym będę tym człowiekiem z SW który nie zna ani swojego przeciwnika ani siebie. Skąd wiem? Bo już próbowałem ;)

      • 2022.02.22 08:21 OV

        To co oceniasz za obiektywne a co za nieobiektywne zależy od twojego postrzegania świata, a te z kolei od doświadczenia życiowego. O ile jakieś masz.

        Ja mam inne doświadczenie i inne poglądy.

        A na młodzież to bym tak za bardzo nie liczył. Oni mają jeszcze siano w głowie (też kiedyś miałem) i najpierw będą działać, a potem zrozumieją, że świat jest ociupinkę bardziej skomplikowany.
        I, że to co wydawało się białe nie jest takie białe, a to co miało być czarne, wcale nie było takie czarne.

        Odpowiedz
  • 2022.02.17 13:24 Beta Tester

    Czyli? Generalnie nie mamy nawet pewności, że to był Pegasus, bo nie ma na to dowodów. Urocze.

    Odpowiedz
    • 2022.03.02 02:23 AntVrenKit/d

      A nawet nie wiemy czy to było ABW czy np ktoś, kto chciał nam tu politycznie namieszać. A właściwie wiemy że to raczej na pewno nie było „nasze” ABW… Skąd wiemy? Ano domyślcie się…

      Odpowiedz
  • 2022.02.17 14:27 1234

    Awizo.info tylko z 2014 r. jakiś ślad https://web.archive.org/web/2014*/http://awizo.info/

    Newsportal24.info ślady od 2006 do 2019
    https://web.archive.org/web/2019*/http://newsportal24.info/

    Odpowiedz
    • 2022.02.17 17:12 whay

      Co? Przecież domeny mogą być ponownie rejestrowane, to nie jest tak, że właściciel apple.com sprzed 20 lat to ceo apple

      Odpowiedz
    • 2022.02.17 18:14 Tomasz

      Adaś jest takim specjalistą, że nawet webarchive nie sprawdził, ale po co? Zapraszają do mediów to nie trzeba być rzetelnym :)

      Odpowiedz
    • 2022.02.17 21:21 Zbyszek

      Ten drugi to newsportal24.online nie info. Ale faktycznie awizo.info korzystało z http://www.masternet.pl/
      „poprawna zawartość domeny: awizo.info w chwili obecnej nie może zostać wyświetlona.
      Domena utrzymywana jest na serwerach DNS MasterNET.pl
      lecz nie została zaparkowana na serwerze wirtualnym
      lub czeka na przeładowanie serwera HTTPd”

      Odpowiedz
  • 2022.02.17 14:35 zawiedzion

    Czemu takie fajne rzeczy wysyłają do kompletnie niezainteresowanych tematem ludzi, ja bym naprawdę docenił takiego linka do 0-daya, na pewno żaden nie pozostałby nieotwarty.

    Odpowiedz
  • 2022.02.17 14:45 pelotek666555

    a kliknięcie w link z peceta z windowsem wywoła infekcje?

    Odpowiedz
    • 2022.02.17 16:55 Mik

      Tak, weneryczną ;)

      Odpowiedz
  • 2022.02.17 15:48 qaz

    Swoją drogą to szanowni agenci chyba nie ogarnęli, że jak się wysyła dzień po dniu podejrzanego SMSa, to to może wzbudzić czujność ofiary, jeżeli w pierwszego nie kliknęła. Słabo się postarali, powinno być kilka dni przerwy. Godziny w miarę OK, ale przed 7? Jaka firma wysyła tak SMS?
    To chyba któryś zmianę zaczynał i na dzień dobry SMS wysłał xD.

    Odpowiedz
    • 2022.02.17 19:02 Duży Pies

      „szanowni agenci” ze służby od Pegasusa to banda kretynów.
      Myślałeś że za parę tysi przyjdą tam informatyczne geeki?
      Ta służba jest do zaorania! Chlor i Gumowe Ucho dobili ją całkowicie!

      Odpowiedz
  • 2022.02.17 15:48 KotBehemot

    Historyczne rekordy WHOIS dostępne dla niektórych domen pokazują, że zostały zarejestrowane przez usługi pokroju DomainsByProxy. Sale-2019 została zarejestrowana w Tucows Domains, więc niby jawnie. Ciekawe.

    Odpowiedz
  • 2022.02.17 16:38 Zaniepokojony

    >Takie ataki praktycznie zawsze zostawiają ślady w sieci – wiele firm ogłasza złośliwe domeny, linki i adresy, umieszcza je w raportach, publikuje online. Tu nie natrafiliśmy na żaden ślad domen użytych w SMSach, co wskazuje, że była to bardzo wąsko wycelowana kampania.
    Albo te całe CERT-y dostały polecenie nie zajmować się tymi domenami…

    Odpowiedz
  • 2022.02.17 18:11 Adam Kłamczuszek

    Sorry Adam, ale najzwyczajniej w świecie powielasz farmazon.
    Sam mówisz, że nie masz żadnych dowodów, dlatego twierdzisz że to Pegasus?
    I jak tu traktować poważnie twoje wypociny?

    Odpowiedz
    • 2022.02.17 19:03 Adam Haertle Odpowiedz
    • 2022.02.17 19:04 Taktak

      Aż po nogawce pociekło pislamiście

      Odpowiedz
    • 2022.02.17 19:06 Duży Pies

      Wiedza informatyczna + OSINT + psychologia + socjotechnika = Poprawna atrybucja
      To coś, czego ćwierćinteligencie nie ogarnąłeś…

      Odpowiedz
      • 2022.02.20 13:47 ewoiru

        Zapomniałeś dopisać subiektywizm.

        Odpowiedz
    • 2022.02.18 06:03 B0mb4

      Niepolityczne polecenie Wyborczej i Die Zeit… Ale fuckapp. Mogliście chociaż pociąć ich Art. O które miejsca Wam chodzi, bo politycznie można dostać torsji. Jesteście techniczni i takie polecani Wam szkodzą. Ps. Dostaję torsji na myśl o polityce, więc się @Duży Pies nie produkuj

      Odpowiedz
    • 2022.02.18 10:02 malpiadama

      „I jak tu traktować poważnie twoje wypociny?”
      Jak tu traktować poważnie twoje wypociny, skoro najwyraźniej nie potrafisz przeczytać artykułu ze zrozumieniem?

      Odpowiedz
      • 2022.02.18 16:30 Adam Kłamczuszek

        To wskaż chociaż jeden.
        Najważniejsze, że do mediów zapraszają, cytują, to można siać popelinę :)

        Odpowiedz
  • 2022.02.18 10:33 Maciej

    Myślę, że takie firmy jak Cisco, Akamai itp., które analizują ruch sieciowy mogą mieć historię połączeń poszczególnych urządzeń, tylko nie wychylają się z tym, bo to nie jest w ich interesie.

    Odpowiedz
  • 2022.02.20 13:55 ewoiru

    To nie SMSy infekowały, tylko kontent za linkami w SMSach. Do zainfekowania potrzebna była akcja użytkownika. Tytuł powinien zostać skorygowany.

    SMSy są na tyle prymitywne (te ca. 160 znaków + minimum metadanych), że przewrócenie albo wyskoczenie ze stosu obsługi jest dość trudne nawet na starych i nieaktualnych maszynach. Na szczęście… Natomiast w Applu mieli do dyspozycji iMessagesy z wrażliwym parserem grafiki w backendzie. Chyba wiadomo, dlaczego Google & Co. chcą ubić SMSy…

    Odnośnie zarzekania się operatorów co do niewysyłania wiadomości, to bym podchodził z rezerwą. Raz próbowałem wypytać Playa odnośnie SMSa reklamowego czy coś przez nich wysłanego, to powiedzieli że nie wiedzą skąd jest wiadomość.

    Odpowiedz
  • 2022.02.20 16:26 Ludwik

    Domeny i adresy IP Pegasusa są na bieżąco uaktualniane z wielu źródeł, między innymi z list Amnesty International raz na dobę.
    Jak ktoś jest administratorem serwera pocztowego to zachęcam do korzystania z list RBL polspam.pl, a w szczególności tej: rhsbl-danger.rbl.polspam.pl
    Są na niej domeny z listy oszustów tworzonej przez CERT NASK oraz z wielu innych źródeł i współpracujących RBL-i.

    Odpowiedz
  • 2022.02.24 09:40 misiu

    Jeszcze tego samego dnia zaparkowane domeny zostały przeniesione na tomaszklim.pl = payload.pl ;)

    Odpowiedz
  • 2022.02.24 18:16 Kamil

    Co się stanie, jak się w nie teraz kliknie?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zobacz SMS-y, za pomocą których próbowano zainfekować Pegasusem telefony polskich polityków

Komentarze