pegasus - RunkIntel

# Pegasus > [!danger] Spyware de Nacao-Estado - Impacto Global > O Pegasus e o spyware comercial mais notorio do mundo. Desenvolvido pelo [[nso-group|NSO Group]] israelense e vendido exclusivamente para governos, foi documentado em ataques contra **jornalistas, ativistas de direitos humanos, advogados e chefes de estado** em mais de 45 paises. O [[pegasus-project-2021|Pegasus Project]] (2021), coordenado pela Forbidden Stories com apoio da Amnesty International, identificou mais de 50.000 números de telefone em uma lista de alvos potenciais, incluindo alvos no Brasil. ## Visão Geral [[pegasus|Pegasus]] e um implante de vigilancia para dispositivos moveis (iOS e Android) desenvolvido pelo grupo israelense [[nso-group|NSO Group]], com sede em Herzliya, Israel. Fundado em 2010 por Shalev Hulio e Omri Lavie, o NSO Group se descreve como provedor de tecnologia de interceptação licita, mas pesquisas extensas do [[citizen-lab|Citizen Lab]] e da Amnesty International Security Lab documentaram seu uso sistematico contra alvos civis. O Pegasus opera como **Malware-as-a-Service (MaaS) soberano**: o NSO vende licencas a governos (clientes), que operam a infraestrutura de C2 dentro de seus proprios paises. Isso cria camadas de negacao plausivel e complica a atribuicao. O preco de licenciamento foi estimado em até **EUR 13-17 milhões** para 20 infeccoes simultaneas, tornando-o acessivel apenas a atores estatais. | Campo | Detalhe | |-------|---------| | **Tipo** | Spyware comercial / Implante mobile | | **Plataformas** | iOS, Android | | **Vendedor** | NSO Group (Israel) | | **Primeira documentacao** | 2016 (Ahmed Mansoor, EAU) | | **Status** | Ativo (infeccoes confirmadas em 2023) | | **Clientes conhecidos** | Arabia Saudita, UAE, Mexico, India, Azerbaijao, Ruanda, Marrocos, Hungria e outros | ## Como Funciona O Pegasus passou por tres geracoes de vetores de entrega, evoluindo de SMS com links maliciosos para exploits zero-click sofisticados: **Geracao 1 - SMS com link (2016):** Um link malicioso e enviado via SMS. Ao clicar, o alvo e redirecionado para servidores do NSO que exploram vulnerabilidades do navegador Safari para instalar o implante. O pesquisador Ahmed Mansoor identificou este vetor e reportou ao Citizen Lab, levando a descoberta do Pegasus. **Geracao 2 - Network injection (2019):** Em alguns casos, o NSO utilizou equipamentos de injecao de rede em parceria com operadoras de telecomúnicacoes para redirecionar trafego HTTP e entregar exploits sem interação do usuario. **Geracao 3 - Zero-click (2018-presente):** O vetor mais avancado. Exploits automaticos sem nenhuma interação da vitima. Utiliza superficies de ataque em apps de mensagem (iMessage, WhatsApp), Apple Music, e servicos como HomeKit e Find My: - **FORCEDENTRY (2021):** Explorou CVE-2021-30860 no renderizador de PDF CoreGraphics. A técnica abusava do formato JBIG2 para criar um ambiente "Turing completo" dentro do sandbox do BlastDoor, escapando do mecanismo de proteção da Apple. - **PWNYOURHOME (2022):** Exploit em duas fases atacando HomeKit (fase 1) e iMessage (fase 2). - **FINDMYPWN (2022):** Exploit em duas fases usando o servico Find My do iPhone seguido por iMessage. - **BLASTPASS (2023):** Explorou CVE-2023-41064 (buffer overflow em libwebp) e CVE-2023-41061, entregue via anexos `.pkpass` maliciosos no iMessage. Após a instalacao, o Pegasus exfiltra: chamadas telefonicas, SMS, mensagens criptografadas (WhatsApp, Signal, Telegram), emails, fotos, localização GPS em tempo real, capturas de tela, gravacao de audio e video via microfone e camera, senhas e chaves. ## Attack Flow ```mermaid graph TB A["Selecao do alvo Número de telefone Preparação da infraestrutura"] --> B["Vetor de entrega SMS / MITM / Zero-click iMessage / HomeKit / Find My"] B --> C["Exploração Zero-day iOS/Android FORCEDENTRY / BLASTPASS"] C --> D["Escape do sandbox Escalada de privilegios CoreTrust bypass (iOS)"] D --> E["Instalacao do implante Pegasus Agent Sem rastro na UI"] E --> F["C2 operador Servidor no pais cliente CNC anonimizado"] F --> G["Exfiltração Mensagens Signal/WhatsApp Localização GPS em tempo real Audio/video microfone e camera"] classDef target fill:#e74c3c,stroke:#c0392b,color:#fff classDef deliver fill:#e67e22,stroke:#d35400,color:#fff classDef exploit fill:#8e44ad,stroke:#7d3c98,color:#fff classDef persist fill:#2980b9,stroke:#1a5276,color:#fff classDef exfil fill:#27ae60,stroke:#1e8449,color:#fff class A target class B deliver class C,D exploit class E,F persist class G exfil ``` ## Timeline de Exploits ```mermaid timeline title Pegasus - Evolução dos Exploits 2016-2023 2016 : Trident - 3 zero-days iOS : Descoberta por Citizen Lab (Ahmed Mansoor) : Apple patcha em iOS 9.3.5 2019 : WhatsApp CVE-2019-3568 : Exploit zero-click via chamadas VoIP : 1.400 vitimas identificadas 2021 : FORCEDENTRY CVE-2021-30860 : Zero-click em iMessage / PDF JBIG2 : Pegasus Project expoe 50.000 alvos 2022 : PWNYOURHOME - HomeKit + iMessage : FINDMYPWN - Find My + iMessage : Lockdown Mode detecta PWNYOURHOME 2023 : BLASTPASS CVE-2023-41064 / 41061 : Exploit via .pkpass no iMessage : Confirmado contra jornalistas na India ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | Exploit zero-day iOS/Android | FORCEDENTRY, BLASTPASS, PWNYOURHOME | | Execução | Escape de sandbox | CoreTrust bypass, escalada de privilegios | | Coleta | [[t1430-location-tracking\|T1430]] | GPS em tempo real via APIs iOS | | Coleta | [[t1409-access-stored-application-data\|T1409]] | WhatsApp, Signal, Telegram, email | | Coleta | [[t1512-video-capture\|T1512]] | Camera ativada remotamente | | Coleta | [[t1513-screen-capture\|T1513]] | Screenshots automaticas | | Exfiltração | C2 anonimizado | Servidores em cascata para ocultar cliente | | Evasão | Anti-forense | Remoção de logs em versoes 2022+ | ## Relevância LATAM/Brasil O [[pegasus-project-2021|Pegasus Project]] identificou números brasileiros na lista de alvos potenciais. O contexto de uso e relevante: o Brasil possui jornalistas investigativos, defensores de direitos humanos e opositores politicos - perfis historicamente visados por clientes do Pegasus. O governo federal brasileiro nunca confirmou ou negou uso do spyware. Em novembro de 2021, a Apple notificou usuarios em todo o mundo sobre possível targeting por spyware patrocinado por estado - notificacoes recebidas por pessoas no Brasil. O [[cert-br|CERT.br]] e pesquisadores do setor monitoram indicadores de compromisso associados ao Pegasus. > [!warning] Impacto no Ecossistema de Segurança > - **[[financial|Setor financeiro]]**: Executivos e advogados corporativos sao alvos de alto valor > - **[[government|Governo]]**: Funcionarios governamentais e ministros em paises clientes > - **Jornalismo**: Jornalistas investigativos que cobrem corrupcao sao alvos prioritarios > - **Direitos humanos**: Ativistas e defensores de minorias historicamente visados ## Detecção e Defesa **Mobile Verification Toolkit (MVT):** A Amnesty International públicou o MVT, ferramenta open-source para detectar indicadores de Pegasus em backups iOS e dispositivos Android via ADB. Eh a abordagem forense mais confiavel disponível públicamente. **Indicadores de compromisso (IoCs):** - Processos iOS suspeitos: `bh`, `stagingd`, `roleaccountd`, `CategoriesService` - Modificacoes em bancos de dados SQLite do iOS após o exploit - Arquivos `Cache.db` modificados pelo processo `com.apple.coretelephony` - Crashes anomalos em processos `homed` (HomeKit) precedendo exploração **Mitigacoes:** - **Lockdown Mode (iOS 16+):** Reduz drasticamente a superficie de ataque; bloqueou PWNYOURHOME em tempo real - Manter iOS e Android sempre atualizados - exploits sao caros e descontinuados com patches - Reinicializacoes regulares podem interromper implantes sem persistência - Para alvos de alto risco: MVT periodico, Lockdown Mode obrigatorio ## Referências - [1](https://citizenlab.ca/2022/09/triple-threat-nso-groups-pegasus-spyware-returns-in-2022-with-a-trio-of-ios-15-and-ios-16-zero-click-exploit-chains/) Citizen Lab - Triple Threat: NSO Pegasus 2022 (2023) - [2](https://securitylab.amnesty.org/latest/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/) Amnesty International - Forensic Methodology Report: How to Catch Pegasus (2021) - [3](https://securitylab.amnesty.org/latest/2023/12/pegasus-zero-click-exploit-threatens-journalists-in-india/) Amnesty International - BLASTPASS Targets Journalists in India (2023) - [4](https://cert.europa.eu/publications/security-advisories/2023-061/) CERT-EU - Zero-Click Vulnerabilities BLASTPASS (2023) - [5](https://cloud.google.com/blog/topics/threat-intelligence/intellexa-zero-day-exploits-continue) Google TAG - Pegasus FORCEDENTRY Technical Analysis (2021) - [6](https://citizenlab.ca/research/nso-groups-pegasus-spyware-returns-in-2022/) Citizen Lab - NSO Pegasus 2022 Zero-Click Chains (2023)