Identifiera spionprogramvaran Pegasus på din iPhone

Ett omdiskuterat ämne under senare tid har varit spionprogramvaran Pegasus, utvecklat av israeliska firman NSO Group. Denna har utnyttjat sårbarheter i framförallt iPhones för att få fullständig åtkomst till enheter. Bland annat har den utnyttjat en Zero-Click sårbarhet där det enda kravet för framgångsrik kompromettering har varit användning av sårbar applikation eller operativsystem. [1]

NSO Group hävdar att Pegasus endast var utvecklat för att stödja i kontraterrorism och rättsväsende. Däremot har man inte explicit nämnt mål som programvaran tänkt angripa. Vidare har det identifierats att programvaran har använts utanför dessa ramar [2]. Bland annat inkluderades journalister, aktivister och presidenter som mål [3].

Amnesty International Security Lab [4] har utvecklat det forensiska verktyget Mobile Verification Toolkit (MVT) [5] där avsikt är att identifiera potentiella komprometteringar på enheter. Denna vecka tänkte jag prova verktyget för att testa om Pegasus identifieras på min iPhone. Verktyget kan laddas ner enligt instruktion [6].

Det finns ett par sätt att gå tillväga. Dokumentation [6] rekommenderar att jailbreaka iPhone för att kunna genomföra en fullständig filsystemdump. Om jailbreak inte är möjlig, kan man gå vidare genom en iPhone-backup. Vi genomför en krypterad backup via iTunes. Att kryptera sin backup leder till att analysen blir mer precis då mer data extraheras från enheten.

Sedan kan verktyget kan användas på den krypterade backupen. Först behöver vi dekryptera den. Detta gör vi genom följande kommando på Linux:

mvt-ios decrypt-backup -d [Målmapp] -p [Krypteringsnyckel] [Backup-plats]

Exempel:

mvt-ios decrypt-backup -d /home/ubuntu/Downloads/mvt/decrypted/ -p somepassword123 /home/ubuntu/Downloads/mvt/backup/00008030-000249941E92402E

För att analysera den dekrypterade backupen efter Indicators of Compromise (IoCs) kan man ladda ner IoC:er i STIX-format. Jag använde [7] för att ladda ner Pegasus IoC:er.

wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2

Sedan kan backupen analyseras efter Pegasus IoC:er.

mvt-ios check-backup –iocs /home/ubuntu/Downloads/mvt/pegasus.stix2 /home/ubuntu/Downloads/mvt/decrypted/

Vi ser i bilden ovan att vi antingen har INFO eller ERROR på respektive rad. Således identifierades inget relaterat till Pegasus i vår backup. Slutligen kan det nämnas att Apple åtgärdar de kända sårbarheter som Pegasus utnyttjat genom att uppdatera till iOS 14.8 eller högre.

[1 ] – https://theconversation.com/what-is-pegasus-a-cybersecurity-expert-explains-how-the-spyware-invades-phones-and-what-it-does-when-it-gets-in-165382

[2] – https://www.calcalistech.com/ctech/articles/0,7340,L-3912882,00.html

[3] – https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted

[4] – https://www.amnesty.org/en/tech/

[5] – https://github.com/mvt-project/mvt

[6] – https://docs.mvt.re/en/latest/

[7] – https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/pegasus.stix2