Gizlilik katili Pegasus!

Bu yazı NSO grubun pegasus yazılımın forensics raporudur. Apple’ın iosunu delik deşik eden çarpıcı bir teknik açıklama. Blockchainin nasıl gerekli olduğunu gösteren çarpıcı bir rapor. Keyifle incelemeniz ümidiyle. Yunus KABA – Comp. Eng.

Adli Metodoloji Raporu: NSO Grubu’nun Pegasus’u Nasıl Yakalanır

Bu raporun bir kopyası buradan indirilebilir .

Tanıtım

NSO Group, Pegasus casus yazılımının yalnızca “terör ve suç soruşturması” için kullanıldığını  ve “hiçbir iz bırakmadığını” iddia ediyor . Bu Adli Metodoloji Raporu, bu ifadelerin hiçbirinin doğru olmadığını göstermektedir. Bu rapor, Uluslararası Af Örgütü Güvenlik Laboratuvarı’nın teknik desteğiyle Yasak Hikayeler tarafından koordine edilen 10 ülkedeki 17 medya kuruluşundan 80’den fazla gazeteciyi içeren ortak bir soruşturma olan Pegasus Projesi’nin yayınlanmasına eşlik ediyor. [1]

Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı, dünyanın dört bir yanındaki insan hakları savunucuları (HRD’ler) ve gazetecilere ait çok sayıda mobil cihazın derinlemesine adli analizini gerçekleştirdi. Bu araştırma, NSO Group’un Pegasus casus yazılımı kullanılarak gerçekleştirilen yaygın, kalıcı ve devam eden yasadışı gözetim ve insan hakları ihlallerini ortaya çıkardı.

BM İş ve İnsan Hakları Rehber İlkelerinde ortaya konulduğu gibi, NSO Grubu, küresel operasyonları dahilinde insan hakları ihlallerine neden olmamasını veya katkıda bulunmamasını sağlamak ve herhangi bir insan hakları ihlaline yanıt vermek için acilen proaktif adımlar atmalıdır. meydana gelirler. Bu sorumluluğu yerine getirmek için NSO Group, insan hakları konusunda yeterli özeni göstermeli ve İHS’lerin ve gazetecilerin yasa dışı gözetimin hedefi haline gelmemelerini sağlamak için adımlar atmalıdır.

Uluslararası Af Örgütü, bu Adli Metodoloji Raporunda, bilgi güvenliği araştırmacılarına ve sivil topluma bu ciddi tehditleri tespit etme ve bunlara müdahale etme konusunda yardımcı olmak için metodolojisini paylaşmakta ve açık kaynaklı bir mobil adli tıp aracı ve ayrıntılı teknik göstergeler yayınlamaktadır.

Bu rapor, Pegasus casus yazılımı ile hedeflemenin ardından iOS ve Android cihazlarda kalan adli izleri belgelemektedir. Buna, son Pegasus enfeksiyonlarını HRD Ahmed Mansoor’u hedeflemek için kullanılan 2016 Pegasus yüküne bağlayan adli tıp kayıtları da dahildir.

Bu raporda ve eklerinde ayrıntıları verilen Pegasus saldırıları 2014’ten Temmuz 2021’e kadardır. Bunlara hedefle herhangi bir etkileşim gerektirmeyen “sıfır tıklama” saldırıları da dahildir. Sıfır tıklama saldırıları Mayıs 2018’den beri gözlemlendi ve şimdiye kadar devam ediyor. Son zamanlarda, Temmuz 2021’de iOS 14.6 çalıştıran tamamen yamalı bir iPhone 12’ye saldırmak için birden fazla sıfır gününden yararlanan başarılı bir “sıfır tıklama” saldırısı gözlemlendi.

Bu raporun 1 ila 8. bölümleri, bir Pegasus enfeksiyonu sonrasında mobil cihazlarda kalan adli izleri özetlemektedir. Bu kanıt, birçok ülkedeki İHS’lerin ve gazetecilerin telefonlarından toplanmıştır.

Son olarak, 9. bölümde, rapor Pegasus ağ altyapısının 2016’dan bu yana geçirdiği evrimi belgeliyor. NSO Group, birden fazla alan ve sunucu katmanı kullanarak saldırı altyapısını yeniden tasarladı. Tekrarlanan operasyonel güvenlik hataları, Uluslararası Af Örgütü Güvenlik Laboratuvarı’nın bu altyapıya ilişkin sürekli görünürlüğünü sürdürmesine izin verdi  . 700 Pegasus ile ilgili alan adı yayınlıyoruz.

Rapordaki sivil toplum hedeflerinin birçoğunun isimleri güvenlik ve güvenlik nedenleriyle anonimleştirildi. Bu raporda anonim hale getirilen kişilere alfanümerik bir kod adı verilmiştir. 

1. Pegasus ağ enjeksiyon saldırılarını keşfetme

Uluslararası Af Örgütü’nün NSO Grubu’na bağlı Pegasus’a yönelik teknik soruşturması , 2018’de Uluslararası Af Örgütü çalışanı ve Suudi aktivist Yahya Assiri’nin hedef alındığını keşfetmemizin ardından yoğunlaştı . Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı , Fas’ta İHS’lere yönelik saldırıların keşfiyle adli tıp metodolojisini iyileştirmeye başladı . 2019 yılı , 2020’de Faslı bir gazeteciye karşı keşfettiğimiz saldırılarla daha da doğrulandı . Bu ilk bölümde, bu uzlaşmaların keşfedilmesine yol açan süreci detaylandırıyoruz.

Çok sayıda kamu raporu, NSO Group’un müşterilerinin yıllar boyunca Pegasus istismar alanlarıyla SMS mesajları kullandığını belirledi. Sonuç olarak, Uluslararası Af Örgütü’nün 2019 raporunda belgelendiği üzere hedef alınan aktivistlerden biri olan Faslı aktivist Maati Monjib’in telefonuna yönelik analizimizden de benzer mesajlar çıktı .

Ancak, daha sonraki analizlerde Safari’nin tarama geçmişinde kaydedilen şüpheli yönlendirmeleri de fark ettik. Örneğin, bir durumda Maati Monjib Yahoo’yu ziyaret etmeye çalıştıktan sonra garip görünen bir URL’ye yönlendirme fark ettik:

ziyaret kimliğiTarih (UTC)URLKaynak YönlendirmeYönlendirme Hedefi
161192019-07-22 17:42:32.475http://yahoo.fr/boş16120
161202019-07-22 17:42:32.478https://bun54l2b67.get1tn0w. ücretsiz247indirmeler[.]com :30495/szev4hz16119boş

Lütfen dikkat : Bu belge boyunca, yanlışlıkla yapılan tıklamaları ve ziyaretleri önlemek için [.] işaretli kötü amaçlı alanlardan kaçtık .)

URL HTTPS: //bun54l2b67.get1tn0w.free247downloads com [.]: 30.495 / szev4hz hemen nedeniyle özellikle bir 4 seviye alt alan, standart dışı bir yüksek port numarası varlığı, kuşkulu görünen ve bağlantılar için rasgele bir tanım içindeki ihtiva NSO Group’un Pegasus’u ile bağlantılı olarak daha önce belgelenen SMS mesajlarında. Yukarıdaki tabloda görebileceğiniz gibi, Yahoo ziyareti hemen 16120 veritabanı kimliğine sahip bu şüpheli URL’ye yönlendirildi.

Bizim yılında Ekim 2019 raporunda, biz ağ enjeksiyon saldırıları sonucu olduğu bu yönlendirmeler belirlenen nasıl detay, mobil operatör yerleştirilen sahte baz istasyonları, ya da özel ekipman sayesinde olarak taktik cihazlar aracılığıyla ya gerçekleştirildi. Aylar sonra, 2020 raporumuzda belgelendiği gibi hedef alınan Faslı bağımsız gazeteci Omar Radi’nin iPhone’unu analiz ettiğimizde, free247downloads[.]com alan adını da içeren benzer kayıtlar bulduk .

Kasım 2019’da, Uluslararası Af Örgütü’nün ilk raporunun ardından yeni bir alan adı urlpush[.]net kaydedildi. Daha sonra https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj URL’sine benzer yönlendirmelere dahil olduğunu gördük.

Safari geçmiş kayıtları genellikle kısa ömürlü ve birkaç ay sonra kaybolsa da (ayrıca potansiyel olarak kötü amaçlı yazılımlar tarafından kasıtlı olarak temizlenmiş olsa da), yine de NSO Group’un bulaşma alanlarını Omar Radi’nin telefonunun Safari’de görünmeyen diğer veritabanlarında bulabildik. Tarih. Örneğin, Pegasus tarafından bozulmadan bırakılan Safari’nin Favicon.db veritabanı aracılığıyla ziyaretleri belirleyebiliriz :

Tarih (UTC)   URLSimge URL’si
2019-02-11 14:45:53https://d9z3sz93x5ueidq3.get1tn0w.free247downloads[.]com:3897/rdEN5YPhttps://d9z3sz93x5ueidq3.get1tn0w.free247downloads[.]com:30897/favicon.ico
2019-09-13 17:01:38https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse#011356570257117296834845704022338973133022433397236https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/favicon.ico
2019-09-13 17:01:56https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse#068099561614626278519925358638789161572427833645389https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/favicon.ico
2020-01-17 11:06:32https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj#074196419827987919274001548622738919835567483259462324https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/favicon.ico
2020-01-27 11:06:24https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj#074196419827987919274001548622738919835556748325946https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/favicon.ico

Fas’taki Pegasus saldırılarına ilişkin 2020 raporumuzun Teknik Ekinde açıklandığı gibi , bu yönlendirmeler yalnızca hedef tarayıcı uygulamasıyla internette gezinirken değil, diğer uygulamaları kullanırken de gerçekleşir. Örneğin, bir vakada Uluslararası Af Örgütü, Omar Radi Twitter uygulamasını kullanırken bir ağ enjeksiyonu tespit etti. Zaman çizelgesinde paylaşılan bir bağlantı önizlenirken, bir Safari Web Görünümü yüklemek için com.apple.SafariViewService hizmeti çağrıldı ve bir yeniden yönlendirme oluştu.

Bu nedenle, uygulamaya özel WebKit yerel depolamasında, IndexedDB klasörlerinde ve daha fazlasında free247downloads[.]com ve urlpush[.]net alan adlarını içeren ek kayıtları bulabiliriz . Birden çok durumda IndexedDB dosyaları, ağ enjeksiyonunun Pegasus Kurulum Sunucusuna yeniden yönlendirilmesinden kısa bir süre sonra Safari tarafından oluşturulmuştur.

Ayrıca, Safari’nin Oturum Kaynağı günlükleri, Safari’nin tarama geçmişinde tutarlı bir şekilde görünmeyen ek izler sağlar. Safari’nin tam yönlendirme zincirlerini kaydetmediği ve yalnızca yüklenen son sayfayı gösteren geçmiş kayıtlarını tutabileceği anlaşılıyor. Analiz edilen telefonlardan kurtarılan Oturum Kaynağı günlükleri, ek hazırlama etki alanlarının, sonunda enfeksiyon sunucularına yol açan trambolinler olarak kullanıldığını göstermektedir. Aslında, bu günlükler, bu yazının başında tanımladığımız Maati Monjib’e karşı ilk ağ enjeksiyonunun aynı zamanda documentpro[.]org alan adını da içerdiğini ortaya koyuyor :

Kaynak YönlendirmeMenşeiYönlendirme Hedefi
yahoo.frbelge pro[.]orgücretsiz247indirmeler[.]com

Maati Monjib http://yahoo.fr adresini ziyaret etti ve bir ağ enjeksiyonu, daha fazla free247downloads[.]com’a yönlendirmeden ve sömürüye devam etmeden önce tarayıcıyı zorla documentpro[.]org’a yönlendirdi.

Benzer şekilde, farklı bir vesileyle, Omar Radi Fransız gazetesi Le Parisien’in web sitesini ziyaret etti ve bir ağ enjeksiyonu onu tahmilmilafate[.]com ve sonunda free247downloads[.]com’a yönlendirdi. Tahmilmilafat[.]info’nun da aynı şekilde kullanıldığını gördük :

Kaynak YönlendirmeMenşeiYönlendirme Hedefi
leparisien.frtahmilmilafat[.]comücretsiz247indirmeler[.]com

Uluslararası Af Örgütü’nün Ocak 2020’de Omar Radi’ye karşı gözlemlediği en son girişimlerde, telefonu baramije[.]net alan adından geçen gnyjv1xltx.info8fvhgl3.urlpush[.]net adresindeki bir istismar sayfasına yönlendirildi . baramije[.]net etki alanı urlpush[.]net’ten bir gün önce kaydedildi ve açık kaynaklı Textpattern CMS kullanılarak bir tuzak web sitesi kuruldu.

Ağ etkinliğinin izleri, mevcut tek uzlaşma göstergesi değildi ve iPhone’ların daha fazla incelenmesi, Uluslararası Af Örgütü’nün analiz ettiği ve virüs bulaştığını tespit ettiği sonraki tüm iPhone’lara özgü tutarlı bir modelin oluşturulmasına yol açan yürütülen süreçleri ortaya çıkardı.

2. Pegasus’un BridgeHead ve diğer kötü niyetli işlemleri ortaya çıkıyor

Uluslararası Af Örgütü, Citizen Lab ve diğerleri, öncelikle Pegasus casus yazılım saldırılarını, saldırıları gerçekleştirmek için kullanılan alan adlarına ve diğer ağ altyapısına bağladı. Ancak Pegasus casus yazılımının geride bıraktığı adli kanıtlar, bu saldırıları NSO Group’un teknolojisine atfetmek için başka bir bağımsız yol sağlar.

iOS , cihazda depolanan “ DataUsage.sqlite ” ve “ netusage.sqlite ” adlı iki SQLite veritabanı dosyasında işlem yürütmelerinin ve ilgili ağ kullanımının kayıtlarını tutar . İlkinin iTunes yedeklemesinde mevcut olmasına rağmen, ikincisinin mevcut olmadığını belirtmekte fayda var. Ayrıca bu veritabanlarında sadece ağ aktivitesi gerçekleştiren süreçlerin görüneceği unutulmamalıdır.

Hem Maati Monjib’in hem de Omar Radi’nin ağ kullanım veritabanları, “ bh” adı verilen şüpheli bir sürecin kayıtlarını içeriyordu . Bu “bh” süreci, Pegasus Kurulum alanlarına yapılan ziyaretlerin hemen ardından birçok kez gözlemlendi.

Maati Monjib’in telefonunda Nisan 2018’den Mart 2019’a kadar “bh” yürütme kayıtları var:

Yumruk tarihi (UTC)Son tarih (UTC)İşlem adıWWAN’DAÇIKIŞİşlem Kimliği
2018-04-29 00:25:122019-03-27 22:45:10bh3319875.0144443.059472

Uluslararası Af Örgütü, Omar Radi’nin telefonunda Şubat ve Eylül 2019 arasında benzer kayıtlar buldu:

Yumruk tarihi (UTC)Son tarih (UTC)İşlem adıWWAN’DAÇIKIŞİşlem Kimliği
2019-02-11 14:45:562019-09-13 17:02:11bh3019409.0147684.050465

En son kaydedilen “bh” uygulaması, başarılı bir ağ enjeksiyonundan birkaç saniye sonra gerçekleşti (daha önce 2019-09-13 17:01:56’da listelenen favicon kayıtlarında görüldüğü gibi).

En önemlisi, Citizen Lab tarafından keşfedilen ve siber güvenlik firması Lookout tarafından derinlemesine analiz edilen BAE insan hakları savunucusu Ahmed Mansoor’a yönelik 2016 saldırılarından elde edilen Pegasus iOS örneğinde “bh” ile ilgili referanslar buluyoruz .

Lookout’un analizinde açıklandığı gibi, 2016’da NSO Group, cihazda kod yürütülmesini sağlamak için iOS JavaScriptCore Binary’deki (jsc) bir güvenlik açığından yararlandı. Aynı güvenlik açığı, yeniden başlatmanın ardından cihazda kalıcılığı korumak için de kullanıldı. İstismar kodu boyunca “bh” ile ilgili referanslar buluyoruz:

var sıkıştırılmış_ bh _addr = shellcode_addr_aligned + shellcode32.byteLength;replacePEMagics(shellcode32, dlsym_addr, sıkıştırılmış_ bh _addr, paket. bh CompressedByteLength);storeU32Array(shellcode32, shellcode_addr);storeU32Array(paket. bh Sıkıştırılmış32, sıkıştırılmış_ bh _addr);

Bu modül Lookout’un analizinde şu şekilde açıklanmıştır:

“bh.c – BZ2_bzDecompress, chmod ve malloc gibi işlevleri kullanarak sonraki aşama yüklerinin sıkıştırılması ve kurbanın iPhone’una uygun şekilde yerleştirilmesiyle ilgili API işlevlerini yükler”

Lookout ayrıca /var/tmp/jb_cfg konumunda bulunan bir yapılandırma dosyasının ikili dosyanın yanına bırakıldığını açıklar. İlginçtir, biz olarak ihraç bu dosyanın yolunu bulmak _kBridgeHeadConfigurationFilePath Pegasus paketin libaudio.dylib dosya bölümünde:

__const:0001AFCC İHRACAT _kBridgeHeadConfigurationFilePath__const:0001AFCC _kBridgeHeadConfigurationFilePath DCD cfstr_VarTmpJb_cfg ; “/var/tmp/jb_cfg”

Bu nedenle, “bh” nin, muhtemelen NSO Group tarafından araç setlerinin bu bileşenine atanan dahili ad olan “BridgeHead” anlamına gelebileceğinden şüpheleniyoruz . 

Omar Radi’nin telefonunun başarılı bir ağ enjeksiyonundan hemen sonra “bh” sürecinin ortaya çıkması, BridgeHead modülünün belirgin amacı ile tutarlıdır. Tarayıcı kullanımını tamamlar, cihazı köklendirir ve eksiksiz Pegasus paketi ile enfeksiyonuna hazırlanır.

2.1 BridgeHead’in ardından ek şüpheli işlemler

Bh bir IndexedDB dosya Pegasus Kurulum Server tarafından oluşturulmuş ve site simgesi giriş Safari tarafından kaydedildi sonraki ilk 11 Şubat 2019 This üzerinde Ömer Radi telefonunda göründü işlem 10 saniyede gerçekleşti. Yaklaşık olarak aynı zamanlarda, com.apple.CrashReporter.plist dosyası /private/var/root/Library/Preferences/ içinde yazılmıştır , bu da muhtemelen kilitlenme günlüklerinin Apple’a geri rapor edilmesini devre dışı bırakacaktır. İstismar zinciri bu aşamada kök izni almıştı.

Bir dakikadan kısa bir süre sonra, önce bir “ rol ile ilgili ” süreç belirir.

Tarih (UTC)Etkinlik
2019-02-11 14:45:45URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897/ için IndexedDB kaydı
2019-02-11 14:45:53URL hxxps//d9z3sz93x5ueidq3.get1tn0w için Safari Favicon kaydı. ücretsiz247indirme[.]com :3897/rdEN5YP
2019-02-11 14:45:54com.apple.CrashReporter.plist yazılarak kilitlenme muhabiri devre dışı bırakıldı
2019-02-11 14:45:56süreç: bh
2019-02-11 14:46:23Süreç: önce roleaboutd
2019-02-11 17:05:24Süreç: roleaboutd son

Omar Radi’nin cihazı 13 Eylül 2019’da tekrar istismar edildi . Kısa bir süre sonra yine bir “ bh ” süreci başladı. Bu süre zarfında com.apple.softwareupdateservicesd.plist dosyası değiştirildi. Bir “ msgacntd” süreci de başlatıldı.

Tarih (UTC)Etkinlik
2019-09-13 17:01:38Safari Favicon record for URL hxxps://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse
2019-09-13 17:02:11Process: bh
2019-09-13 17:02:33Process: msgacntd first
2019-09-13 17:02:35File modified: com.apple.softwareupdateservicesd.plist
2019-09-14 20:51:54Process: msgacntd last

 Based on the timing and context of exploitation, Amnesty International believes the roleaboutd and msgacntd processes are a later stage of the Pegasus spyware which was loaded after a successful exploitation and privilege escalation with the BridgeHead payload.

Similarly, the forensic analysis of Maati Monjib’s phone revealed the execution of more suspicious processes in addition to bh. A process named pcsd and one named fmld appeared in 2018:

Fist dateLast dateProcess NameWWAN INWWAN OUTProcess ID
2018-05-04 23:30:452018-05-04 23:30:45pcsd12305.010173.014946
2018-05-21 23:46:062018-06-4 13:05:43fmld0.0188326.021207

Amnesty International verified that no legitimate binaries of the same names were distributed in recent versions of iOS.

The discovery of these processes on Omar Radi’s and Maati Monjib’s phones later became instrumental for Amnesty International’s continued investigations, as we found processes with the same names on devices of targeted individuals from around the world.

3. Pegasus processes following potential Apple Photos exploitation

Uluslararası Af Örgütü’nün Pegasus Projesi kapsamında yürüttüğü soruşturmalar sırasında, yukarıda bahsedilen “bh” işleminin farklı saldırı vektörleri aracılığıyla ele geçirilen cihazlarda kaydedildiği başka durumlar keşfettik.

Bir örnekte, bir Fransız insan hakları avukatının (KOD: FRHRL1) telefonu ele geçirildi ve “bh” işlemi, iOS Fotoğraflar uygulaması ( com.apple.mobileslideshow ) için ağ trafiğinin ilk kez kaydedilmesinden saniyeler sonra yürütüldü . Yine başarılı bir exploitten sonra cihaza bir com.apple.CrashReporter.plist dosyası yazılarak kilitlenme raporlaması devre dışı bırakıldı .

2019-10-29 09:04:32İşlem: önce mobileslideshow/com.apple.mobileslideshow
2019-10-29 09:04:58süreç: bh
2019-10-29 09:05:08com.apple.CrashReporter.plist düştü
2019-10-29 09:05:53süreç: mptbd

iOS Fotoğraflar uygulaması için bir sonraki ve son ağ etkinliği, yine cihazda kötü amaçlı işlemlerin yürütülmesinden önce 18 Aralık 2019’da kaydedildi.

2019-12-18 08:13:33İşlem: mobileslideshow/com.apple.mobileslideshow son
2019-12-18 08:13:47süreç: bh
2019-12-18 11:50:15süreç: ckeblld

Ayrı bir durumda, Mayıs 2020’de bir Fransız gazetecinin iPhone’undaki (KOD: FRJRN1) “mobileslideshow” ve “bh” işlemleriyle benzer bir kalıp belirledik:

2020-05-24 15:44:21İşlem: önce mobileslideshow/com.apple.mobileslideshow
2020-05-24 15:44:39süreç: bh
2020-05-24 15:46:51İşlem: fservernetd
 
2020-05-27 16:58:31İşlem: mobileslideshow/com.apple.mobileslideshow son
2020-05-27 16:58:52süreç: bh
2020-05-27 18:00:50Süreç: ckkeyrollfd

Amnesty International was not able to capture payloads related this exploitation but suspects that the iOS Photos app or the Photostream service were used as part of an exploit chain to deploy Pegasus. The apps themselves may have been exploited or their functionality misused to deliver a more traditional JavaScript or browser exploit to the device.

As you can see from the tables above, additional process names such as mptbdckeblldfservernetd, and ckkeyrollfd appear right after bh. As with fmld and pcsd, Amnesty International believes these to be additional payloads downloaded and executed after a successful compromise. As our investigations progressed, we identified dozens of malicious process names involved in Pegasus infections.

Additionally, Amnesty International found the same iCloud account bogaardlisa803[@]gmail.com recorded as linked to the “com.apple.private.alloy.photostream” service on both devices. Purposefully created iCloud accounts seem to be central to the delivery of multiple “zero-click” attack vectors in many recent cases of compromised devices analysed by Amnesty International.

4. An iMessage zero-click 0day used widely in 2019

While SMS messages carrying malicious links were the tactic of choice for NSO Group’s customers between 2016 and 2018, in more recent years they appear to have become increasingly rare. The discovery of network injection attacks in Morocco signalled that the attackers’ tactics were indeed changing. Network injection is an effective and cost-efficient attack vector for domestic use especially in countries with leverage over mobile operators. However, while it is only effective on domestic networks, the targeting of foreign targets or of individuals in diaspora communities also changed. 

From 2019 an increasing amount of vulnerabilities in iOS, especially iMessage and FaceTime, started getting patched thanks to their discoveries by vulnerability researchers, or to cybersecurity vendors reporting exploits discovered in-the-wild.

In response, Amnesty International extended its forensic methodology to collect any relevant traces by iMessage and FaceTime. iOS keeps a record of Apple IDs seen by each installed application in a plist file located at /private/var/mobile/Library/Preferences/com.apple.identityservices.idstatuscache.plist. This file is also typically available in a regular iTunes backup, so it can be easily extracted without the need of a jailbreak.

These records played critical role in later investigations. In many cases we discovered suspected Pegasus processes executed on devices immediately following suspicious iMessage account lookups. For example, the following records were extracted from the phone of a French journalist (CODE FRJRN2):

2019-06-16 12:08:44Lookup of bergers.o79@gmail.com by com.apple.madrid (iMessage)
2019-08-16 12:33:52Lookup of bergers.o79@gmail\x00\x00om by com.apple.madrid (iMessage)
2019-08-16 12:37:55The file Library/Preferences/com.apple.CrashReporter.plist is created within RootDomain
2019-08-16 12:41:25The file Library/Preferences/roleaccountd.plist is created within RootDomain
2019-08-16 12:41:36Process: roleaccountd
2019-08-16 12:41:52Process: stagingd                    
2019-08-16 12:49:21Process: aggregatenotd

Uluslararası Af Örgütü’nün birden fazla cihaz üzerinde yaptığı adli analizde benzer kayıtlar bulundu. Çoğu durumda, aynı iMessage hesabı, hedeflenen birden fazla cihazda yeniden oluşur ve bu, bu cihazların aynı operatör tarafından hedef alındığını gösterir. Ek olarak, rol hesaplanan ve aşamalandırılan süreçler , diğerleriyle birlikte tutarlı bir şekilde gerçekleşir.

Örneğin, bir Macar gazetecinin iPhone’u (KOD HUJRN1) bunun yerine aşağıdaki kayıtları gösterdi:

2019-09-24 13:26:15Ve Arama jessicadavies1345@outlook.com com.apple.madrid ile (iMessage)
2019-09-24 13:26:51Ve Arama emmadavies8266@gmail.com com.apple.madrid ile (iMessage)
2019-09-24 13:32:10Süreç: roleaccountd
2019-09-24 13:32:13Süreç: evreleme

Bu durumda, bazı ağ etkinlikleri gerçekleştiren ilk şüpheli işlemler, ilk aramadan 5 dakika sonra kaydedildi. Com.apple.CrashReporter.plist dosya önceki başarılı enfeksiyondan sonra zaten bu cihazda mevcuttu ve yine yazılmamış. 

Yine başka bir Macar gazetecinin (CODE HUJRN2) iPhone’u, aynı iMessage hesapları için aramaların yanı sıra, roleaccountd ve stagingd ile birlikte çok sayıda başka işlemi gösterir :

2019-07-15 12:01:37mailto:e \x00\x00 adavies8266@gmail.com’un com.apple.madrid tarafından aranması (iMessage)
2019-07-15 14:21:40Süreç: hesappfd
2019-08-29 10:57:43Süreç: roleaccountd
2019-08-29 10:57:44Süreç: evreleme
2019-08-29 10:58:35Süreç: launchrexd
2019-09-03 07:54:26Süreç: roleaccountd
2019-09-03 07:54:28Süreç: evreleme
2019-09-03 07:54:51süreç: seraaccountd
2019-09-05 13:26:38süreç: seraaccountd
2019-09-05 13:26:55süreç: yanlış bağlantı
2019-09-10 06:09:04Ve Arama emmadavies8266@gmail.com com.apple.madrid ile (iMessage)
2019-09-10 06:09:47Ve Arama jessicadavies1345@outlook.com com.apple.madrid ile (iMessage)
2019-10-30 14:09:51Süreç: nehelprd

It is interesting to note that in the traces Amnesty International recovered from 2019, the iMessage lookups that immediately preceded the execution of suspicious processes often contained two-bytes 0x00 padding in the email address recorded by the ID Status Cache file.

5. Apple Music leveraged to deliver Pegasus in 2020

In mid-2021 Amnesty International identified yet another case of a prominent investigative journalist from Azerbaijan (CODE AZJRN1) who was repeatedly targeted using Pegasus zero-click attacks from 2019 until mid-2021.

Yet again, we found a similar pattern of forensic traces on the device following the first recorded successful exploitation:

2019-03-28 07:43:14File: Library/Preferences/com.apple.CrashReporter.plist from RootDomain
2019-03-28 07:44:03File: Library/Preferences/roleaccountd.plist from RootDomain
2019-03-28 07:44:14Process: roleaccountd
2019-03-28 07:44:14Process: stagingd

Interestingly we found signs of a new iOS infection technique being used to compromise this device. A successful infection occurred on 10th July 2020:

2020-07-06 05:22:21Lookup of f\x00\x00ip.bl82@gmail.com by iMessage (com.apple.madrid)
2020-07-10 14:12:09Pegasus request by Apple Music app: https://x1znqjo0x8b8j.php78mp9v.opposedarrangement[.]net:37271/afAVt89Wq/stadium/pop2.html?key=501_4&n=7
2020-07-10 14:12:21Process: roleaccountd
2020-07-10 14:12:53Process: stagingd
2020-07-13 05:05:17Pegasus request by Apple Music app:
https://4n3d9ca2st.php78mp9v.karşı düzenleme[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7

Pegasus cihazda kullanıma sunulmadan kısa bir süre önce Apple Music hizmeti için kaydedilen ağ trafiğini gördük. Bu HTTP istekleri, /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache konumunda bulunan bir ağ önbellek dosyasından kurtarıldı Cihazı jailbreak yaparak aldığımız db.

Uluslararası Af Örgütü, Apple Music’in ilk enfeksiyonu yaymak için kendisinin istismar edilip edilmediğini veya bunun yerine uygulamanın bir sanal alan kaçış ve ayrıcalık yükseltme zincirinin bir parçası olarak kötüye kullanılıp kullanılmadığını adli tıptan belirleyemez. Son araştırmalar , iTunes Store uygulaması gibi yerleşik uygulamaların, kısıtlayıcı Safari uygulama sanal alanından kaçarken bir tarayıcı istismarını çalıştırmak için kötüye kullanılabileceğini göstermiştir.

Ancak en önemlisi, Apple Music uygulaması tarafından gerçekleştirilen HTTP isteği , daha önce NSO Group’un Pegasus ağ altyapısına ait olduğunu belirlediğimiz zıt düzenleme[.]net etki alanına işaret ediyor . Bu alan, Fas’taki ağ enjeksiyon saldırılarını keşfetmemizin ardından İnternet genelinde taramalar yaparken tasarladığımız ayırt edici bir parmak iziyle eşleşti (bkz. bölüm 9).

Ek olarak, bu URL’ler, sonraki bölümde açıklanacağı gibi, yıllar boyunca Pegasus saldırılarında yer aldığını tespit ettiğimiz diğer URL’lere özgü tipik özellikler göstermektedir.

6. Megalodon: 2021’de iMessage sıfır tıklama 0 gün dönüşü

Uluslararası Af Örgütü’nün birkaç cihaz üzerinde yürüttüğü analiz, 2019’da gözlemlediğimiz saldırılara benzer saldırıların izlerini ortaya koyuyor. Bu saldırılar Temmuz 2021 gibi yakın bir tarihte gözlemlendi. Uluslararası Af Örgütü, Pegasus’un şu anda, en sonuncusu aracılığıyla işlevsel kalan sıfır tıklamalı açıklardan yararlanma yoluyla gerçekleştirildiğine inanıyor. Yazma sırasında mevcut iOS sürümü (Temmuz 2021).

Bir Fransız insan hakları avukatının (CODE FRHRL2) iPhone’unda, kurbanın bilmediği şüpheli bir iMessage hesabının arandığını ve ardından com.apple.coretelephony işlemi tarafından gerçekleştirilen bir HTTP isteğini gözlemledik . Bu, telefonla ilgili tüm görevlerde yer alan ve muhtemelen bu saldırıda istismar edilenler arasında yer alan bir iOS bileşenidir. /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db konumunda diskte depolanan ve istek ve yanıtla ilgili meta verileri içeren bir önbellek dosyasında bu HTTP isteğinin izlerini bulduk . Telefon, model 9,1 (iPhone 7) ve iOS yapı numarası 18C66 dahil olmak üzere cihaz hakkında bilgi gönderdi.(sürüm 14.3) Amazon CloudFront tarafından sunulan bir hizmete geçiş yaptı ve bu, NSO Group’un son aylarda AWS hizmetlerini kullanmaya geçtiğini gösteriyor. Bu saldırı sırasında, daha yeni iOS sürüm 14.4 yalnızca birkaç hafta önce yayınlanmıştı.

Tarih (UTC)Etkinlik
2021-02-08 10:42:40Ve Arama linakeller2203@gmail.com iMessage ile (com.apple.madrid)
2021-02-08 11:27:10com.apple.coretelephony, https://d38j2563clgblt.cloudfront[.]net/fV2GsPXgW//stadium/megalodon?m=iPhone9,1&v=18C66 için bir HTTP isteği gerçekleştirir
2021-02-08 11:27:21Süreç: kapı bekçisi
2021-02-08 11:27:22gatekeeperd, https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000 için bir HTTP isteği gerçekleştirir
2021-02-08 11:27:23Süreç: kapı bekçisi

Cache.db com.apple.coretelephony için dosya ikili verilerin ~ 250KB bir indirme olduğu ortaya çıktı HTTP yanıtı hakkında ayrıntılar içerir. Gerçekten de indirilen ikiliyi fsCachedData alt klasöründe bulduk , ancak ne yazık ki şifrelenmişti. Uluslararası Af Örgütü, bunun kapı bekçisi olarak başlatılan yük olduğuna inanıyor .

Uluslararası Af Örgütü daha sonra, çok benzer kayıtlar içeren bir gazetecinin iPhone’unu (CODE MOJRN1) analiz etti. Bu cihaz, Şubat ve Nisan 2021 arasında ve iOS sürümlerinde defalarca kez kullanıldı. En son girişim, aşağıdaki uzlaşma göstergelerini gösterdi:

Tarih (UTC)                           Etkinlik
2021-04-02 10:15:38Ve Arama linakeller2203@gmail.com iMessage ile (com.apple.madrid)
2021-04-02 10:36:00com.apple.coretelephony, https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/megalodon?m=iPhone8,1&v=18D52&u=[REDACTED] için bir HTTP isteği gerçekleştirir
2021-04-02 10:36:08Process PDPDialogs , https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk için bir HTTP isteği gerçekleştirir
2021-04-02 10:36:16Process PDPDialogs , https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/01-00000000 adresine bir HTTP isteği gerçekleştirir
2021-04-02 10:36:16com.apple.coretelephony, https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/cszjcft=frzaslm için bir HTTP isteği gerçekleştirir
2021-04-02 10:36:35Process: gatekeeperd
2021-04-02 10:36:45Process: rolexd

As is evident, the same iMessage account observed in the previous separate case was involved in this exploitation and compromise months later. The same CloudFront website was contacted by com.apple.coretelephony and the additional processes executed, downloaded and launched additional malicious components.

The initial check-in indicates the compromised iPhone 6s was running iOS 14.4 (build number 18D52) at the time of the attack. Although versions 14.4.1 and 14.4.2 were already available then, they only addressed vulnerabilities in WebKit, so it is safe to assume the vulnerability leveraged in these iMessage attacks was exploited as a 0-day.

It is worth noting that among the many other malicious process names observed executed on this phone we see msgacntd, which we also found running on Omar Radi’s phone in 2019, as documented earlier.

In addition, it should be noted that the URLs we have observed used in attacks throughout the last three years show a consistent set of patterns. This supports Amnesty International’s analysis that all three URLs are in fact components of Pegasus customer attack infrastructure. The Apple Music attack from 2020 shows the same 4th level domain structure and non-standard high port number as the 2019 network injection attack. Both the free247downloads[.]com and opposedarrangements[.]net domains matched our Pegasus V4 domain fingerprint.

Additionally, the Apple Music attack URL and the 2021 Megalodon attack URLs share a distinctive pattern. Both URL paths start with a random identifier tied to the attack attempt followed by the word “stadium”.

Attack   URL
Network injection (2019)https://2far1v4lv8.get1tn0w.free247downloads[.]com:31052/meunsnyse
Apple Music attack (2020)https://4n3d9ca2st.php78mp9v.opposedarrangement[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7                                                    
iMessage zero-click (2021)https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk

Amnesty International reported this information to Amazon, who informed us they “acted quickly to shut down the implicated infrastructure and accounts”.[2]

The iPhone 11 of a French human rights activist (CODE FRHRD1) also showed an iMessage look-up for the account linakeller2203[@]gmail.com on June 11th 2021 and malicious processes afterwards. The phone was running iOS 14.4.2 and was upgraded to 14.6 the following day.

Most recently, Amnesty International has observed evidence of compromise of the iPhone XR of an Indian journalist (CODE INJRN1) running iOS 14.6 (latest available at the time of writing) as recently as 16th June 2021. Lastly, Amnesty International has confirmed an active infection of the iPhone X of an activist (CODE RWHRD1) on June 24th 2021, also running iOS 14.6. While we have not been able to extract records from Cache.db databases due to the inability to jailbreak these two devices, additional diagnostic data extracted from these iPhones show numerous iMessage push notifications immediately preceding the execution of Pegasus processes.

The device of a Rwandan activist (CODE RWHRD1) shows evidence of multiple successful zero-click infections in May and June 2021. We can see one example of this on 17 May 2021. An unfamiliar iMessage account is recorded and in the following minutes at least 20 iMessage attachment chunks are created on disk.

Date (UTC)  Event
2021-05-17 13:39:16Lookup for iCloud account benjiburns8[@]gmail.com (iMessage)
2021-05-17 13:40:12File: /private/var/mobile/Library/SMS/Attachments/dc/12/DEAE6789-0AC4-41A9-A91C-5A9086E406A5/.eBDOuIN1wq.gif-2hN9
2021-05-17 13:40:21File: /private/var/mobile/Library/SMS/Attachments/41/01/D146B32E-CA53-41C5-BF61-55E0FA6F5FF3/.TJi3fIbHYN.gif-bMJq
2021-05-17 13:44:19File: /private/var/mobile/Library/SMS/Attachments/42/02/45F922B7-E819-4B88-B79A-0FEE289701EE/.v74ViRNkCG.gif-V678

Amnesty International found no evidence that the 17 May attack was successful. Later attacks on the 18 June and 23 June were successful and led to Pegasus payloads being deployed on the device.

Initially, many iMessage (com.apple.madrid) push notifications were received, and attachment chunks were written to disk. The following table show a sample of the 48 attachment files found on the filesystem.

Date (UTC)  Event    
2021-06-23 20:45:008 push notifications for topic com.apple.madrid (iMessage)
2021-06-23 20:46:0046 push notifications for topic com.apple.madrid (iMessage)
2021-06-23 20:46:19File: /private/var/tmp/com.apple.messages/F803EEC3-AB3A-4DC2-A5F1-9E39D7A509BB/.cs/ChunkStoreDatabase
2021-06-23 20:46:20File: /private/var/mobile/Library/SMS/Attachments/77/07/4DFA8939-EE64-4CB5-A111-B75733F603A2/.8HfhwBP5qJ.gif-u0zD
2021-06-23 20:53:0017 push notifications for topic com.apple.madrid (iMessage)
2021-06-23 20:53:54File: /private/var/tmp/com.apple.messages/50439EF9-750C-4449-B7FC-851F28BD3BD3/.cs/ChunkStoreDatabase
2021-06-23 20:53:54File: /private/var/mobile/Library/SMS/Attachments/36/06/AA10C840-1776-4A51-A547-BE78A3754773/.7bb9OMWUa8.gif-UAPo
2021-06-23 20:54:0054 push notifications for topic com.apple.madrid (iMessage)

A process crash occurred at 20:48:56 which resulted in the ReportCrash process starting followed by restarts of multiple processes related to iMessage processing:

Date (UTC)  Event    
2021-06-23 20:48:56Process with PID 1192 and name ReportCrash
2021-06-23 20:48:56Process with PID 1190 and name IMTransferAgent
2021-06-23 20:48:56Process with PID 1153 and name SCHelper
2021-06-23 20:48:56Process with PID 1151 and name CategoriesService
2021-06-23 20:48:56Process with PID 1147 and name MessagesBlastDoorService
2021-06-23 20:48:56Process with PID 1145 and name NotificationService

A second set of crashes and restarts happened five minutes later. TheReportCrash process was started along with processes related to parsing of iMessage content and iMessage custom avatars.

Date (UTC)  Event    
2021-06-23 20:54:16Process with PID 1280 and name ReportCrash
2021-06-23 20:54:16Process with PID 1278 and name IMTransferAgent
2021-06-23 20:54:16Process with PID 1266 and name com.apple.WebKit.WebContent
2021-06-23 20:54:16Process with PID 1263 and name com.apple.accessibility.mediaac
2021-06-23 20:54:16Process with PID 1262 and name CategoriesService
2021-06-23 20:54:16Process with PID 1261 and name com.apple.WebKit.Networking
2021-06-23 20:54:16Process with PID 1239 and name avatarsd

Shortly afterwards at 20:54 the exploitation succeeded, and we observe that a network request was made by the com.apple.coretelephony process causing the Cache.db file to be modified. This matches the behaviour Amnesty International hasseen in the other Pegasus zero-click attacks in 2021. 

Date (UTC)   Event    
2021-06-23 20:54:35File: /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db-shm
2021-06-23 20:54:35File: /private/var/wireless/Library/Caches/com.apple.coretelephony/fsCachedData/3C73213F-73E5-4429-AAD9-0D7AD9AE83D1
2021-06-23 20:54:47File: /private/var/root/Library/Caches/appccntd/Cache.db
2021-06-23 20:54:53File: /private/var/tmp/XtYaXXY
2021-06-23 20:55:08File: /private/var/tmp/CFNetworkDownload_JQeZFF.tmp
2021-06-23 20:55:09File: /private/var/tmp/PWg6ueAldsvV8vZ8CYpkp53D
2021-06-23 20:55:10File: /private/var/db/com.apple.xpc.roleaccountd.staging/otpgrefd
2021-06-23 20:55:10File: /private/var/tmp/vditcfwheovjf/kk
2021-06-23 20:59:35Process: appccntd
2021-06-23 20:59:35Process: otpgrefd

Lastly, the analysis of a fully patched iPhone 12 running iOS 14.6 of an Indian journalist (CODE INJRN2) also revealed signs of successful compromise. These most recent discoveries indicate NSO Group’s customers are currently able to remotely compromise all recent iPhone models and versions of iOS.

We have reported this information to Apple, who informed us they are investigating the matter.[3]

7. Incomplete attempts to hide evidence of compromise

Several iPhones Amnesty International has inspected indicate that Pegasus has recently started to manipulate system databases and records on infected devices to hide its traces and and impede the research efforts of Amnesty International and other investigators.

Interestingly, this manipulation becomes evident when verifying the consistency of leftover records in the DataUsage.sqlite and netusage.sqlite SQLite databases. Pegasus has deleted the names of malicious processes from the ZPROCESS table in DataUsage database but not the corresponding entries from the ZLIVEUSAGE table. The ZPROCESS table stores rows containing a process ID and the process name. The ZLIVEUSAGE table contains a row for each running process including data transfer volume and the process ID corresponding to the ZPROCESS entry. These inconsistencies can be useful in identifying times when infections may have occurred. Additional Pegasus indicators of compromise were observed on all devices where this anomaly was observed.  No similar inconsistencies were found on any clean iPhones analysed by Amnesty International.

Although most recent records are now being deleted from these databases, traces of recent process executions can also be recovered also from additional diagnostic logs from the system.                                                                               

For example, the following records were recovered from the phone of an HRD (CODE RWHRD1):

Date (UTC)Event
2021-01-31 23:59:02Process: libtouchregd (PID 7354)
2021-02-21 23:10:09Process: mptbd (PID 5663)
2021-02-21 23:10:09Process: launchrexd (PID 4634)
2021-03-21 06:06:45Process: roleaboutd (PID 12645)
2021-03-28 00:36:43Process: otpgrefd (PID 2786)
2021-04-06 21:29:56Process: locserviced (PID 5492)
2021-04-23 01:48:56Process: eventfssd (PID 4276)
2021-04-23 23:01:44Process: aggregatenotd (PID 1900)
2021-04-28 16:08:40Process: xpccfd (PID 1218)
2021-06-14 00:17:12Process: faskeepd (PID 4427)
2021-06-14 00:17:12Process: lobbrogd (PID 4426)
2021-06-14 00:17:12Process: neagentd (PID 4423)
2021-06-14 00:17:12Process: com.apple.rapports.events (PID 4421)
2021-06-18 08:13:35Process: faskeepd (PID 4427)
2021-06-18 15:31:12Process: launchrexd (PID 1169)
2021-06-18 15:31:12Process: frtipd (PID 1168)
2021-06-18 15:31:12Process: ReminderIntentsUIExtension (PID 1165)
2021-06-23 14:31:39Process: launchrexd (PID 1169)
2021-06-23 20:59:35Process: otpgrefd (PID 1301)
2021-06-23 20:59:35Process: launchafd (PID 1300)
2021-06-23 20:59:35Process: vm_stats (PID 1294)
2021-06-24 12:24:29Process: otpgrefd (PID 1301)

System log files also reveal the location of Pegasus binaries on disk. These file names match those we have consistently observed in the process execution logs presented earlier. The binaries are located inside the folder /private/var/db/com.apple.xpc.roleaccountd.staging/ which is consistent with the findings by Citizen Lab in a December 2020 report.

/private/var/db/com.apple.xpc.roleaccountd.staging/launchrexd/EACA3532-7D15-32EE-A88A-96989F9F558A

Amnesty International’s investigations, corroborated by secondary information we have received, seem to suggest that Pegasus is no longer maintaining persistence on iOS devices. Therefore, binary payloads associated with these processes are not recoverable from the non-volatile filesystem. Instead, one would need to be able to jailbreak the device without reboot, and attempt to extract payloads from memory.

8. Pegasus processes disguised as iOS system services

Across the numerous forensic analyses conducted by Amnesty International on devices around the world, we found a consistent set of malicious process names executed on compromised phones. While some processes, for example bh, seem to be unique to a particular attack vector, most Pegasus process names seem to be simply disguised to appear as legitimate iOS system processes, perhaps to fool forensic investigators inspecting logs.

Several of these process names spoof legitimate iOS binaries:

Pegasus Process NameSpoofed iOS Binary
ABSCarryLogASPCarryLog
aggregatenotdaggregated
ckkeyrollfdckkeyrolld
com.apple.Mappit.SnapshotServicecom.apple.MapKit.SnapshotService
com.apple.rapports.eventscom.apple.rapport.events
CommsCenterRootHelperCommCenterRootHelper
Diagnostic-2543Diagnostic-2532
eventsfssdfseventsd
fmldfmfd
JarvisPluginMgrJarvisPlugin
launchafdlaunchd
MobileSMSdMobileSMS
nehelprdnehelper
pcsdcom.apple.pcs             
PDPDialogsPPPDialogs
ReminderIntentsUIExtensionRemindersIntentsUIExtension
rlaccountdxpcroleaccountd
roleaccountdxpcroleaccountd

The list of process names we associate with Pegasus infections is available among all other indicators of compromise on our GitHub page.

9. Unravelling the Pegasus attack infrastructure over the years

The set of domain names, servers and infrastructure used to deliver and collect data from NSO Group’s Pegasus spyware has evolved several times since first publicly disclosed by Citizen Lab in 2016.

In August 2018, Amnesty International published a report “Amnesty International Among Targets of NSO-powered Campaign which described the targeting of an Amnesty International staff member and a Saudi human rights defender. In this report, Amnesty International presented an excerpt of more than 600 domain names tied to NSO Group’s attack infrastructure. Amnesty International published the full list of domains in October 2018. In this report, we refer to these domains as Pegasus network Version 3 (V3).

The Version 3 infrastructure used a network of VPS’s and dedicated servers. Each Pegasus Installation server or Command-and-Control (C&C) server hosted a web server on port 443 with a unique domain and TLS certificate. These edge servers would then proxy connections through a chain of servers, referred to by NSO Group as the “Pegasus Anonymizing Transmission Network” (PATN).

It was possible to create a pair of fingerprints for the distinctive set of TLS cipher suites supported by these servers. The fingerprint technique is conceptually similar to the JA3S fingerprint technique published by Salesforce in 2019. With that fingerprint, Amnesty International’s Security Lab performed Internet-wide scans to identify Pegasus Installation/infection and C&C servers active in the summer of 2018. 

NSO Group made critical operational security mistakes when setting up their Version 3 infrastructure. Two domains of the previous Version 2 network were reused in their Version 3 network. These two Version 2 domains, pine-sales[.]com and ecommerce-ads[.]org had previously been identified by Citizen Lab. These mistakes allowed Amnesty International to link the attempted attack on our colleague to NSO Group’s Pegasus product. These links were independently confirmed by Citizen Lab in a 2018 report.

NSO Group rapidly shutdown many of their Version 3 servers shortly after the Amnesty International and Citizen Lab’s publications on 1 August 2018.

9.1 Further attempts by NSO Group to hide their infrastructure

In August 2019, the Amnesty International identified another case of NSO Group’s tools being used to target a human rights defender, this time in Morocco. Maati Monjib was targeted with SMS messages containing Version 3 Pegasus links.

Amnesty performed a forensic analysis of his iPhone as described previously. This forensic analysis showed redirects to a new domain name free247downloads.com. These links looked suspiciously similar to infection links previously used by NSO.

Amnesty International confirmed this domain was tied to NSO Group by observing distinctive Pegasus artefacts created on the device shortly after the infection URL was opened. With this new domain in hand, we were able to begin mapping the Pegasus Version 4 (V4) infrastructure.

NSO Group re-factored their infrastructure to introduce additional layers, which complicated discovery. Nevertheless, we could now observe at least 4 servers used in each infection chain.

Validation domain: https://baramije[.]net/[ALPHANUMERIC STRING]
Exploit domain:      https://[REDACTED].info8fvhgl3.urlpush[.]net:30827/[SAME ALPHANUMERIC STRING]
  1. A validation server: The first step was a website which we have seen hosted on shared hosting providers. Frequently this website was running a random and sometimes obscure PHP application or CMS. Amnesty International believes this was an effort to make the domains look less distinguishable.

    The validation server would check the incoming request. If a request had a valid and still active URL the validation server would redirect the victim to the newly generated exploit server domain. If the URL or device was not valid it would redirect to a legitimate decoy website. Any passer-by or Internet crawler would only see the decoy PHP CMS.
  2. Infection DNS server: NSO now appears to be using a unique subdomain for every exploit attempt. Each subdomain was generated and only active for a short period of time. This prevented researchers from finding the location of the exploit server based on historic device logs.

    To dynamically resolve these subdomains NSO Group ran a custom DNS server under a subdomain for every infection domain. It also obtained a wildcard TLS certificate which would be valid for each generated subdomain such as *.info8fvhgl3.urlpush[.]net or *.get1tn0w.free247downloads[.]com.
  3. Pegasus Installation Server: To serve the actual infection payload NSO Group needs to run a web server somewhere on the Internet. Again, NSO Group took steps to avoid internet scanning by running the web server on a random high port number.

    We assume that each infection webserver is part of the new generation “Pegasus Anonymizing Transmission Network”. Connections to the infection server are likely proxied back to the customer’s Pegasus infrastructure.
  4. Command and Control server: In previous generations of the PATN, NSO Group used separate domains for the initial infection and later communication with the spyware. The iPwn report from Citizen Lab provided evidence that Pegasus is again using separate domains for command and control. To avoid network-based discovery, the Pegasus spyware made direct connections the Pegasus C&C servers without first performing a DNS lookup or sending the domain name in the TLS SNI field.

9.2 Identifying other NSO attack domains

Amnesty International began by analysing the configuration of the infection domains and DNS servers used in the attacks against Moroccan journalists and human rights defenders.

Based on our knowledge of the domains used in Morocco we developed a fingerprint which identified 201 Pegasus Installation domains which had infrastructure active at the time of the initial scan. This set of 201 domains included both urlpush[.]net and free247downloads[.]com.

Amnesty International identified an additional 500 domains with subsequent network scanning and by clustering patterns of domain registration, TLS certificate issuance and domain composition which matched the initial set of 201 domains.

Amnesty International believes that this represents a significant portion of the Version 4 NSO Group attack infrastructure. We are publishing these 700 domains today. We recommend the civil society and media organisations check their network telemetry and/or DNS logs for traces of these indicators of compromise.

9.3 What can be learned from NSO Group’s infrastructure

The following chart shows the evolution of NSO Group Pegasus infrastructure over a 4-year period from 2016 until mid-2021. Much of the Version 3 infrastructure was abruptly shut down in August 2018 following our report on an Amnesty International staff member targeted with Pegasus. The Version 4 infrastructure was then gradually rolled out beginning in September and October 2018.

A significant number of new domains were registered in November 2019 shortly after WhatsApp notified their users about alleged targeting with Pegasus. This may reflect NSO rotating domains due to perceived risk of discovery, or because of disruption to their existing hosting infrastructure.

The V4 DNS server infrastructure began going offline in early 2021 following the Citizen Lab iPwn report which disclosed multiple Pegasus V4 domains.

Amnesty International suspects the shutting down of the V4 infrastructure coincided with NSO Group’s shift to using cloud services such as Amazon CloudFront to deliver the earlier stages of their attacks. The use of cloud services protects NSO Group from some Internet scanning techniques.

9.4 Attack infrastructure hosted primarily in Europe and North America

NSO Group’s Pegasus infrastructure primarily consists of servers hosted at datacentres located in European countries. The countries hosting the most infection domain DNS servers included Germany, the United Kingdom, Switzerland, France, and the United States (US).

CountryServers per country
Germany212
United Kingdom79
Switzerland36
France35
United States28
Finland9
Netherlands5
Canada4
Ukraine4
Singapore3
India3
Austria3
Japan1
Bulgaria1
Lithuania1
Bahrain1

The following table shows the number of DNS servers hosted with each hosting provider. Most identified servers are assigned to the US-owned hosting companies Digital Ocean, Linode and Amazon Web Services (AWS).

Many hosting providers offer server hosting in multiple physical locations. Based on these two tables it appears that NSO Group is primarily using the European datacentres run by American hosting companies to run much of the attack infrastructure for its customers.

NetworkServers per network
DIGITALOCEAN-ASN142
Linode, LLC114
AMAZON-0273
Akenes SA60
UpCloud Ltd9
Choopa7
OVH SAS6
Virtual Systems LLC2
ASN-QUADRANET-GLOBAL1
combahton GmbH1
UAB Rakrejus1
HZ Hosting Ltd1
PE Brezhnev Daniil1
Neterra Ltd.1
Kyiv Optic Networks Ltd1

Amnesty International’s research identified 28 DNS servers linked to the infection infrastructure which were hosted in the US.

Domain nameDNS server IPNetwork
drp32k77.todoinfonet.com104.223.76.216ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com165.227.52.184DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net167.172.215.114DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net157.245.228.71DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com104.248.126.210DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com138.197.223.170DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com134.209.172.164DIGITALOCEAN-ASN
js43fsf7v.opera-van.com159.203.87.42DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com167.99.105.68DIGITALOCEAN-ASN
css912jy6.reception-desk.net68.183.105.242DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com206.189.214.74DIGITALOCEAN-ASN
js85mail.preferenceviews.com142.93.80.134DIGITALOCEAN-ASN
css3218i.quota-reader.net165.227.17.53DIGITALOCEAN-ASN
mongo87a.sweet-water.org142.93.113.166DIGITALOCEAN-ASN
react12x2.towebsite.net3.13.132.96AMAZON-02
jsb8dmc5z4.gettingurl.com13.59.79.240AMAZON-02
react12x2.towebsite.net3.16.75.157AMAZON-02
cssgahs5j.redirigir.net18.217.13.50AMAZON-02
jsm3zsn5kewlmk9q.dns-analytics.com18.225.12.72AMAZON-02
imgcss35d.domain-routing.com13.58.85.100AMAZON-02
jsb8dmc5z4.gettingurl.com18.191.63.125AMAZON-02
js9dj1xzc8d.beanbounce.net199.247.15.15CHOOPA
jsid76api.buildyourdata.com108.61.158.97CHOOPA
cdn19be2.reloadinput.com95.179.177.18CHOOPA
srva9awf.syncingprocess.com66.175.211.107Linode
jsfk3d43.netvisualizer.com172.105.148.64Linode
imgdsg4f35.permalinking.com23.239.16.143Linode
srva9awf.syncingprocess.com45.79.190.38Linode

9.5 Infection domain resolutions observed in Passive DNS database

Based on forensic analysis of compromised devices, Amnesty International determined that NSO Group was using a unique and randomly generated subdomain for each attempt to deliver the Pegasus spyware.

Amnesty International searched passive DNS datasets for each of the Pegasus Version 4 domains we have identified. Passive DNS databases record historic DNS resolution for a domain and often included subdomains and the corresponding historic IP address.

A subdomain will only be recorded in passive DNS records if the subdomain was successfully resolved and the resolution transited a network which was running a passive DNS probe.

This probe data is collected based on agreements between network operators and passive DNS data providers. Many networks will not be covered by such data collection agreements. For example, no passive DNS resolutions were recorded for either Pegasus infection domains used in Morocco.

As such, these resolutions represent only a small subset of overall NSO Group Pegasus activity.

Infection domainUnique infection subdomains
mongo77usr.urlredirect.net417
str1089.mailappzone.com410
apiweb248.theappanalytics.com391
dist564.htmlstats.net245
css235gr.apigraphs.net147
nodesj44s.unusualneighbor.com38
jsonapi2.linksnew.info30
img9fo658tlsuh.securisurf.com19
pc25f01dw.loading-url.net12
dbm4kl5d3faqlk6.healthyguess.com8
img359axw1z.reload-url.net5
css2307.cssgraphics.net5
info2638dg43.newip-info.com3
img87xp8m.catbrushcable.com2
img108jkn42.av-scanner.com2
mongom5sxk8fr6.extractsight.com2
img776cg3.webprotector.co1
tv54d2ml1.topadblocker.net1
drp2j4sdi.safecrusade.com1
api1r3f4.redirectweburl.com1
pc41g20bm.redirectconnection.net1
jsj8sd9nf.randomlane.net1
php78mp9v.opposedarrangement.net1

The domain urlredirect.net had the highest number of observed unique subdomains. In total 417 resolutions were recorded between 4 October 2018, and 17 September 2019. The second highest was mailappzone.com which has 410 resolutions in a 3-month period between 23 July  2020, and 15 October 2020.

Amnesty International believes that each of these subdomain resolutions, 1748 in total, represent an attempt to compromise a device with Pegasus. These 23 domains represent less than 7% of the 379 Pegasus Installation Server domains we have identified. Based on this small subset, Pegasus may have been used in thousands of attacks over the past three years.

10. Mobile devices, security and auditability

Much of the targeting outlined in this report involves Pegasus attacks targeting iOS devices. It is important to note that this does not necessarily reflect the relative security of iOS devices compared to Android devices, or other operating systems and phone manufacturers.

In Amnesty International’s experience there are significantly more forensic traces accessible to investigators on Apple iOS devices than on stock Android devices, therefore our methodology is focused on the former. As a result, most recent cases of confirmed Pegasus infections have involved iPhones.

This and all previous investigations demonstrate how attacks against mobile devices are a significant threat to civil society globally. The difficulty to not only prevent, but posthumously detect attacks is the result of an unsustainable asymmetry between the capabilities readily available to attackers and the inadequate protections that individuals at risk enjoy.

While iOS devices provide at least some useful diagnostics, historical records are scarce and easily tampered with. Other devices provide little to no help conducting consensual forensics analysis. Although much can be done to improve the security posture of mobile devices and mitigate the risks of attacks such as those documented in this report, even more could be achieved by improving the ability for device owners and technical experts to perform regular checks of the system’s integrity.

Therefore, Amnesty International strongly encourages  device vendors to explore options to make their devices more auditable, without of course sacrificing any security and privacy protections already in place. Platform developers and phone manufacturers should regularly engage in conversations with civil society to better understand the challenges faced by HRDs, who are often under-represented in cybersecurity debates.

11. With our Methodology, we release our tools and indicators

For a long time, triaging the state of a suspected compromised mobile device has been considered a near-impossible task, particularly within the human rights communities we work in. Through the work of Amnesty International’s Security Lab we have built  important capabilities that may benefit our peers and colleagues supporting activists, journalists, and lawyers who are at risk.

Therefore, through this report, we are not only sharing the methodology we have built over years of research but also the tools we created to facilitate this work, as well as the Pegasus indicators of compromise we have collected.

All indicators of compromise are available on our GitHub , including domain names of Pegasus infrastructure, email addresses recovered from iMessage account lookups involved in the attacks, and all process names Amnesty International has identified as associated with Pegasus.

Amnesty International is also releasing a tool we have created, called Mobile Verification Toolkit (MVT). MVT is a modular tool that simplifies the process of acquiring and analysing data from Android devices, and the analysis of records from iOS backups and filesystem dumps, specifically to identify potential traces of compromise.

MVT can be provided with indicators of compromise in STIX2 format and will identify any matching indicators found on the device. In conjunction with Pegasus indicators,  MVT can help identify if an iPhone have been compromised.

Among others, some of the features MVT has include:

  • Decrypt encrypted iOS backups.
  • Process and parse records from numerous iOS system and apps databases and system logs.
  • Extract installed applications from Android devices.
  • Extract diagnostic information from Android devices through the adb protocol.
  • Compare extracted records to a provided list of malicious indicators in STIX2 format. Automatically identify malicious SMS messages, visited websites, malicious processes, and more.
  • Generate JSON logs of extracted records, and separate JSON logs of all detected malicious traces.
  • Generate a unified chronological timeline of extracted records, along with a timeline all detected malicious traces.

Acknowledgements

The Amnesty International Security Lab wishes to acknowledge all those who have supported this research. Tools released by the iOS security research community including libimobiledevice and checkra1n were used extensively as part of this research. We would also like to thank Censys and RiskIQ for providing access to their internet scan and passive DNS data.

 Amnesty International wishes to acknowledge Citizen Lab for its important and extensive research on NSO Group and other actors contributing to the unlawful surveillance of civil society. Amnesty International thanks Citizen Lab for its peer-review of this research report.           

Finally Amnesty International wishes to thank the numerous journalists and human rights defenders who bravely collaborated to make this research possible.

Appendix A: Peer review of Methodology Report by Citizen Lab

The Citizen Lab at the University of Toronto has independently peer-reviewed a draft of the forensic methodology outlined in this report. Their review can be found here

Appendix B: Suspicious iCloud Account Lookups

This Appendix shows the overlap of iCloud accounts found looked-up on the mobile devices of different targets. This list will be progressively updated.

iCloud AccountTarget
emmaholm575[@]gmail.com•        AZJRN1 – Khadija Ismayilova
filip.bl82[@]gmail.com•        AZJRN1 – Khadija Ismayilova
kleinleon1987[@]gmail.com•        AZJRN1 – Khadija Ismayilova
bergers.o79[@]gmail.com•        Omar Radi
•        FRHRL1 – Joseph Breham
•        FRHRL2
•        FRJRN1 – Lenaig Bredoux
•        FRJRN2
•        FRPOI1
•        FRPOI2 – François de Rugy
naomiwerff772[@]gmail.com•        Omar Radi
•        FRHRL1 – Joseph Breham
•        FRPOI1
bogaardlisa803[@]gmail.com•        FRHRL1 – Joseph Breham
•        FRJRN1 – Lenaig Bredoux
•        FRJRN2
linakeller2203[@]gmail.com•        FRHRD1 – Claude Mangin
•        FRPOI3 – Philippe Bouyssou
•        FRPOI4
•        FRPOI5 – Oubi Buchraya Bachir
•        MOJRN1 – Hicham Mansouri
jessicadavies1345[@]outlook.com•        HUJRN1 – András Szabó
•        HUJRN2 – Szabolcs Panyi
emmadavies8266[@]gmail.com•        HUJRN1 – András Szabó
•        HUJRN2 – Szabolcs Panyi
k.williams.enny74[@]gmail.com•        HUPOI1
•        HUPOI2 – Adrien Beauduin
•        HUPOI3
taylorjade0303[@]gmail.com•        INHRD1 – SAR Geelani
•        INJRN6 – Smita Sharma
•        INPOI1 – Prashant Kishor
lee.85.holland[@]gmail.com•        INHRD1 – SAR Geelani
•        INJRN6 – Smita Sharma
•        INPOI1 – Prashant Kishor
bekkerfredi[@]gmail.com•        INHRD1 – SAR Geelani
•        INPOI2
herbruud2[@]gmail.com•        INJRN1 – Mangalam Kesavan Venu
•        INJRN2 – Sushant Singh
•        INPOI1 – Prashant Kishor
vincent.dahl76[@]gmail.com•        KASH01 – Hatice Cengiz
•        KASH02 – Rodney Dixon
oskarschalcher[@]outlook.com•        KASH03 – Wadah Khanfar
benjiburns8[@]gmail.com•        RWHRD1 – Carine Kanimba

Appendix C: Detailed Traces per Target

This Appendix contains detailed breakdowns of forensic traces recovered for each target. This Appendix will be progressively updated.

C.1 Forensic Traces Overview for Maati Monjib

Date (UTC)Event
2017-11-02 12:29:33Pegasus SMS with link to hxxps://tinyurl[.]com/y73qr7mb redirecting to hxxps://revolution-news[.]co/ikXFZ34ca
2017-11-02 16:42:34Pegasus SMS with link to hxxps://stopsms[.]biz/vi78ELI
2017-11-02 16:44:00Pegasus SMS with link to hxxps://stopsms[.]biz/vi78ELI from +212766090491
2017-11-02 16:45:10Pegasus SMS with link to Hxxps://stopsms[.]biz/bi78ELI from +212766090491
2017-11-02 16:57:00Pegasus SMS with link to Hxxps://stopsms[.]biz/bi78ELI from +212766090491
2017-11-02 17:13:45Pegasus SMS with link to Hxxps://stopsms[.]biz/bi78ELI from +212766090491
2017-11-02 17:21:57Pegasus SMS with link to Hxxps://stopsms[.]biz/bi78ELI from +212766090491
2017-11-02 17:30:49Pegasus SMS with link to Hxxps://stopsms[.]biz/bi78ELI from +212766090491
2017-11-02 17:40:46Pegasus SMS ile Hxxps:// stopms[.]biz /bi78ELI bağlantısı +212766090491’den
2017-11-15 17:05:17hxxps:// videosdownload[.]co /nBBJBIP bağlantısıyla Pegasus SMS
2017-11-20 18:22:03hxxps:// infospress[.]com /LqoHgMCEE bağlantısı ile Pegasus SMS
2017-11-24 13:43:17hxxps://tinyurl[.]com/y9hbdqm5 adresine bağlantı içeren Pegasus SMS, hxxps:// hmizat[.]co /JaCTkfEp adresine yönlendirme
2017-11-24 17:26:09Pegasus SMS ile hxxps:// stopms[.]biz /2Kj2ik6 bağlantısı
2017-11-27 15:56:10hxxps:// stopms[.]biz /yTnWt1Ct bağlantısı olan Pegasus SMS
2017-11-27 17:32:37hxxps:// hmizat[.]co /ronEKDVaf bağlantısı olan Pegasus SMS
2017-12-07 18:21:57Bağlantıya Pegasus SMS hxxp: // olarak tinyurl com / y7wdcd8z yönlendirme hxxps için [.]: // [.] İnfospress com / Ln3HYK4C
2018-01-08 12:58:14Bağlantıya Pegasus SMS hxxp: // olarak tinyurl com / y87hnl3o yönlendirme hxxps için [.]: // [.] İnfospress com / asjmXqiS
2018-02-09 21:12:49süreç:  adet
2018-03-16 08:24:20süreç:  adet
2018-04-28 22:25:12süreç:  bh
2018-05-04 21:30:45süreç:  adet
2018-05-21 21:46:06süreç:  fmld
2018-05-22 17:36:51süreç:  bh
2018-06-04 11:05:43süreç:  fmld
2019-03-27 21:45:10süreç:  bh
2019-04-14 23:02:41hxxps://c7r8x8f6zecd8j.get1tn0w URL’sinden Safari favicon’u. ücretsiz247indirme[.]com :30352/Ld3xuuW5
2019-06-27 20:13:10Safari favicon from URL hxxps://3hdxu4446c49s.get1tn0w.free247downloads[.]com:30497/pczrccr#052045871202826837337308184750023238630846883009852
2019-07-22 15:42:32Safari visit to hxxps://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz
2019-07 22 15:42:32Safari visit to hxxps://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz#048634787343287485982474853012724998054718494423286
2019-07-22 15:43:06Safari favicon from URL hxxps://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz#048634787343287485982474853012724998054718494423286
n/aWebKit IndexedDB file for URL hxxps://c7r8x8f6zecd8j.get1tn0w.free247downloads[.]com
n/aURL hxxps://bun54l2b67.get1tn0w için WebKit IndexedDB dosyası. ücretsiz247indirmeler[.]com
n/aURL hxxps://keewrq9z.get1tn0w için WebKit IndexedDB dosyası. ücretsiz247indirmeler[.]com
n/aURL hxxps://3hdxu4446c49s.get1tn0w için WebKit IndexedDB dosyası. ücretsiz247indirmeler[.]com

 C.2 Omar Radi için Adli İzlere Genel Bakış

Tarih (UTC)Etkinlik
2019-02-11 14:45:45URL hxxps://d9z3sz93x5ueidq3.get1tn0w için Webkit IndexedDB dosyası. ücretsiz247indirmeler[.]com
2019-02-11 13:45:53hxxps://d9z3sz93x5ueidq3.get1tn0w URL’sinden Safari favicon’u. ücretsiz247indirme[.]com :3897/rdEN5YP
2019-02-11 13:45:56süreç:  bh
2019-02-11 13:46:16Süreç:  roleaboutd
2019-02-11 13:46:23Süreç:  roleaboutd
2019-02-11 16:05:24Süreç:  roleaboutd
2019-08-16 17:41:06bergers.o79[@]gmail.com hesabı için iMessage araması 
2019-09-13 15:01:38URL hxxps://2far1v4lv8.get1tn0w için Safari favori simgesi. ücretsiz247indirmeler[.]com :31052/meunsnyse#011356570257117296834845704022338973133022433397236
2019-09-13 15:01:56URL hxxps://2far1v4lv8.get1tn0w için Safari favori simgesi. ücretsiz247indirmeler[.]com :31052/meunsnyse#068099561614626278519925358638789161572427833645389
2019-09-13 15:02:11süreç:  bh
2019-09-13 15:02:20İşlem:  msgacntd
2019-09-13 15:02:33İşlem:  msgacntd
2019-09-14 15:02:57İşlem:  msgacntd
2019-09-14 18:51:54İşlem:  msgacntd
2019-10-29 12:21:18naomiwerff772[@]gmail.com hesabı için iMessage araması 
2020-01-27 10:06:24URL hxxps://gnyjv1xltx.info8fvhgl3 için Safari favicon. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946
2020-01-27 10:06:26hxxps://gnyjv1xltx.info8fvhgl3 için Safari ziyareti. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#2
2020-01-27 10:06:26hxxps://gnyjv1xltx.info8fvhgl3 için Safari ziyareti. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#24
2020-01-27 10:06:32URL hxxps://gnyjv1xltx.info8fvhgl3 için Safari favicon. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946%2324

Ek D: Hedef Başına Pegasus Adli İzler

Ek D burada bulunabilir  . 

[1]  Raporda sunulan teknik kanıtlar, Pegasus Projesi kapsamında yürütülen adli araştırmaların yanı sıra, 2018 yılında Güvenlik Laboratuvarı’nın kuruluşundan bu yana yürütülen Uluslararası Af Örgütü Güvenlik Laboratuvarı araştırmalarını içermektedir. 

[2]  Uluslararası Af Örgütü’ne e-posta, Mayıs 2021

[3]  Uluslararası Af Örgütü’ne e-posta, Temmuz 2021.