Che cos’è davvero Pegasus, lo spyware di cui parlano tutti

di Nicola Grandis, ceo di Asc27

Pegasus, il nome che ha messo in ginocchio la politica e il giornalismo mondiali carpendo le informazioni private dei suoi protagonisti, non è uno spyware e non è nemmeno un malware. Pegasus, della società Nso è uno splendido pezzo di ingegneria del software costruito con un unico obiettivo: penetrare la frontiera di un dispositivo elettronico e raccogliere ogni possibile informazione lavorando behind the enemy lines.

Pegasus è una piattaforma, costituita da vari componenti. Senza scendere troppo nel tecnico, i principali sono tre. Il primo è il vettore di attacco, poi c’è la parte di agente e per ultima una interfaccia di comando & controllo. Le ultime 2 parti sono di poco conto: la vera meraviglia si può leggere negli occhi di chi guarda la prima, il vettore di attacco.

Il vettore di Pegasus è estremamente sofisticato e il suo omologo cinetico andrebbe probabilmente ricercato nel MQ-9 Reaper, drone militare d’alta quota armato. Pegasus ha un sistema di trasporto molto avanzato che non gli consente solo di raggiungere il suo target in vari modi, ma lo aiuta anche a nascondersi da numerosi controlli di sicurezza. Giunto sul bersaglio, il vettore sgancia il suo arsenale di instrumentazione

Come funziona Pegasus

Quando si parla di device come gli smartphone, il primo obiettivo di Pegasus è quello di conquistare i privilegi di root (cioè di amministratore, software di amministrazione del device), ovvero di instrumentare il device stesso. Per riuscirci, Pegasus è dotato di un bagaglio di software conosciuti sotto diversi nomi: 0-Days, vulnerabilità, talvolta anche backdoor dei produttori che sarebbero dovute servire per tutt’altro. La scalata verso la root è paragonabile a un’arrampicata senza corda su una parete a strapiombo nel vuoto, si basa sull’applicazione logica e scientifica di una serie abbastanza lunga di pioli sulla parete, tali da consentire a Pegasus di giungere in vetta. A ogni piolo, sfruttando ogni singola vulnerabilità del device, Pegasus aggiunge un tassello di device al suo controllo, man mano assoggettando diverse aree del filesystem e della memoria del target.

Non di rado, Pegasus calls home nel corso della scalata per richiedere alla base dei componenti software aggiuntivi, dedicati per il target che deve compromettere. Questo passaggio è necessario, poiché la maggior parte delle vulnerabilità più devastanti nell’arsenale di Pegasus richiedono una compilazione ad-hoc che tenga conto del device, della sua versione del firmware, del sistema operativo e talvolta anche di specifici software che Pegasus scopre installati nel corso della scalata stessa. Illustrato il meccanismo, si comprende anche che il processo di infezione può durare talvolta millisecondi, talvolta invece giorni o settimane. I fabbricanti di pioli possono essere sia reverser della Nso, che persone esterne assoldate come consulenti, talvolta anche soggetti la cui professione consiste nel fabbricare pioli per futuri attacchi e pubblicarli in marketplace dedicati, luoghi dove un singolo piolo può essere pagato anche milioni di euro.

Gli effetti immediati dell’attacco

Raggiunti i privilegi di root, nulla ha più scampo. Non importa quanto sia sicura l’app che state o stavate utilizzando, Pegasus può recuperare dati sia del presente che del passato, qualsiasi informazione presente sul target, a prescindere da quanto bene o in quale modo sicuro sia stata scritta l’applicazione o il suo database locale. Pensateci un attimo: l’app più sicura del mondo, quella che utilizza Text-Secure per la trasmissione e tutta la crypto-chain conosciuta per la memorizzazione dei messaggi, ha bisogno di mostrarvi i il testo delle chat scambiate; dunque, in qualche modo deve poter leggere le informazioni a bordo del dispositivo. Ecco: se lo fa la stessa app super-sicura, lo può fare anche un software con i diritti di root. Nei moderni sistemi operativi per smartphone ci sono moltissimi livelli di protezione, ma nulla può proteggere un sistema operativo da un software che è in esecuzione con i diritti di root, quando questo software è scritto per prendere possesso del device stesso. Questi diritti sono normalmente delegati a programmi che devono garantire la continuità di servizio del device e che devono operare in real time, non è quindi possibile metterli in sicurezza con le tecniche applicate ai software standard. Non possono essere analizzati da un antivirus, non hanno limiti nell’accesso al sistema, nemmeno alle porzioni più sensibili, lì dove sono custodite le chiavi di cifratura.

Pegasus è un agente attivo per la raccolta delle informazioni e fa molto bene il suo lavoro. La legge e la politica hanno il dovere di regolamentare l’utilizzo di software di questo tipo, in molte legislazioni già classificati come armi, strumenti di attacco cyber. Dal punto di vista tecnico, non ci sono soluzioni semplici all’orizzonte per proteggere i devices da attacchi di questa natura. Per ora, l’ultimo baluardo della sicurezza è un vecchio Nokia 6610, possibilmente scollegato da internet o con la sola possibilità di leggere la posta elettronica (ma solo in formato testuale, poiché i vettori di Pegasus possono attaccare anche l’elaborazione della preview delle immagini ricevute per email). Confidando che il 6610 della Nokia non sia così attraente per gli sviluppatori della Nso, tanto da farli mettere a lavoro anche su quello. 

Tutto ciò per dire anche che Pegasus che gira root non può essere rilevato da alcun antivirus; quando è stato trovato/rinvenuto su un device è servita un’operazione di forensic di una persona con conoscenze simili a quelle dell’autore, il quale abbia instrumentato un device che appariva sospetto per qualche motivo (generalmente perché si scaricava troppo di frequente o perché crashavano troppi giochi stupidi sul telefono). Quando Pegasus viene lanciato, entra nel teatro delle operazioni con uno 0-day 0-click, ovvero in modo impeccabile, silente, fulmineo, non lascia alcuna possibilità di rilevamento o difesa al target designato.

Giunto sul suo obiettivo Pegasus non detona, può restare silente anche per lunghissimo tempo. Pegasus ha la possibilità di non compiere alcuna azione anche per periodi lunghissimi, eseguire ricognizioni di tanto in tanto alla ricerca di tasselli di informazione importanti. Questo comportamento è determinante per distinguere uno stallone di razza purissima, dal Rat (remote Administration Tool) scritto dall’amatore della materia. Meno si muove, meno baccano produce, più risulta efficiente e nascosto Pegasus. Di solito, una lunga sequenza di possibili trigger di attivazione (uno specifico numero che chiama, uno specifico soggetto che invia una email al target, eccetera) determina la messa in opera fulminea dello strumento di attacco. Utilizzando uno strumento come Pegasus, impostandolo per attivarsi quando collegato alla rete wifi con SSID “Army” e alla ricezione di una mail con oggetto “Immediate Executive Command”, Pegasus potrebbe anche sostituire un ordine di attacco genuino con uno fabbricato ad-hoc e scatenare la III guerra mondiale. Per fortuna stiamo solo parlando per ipotesi e, naturalmente, quello sopra non è il genere di messaggio che si scambia via email tra due smartphone; allo stesso modo ricordiamo tutti come i soldati americani in jogging sull’app Strava abbiano rivelato al mondo intero posizione, forma e reticolo stradale interno di alcune tra le basi militari più segrete del mondo. Ecco: immaginate cosa si potrebbe fare lanciando batterie di Pegasus verso centinaia di smartphone posseduti da target di alto profilo, controllando e potendo così anche interferire con tutte le loro comunicazioni.

Pegasus, cavallo vs giornalisti

Abbiamo letto sulla cronaca che decine di giornalisti sono risultati positivi al Pegasus. Ora le conseguenti indagini, le interrogazioni parlamentari e le attività messe in essere dalle strutture governative e private ci diranno forse qualcosa in più sull’origine e sulla natura di questi eventi. Tuttavia, non è difficile pensare che qualcuno voglia controllare l’informazione a scopi politici, sociali e militari. Amnesty International ha condotto uno screening su un gruppo di giornalisti colpiti da Pegasus e ha divulgato l’informazione. Di tanto in tanto viene aggiornato su GitHub anche un software revealer per Pegasus, il quale partendo da un backup statico non crittografato di un device esegue dei controlli basati su RegEx per segnalare la presenza dell’indesiderato ospite; di base il tool cerca alcune stringhe di byte caratteristiche del vettore di attacco al fine di capire se il backup risulti infetto.

Ma ora ci dobbiamo chiedere se, presso la Nso, nessuno sviluppatore pagato decine di migliaia di euro al mese è al corrente del tool di revealing e non possa modificare la forma delle stringhe contenute nel software Pegasus. L’autore non ha alcun dubbio sul fatto che, non più di 30 minuti dopo la pubblicazione del codice di revealing, tutti i Pegasus in esercizio provvederanno a modificare il loro footprint applicativo per sfuggire allo strumento di diagnostica.

Successivamente ci dobbiamo interrogare sul numero di software Pegasus attualmente in esercizio nel mondo, sul numero di target infettati, sul numero di potenziali obiettivi di alto profilo monitorati da questa modern marvel della tecnica e sulla capacità strategico-operativa di chi controlla questo battaglione di cyber-software ad altissimi potenziali. Per questo l’autore non ha invece una risposta conclusiva, resta dunque una delle tante domande per cui l’universo non è in grado di fornire una risposta semplice. 

Il mondo, senza dubbio, era un posto più semplice quando i cavalli richiamavano soltanto le schedine verdi del Totip; e forse era anche un posto più sicuro.

The post Che cos’è davvero Pegasus, lo spyware di cui parlano tutti appeared first on Wired.