Informe técnico del truco del teléfono Bezos


Informe técnico del truco del teléfono Bezos

Placa base obtenida y publicado el informe técnico sobre el hackeo del teléfono de Jeff Bezos, que es siendo atribuido a Arabia Saudita, específicamente al Príncipe Heredero Mohammed bin Salman.

… los investigadores establecieron un laboratorio seguro para examinar el teléfono y sus artefactos y pasaron dos días estudiando el dispositivo, pero no pudieron encontrar ningún malware en él. En cambio, solo encontraron un archivo de video sospechoso enviado a Bezos el 1 de mayo de 2018 que «parece ser una película promocional en árabe sobre telecomunicaciones».

Ese archivo muestra una imagen de la bandera de Arabia Saudita y las banderas suecas y llegó con un descargador cifrado. Debido a que el descargador estaba encriptado, esto retrasó o impidió aún más el «estudio del código entregado junto con el movie».

Los investigadores determinaron que el video o el descargador eran sospechosos solo porque el teléfono de Bezos posteriormente comenzó a transmitir grandes cantidades de datos. «(En) horas después de que se recibió el descargador cifrado, comenzó una exfiltración masiva y no autorizada de datos del teléfono de Bezos, que continuó y aumentó durante meses después», indica el informe.

«La cantidad de datos que se transmiten desde el teléfono de Bezos cambió drásticamente después de recibir el archivo de video de WhatsApp y nunca volvió a la línea de foundation. Luego de la ejecución del descargador cifrado enviado desde la cuenta de MBS, la salida en el dispositivo aumentó de inmediato en aproximadamente un 29,000 por ciento». se nota. «Los artefactos forenses muestran que en los seis (6) meses previos a la recepción del video clip de WhatsApp, el teléfono de Bezos tenía un promedio de 430 KB de salida por día, bastante típico de un Iphone. A las pocas horas del video clip de WhatsApp, la salida aumentó a 126 MB. El teléfono mantuvo un promedio inusualmente alto de 101 MB de datos de salida por día durante meses a partir de entonces, incluidos muchos picos masivos y altamente atípicos de datos de salida «.

El artículo de Motherboard también cita expertos forenses en el informe:

Un experto forense móvil le dijo a Motherboard que la investigación como se muestra en el informe está significativamente incompleta y solo les habría proporcionado a los investigadores alrededor del 50 por ciento de lo que necesitaban, especialmente si se trata de un ataque de estado-nación. Ella dice que la copia de seguridad de iTunes y otras extracciones que hicieron les darían solo mensajes, archivos de fotos, contactos y otros archivos que el usuario está interesado en guardar de sus aplicaciones, pero no los archivos principales.

«Tendrían que usar una herramienta como Graykey o Cellebrite High quality o hacer un jailbreak para ver el sistema de archivos completo. Ahí es donde se encontrará ese malware patrocinado por el estado. El buen malware patrocinado por el estado nunca debería aparecer en una copia de seguridad «, dijo Sarah Edwards, autora y profesora de análisis forense móvil para el Instituto SANS.

«El sistema de archivos completo está ingresando al dispositivo y recibiendo todos los archivos allí: todo el sistema operativo, los datos de la aplicación, las bases de datos que no serán respaldadas. Así que realmente el análisis en profundidad debe hacerse en ese completo sistema de archivos, para este nivel de investigación de todos modos. Hubiera insistido en eso desde el principio «.

Los investigadores señalan en la última página de su informe que necesitan desbloquear el teléfono de Bezos para examinar el sistema de archivos raíz. Edwards dijo que esto les proporcionaría todo lo que necesitarían para buscar software program espía persistente como el creado y vendido por el Grupo NSO. Pero el informe no indica si eso se hizo.

Publicado el 24 de enero de 2020 a las 8:34 a.m.

comentarios



Enlace a la noticia primary