Descubriendo a los clientes de Circles, empresas victimas de ciber espionaje

Circles es una empresa de vigilancia que, según se informa, aprovecha las debilidades del sistema global de telefonía móvil para espiar llamadas, mensajes de texto y la ubicación de teléfonos en todo el mundo. Circles está afiliado a NSO Group, que desarrolla el software espía Pegasus del que se abusa a menudo.

Circles, cuyos productos funcionan sin piratear el teléfono en sí, dice que se venden solo a estados-nación. Según documentos filtrados , los clientes de Circles pueden comprar un sistema que conectan a la infraestructura de sus empresas de telecomunicaciones locales, o pueden utilizar un sistema separado llamado "Circles Cloud", que se interconecta con empresas de telecomunicaciones de todo el mundo.


Según el Departamento de Seguridad Nacional de EE. UU., Todas sus redes inalámbricas son vulnerables a los tipos de debilidades que supuestamente explotan los Círculos. La mayoría de las redes de todo el mundo son igualmente vulnerables.


Utilizando el escaneo de Internet, encontramos una firma única asociada con los nombres de host de los firewalls de Check Point utilizados en las implementaciones de Circles. Este escaneo permitió identificar implementaciones de Círculos en al menos 25 países.


Los gobiernos de los siguientes países son probables clientes de Círculos: Australia, Bélgica, Botswana, Chile, Dinamarca, Ecuador, El Salvador, Estonia, Guinea Ecuatorial, Guatemala, Honduras, Indonesia, Israel, Kenia, Malasia, México, Marruecos, Nigeria, Perú, Serbia, Tailandia, Emiratos Árabes Unidos (EAU), Vietnam, Zambia y Zimbabwe.


Algunas de las ramas gubernamentales específicas identificadas con diversos grados de confianza, son clientes de Circles con un historial que aprovecha la tecnología digital para abusos de los derechos humanos. En algunos casos específicos, se puede atribuir el despliegue a un cliente en particular, como el Comando de Operaciones de Seguridad (ISOC) del Real Ejército de Tailandia, que presuntamente ha torturado a detenidos.


Antecedentes


La discusión pública sobre la vigilancia y el seguimiento se centra en gran medida en medios técnicos bien conocidos, como la piratería dirigida y la interceptación de redes. Sin embargo, los gobiernos y terceros utilizan con regularidad y de manera extensiva otras formas de vigilancia para participar en la vigilancia y el seguimiento transfronterizos.


Uno de los más utilizados, es el aprovechamiento de las debilidades en la infraestructura global de telecomunicaciones móviles para monitorear e interceptar llamadas telefónicas y tráfico.


Si bien los gobiernos con recursos suficientes han tenido durante mucho tiempo la capacidad de realizar dicha actividad, en los últimos años han surgido empresas para vender estas capacidades. Por ejemplo, The Guardian informó en marzo de 2020 que Arabia Saudita parecía estar "explotando las debilidades en la red global de telecomunicaciones móviles para rastrear a los ciudadanos mientras viajan por los Estados Unidos". Otros informes de investigación indicaron que periodistas, disidentes y políticos de la oposición en Nigeria y Guatemala fueron atacados de manera similar.


Se cree que el abuso del sistema telefónico mundial para seguimiento y monitoreo está generalizado, sin embargo, es difícil de investigar. Cuando se rastrea un dispositivo, o se interceptan mensajes, no hay necesariamente rastros en el dispositivo del objetivo para que los investigadores o investigadores lo encuentren. Mientras tanto, los operadores de telefonía celular tienen muchas dificultades técnicas para identificar y bloquear los abusos de su infraestructura.


Ataques SS7


Signaling System 7 (SS7) es un conjunto de protocolos desarrollado en 1975 para intercambiar información y enrutar llamadas telefónicas entre diferentes empresas de telecomunicaciones alámbricas. En el momento del desarrollo de SS7, la red telefónica global consistía en un pequeño club de operadores de telecomunicaciones monopolísticos. Debido a que estas empresas generalmente confiaban entre sí, los diseñadores de SS7 no vieron la necesidad urgente de incluir autenticación o control de acceso. Sin embargo, el advenimiento de la desregulación de las telecomunicaciones y la tecnología móvil pronto comenzó a desafiar la asunción de confianza. Aun así, SS7 resistió, gracias al deseo de mantener la interoperabilidad con equipos más antiguos.


Debido a la falta de autenticación de SS7, cualquier atacante que se interconecte con la red SS7 (como una agencia de inteligencia, un ciberdelincuente que compre acceso SS7 o una empresa de vigilancia que ejecute una compañía telefónica falsa ) puede enviar comandos a la "red doméstica" de un suscriptor indicando falsamente que el suscriptor está en itinerancia. Estos comandos permiten al atacante rastrear la ubicación de la víctima e interceptar llamadas de voz y mensajes de texto SMS. Dichas capacidades también podrían usarse para interceptar códigos utilizados para la autenticación de dos factores enviados a través de SMS. Es difícil y costoso para los operadores de telecomunicaciones distinguir el tráfico malicioso del comportamiento benigno, lo que hace que estos ataques sean difíciles de bloquear.


Hoy en día, SS7 se usa predominantemente en redes móviles 2G y 3G (las redes 4G usan el protocolo Diameter más nuevo ). Una de las funciones clave de SS7 en estas redes es manejar el roaming , donde un suscriptor a una "red doméstica" puede conectarse a una "red visitada" diferente, como cuando viaja internacionalmente. En esta situación, SS7 se utiliza para gestionar el reenvío de llamadas telefónicas y mensajes de texto SMS a la "red visitada". Aunque el protocolo Diameter de 4G incluye funciones de autenticación y control de acceso, estas son opcionales . Además, la necesidad de que las redes Diameter se interconecten con las redes SS7 también presenta problemas de seguridad . Existe una preocupación generalizada de que la tecnología 5G y otros avances hereden los riesgos de estos sistemas más antiguos.


Circles


Si bien las empresas que venden la explotación del sistema celular global tienden a operar en secreto, una empresa ha surgido como un actor conocido: Circles. Según los informes, la compañía fue fundada en 2008 , adquirida en 2014 por Francisco Partners y luego fusionada con NSO Group. Circles es conocido por vender sistemas para explotar las vulnerabilidades SS7 y afirma vender esta tecnología exclusivamente a los estados-nación.


A diferencia del software espía Pegasus de NSO Group, el mecanismo SS7 mediante el cual opera el producto de Circles no tiene una firma obvia en el teléfono de un objetivo, como el mensaje de detección de SMS con un enlace malicioso que a veces está presente en un teléfono dirigido a Pegasus.


La mayor parte de la investigación de Círculos se ha basado en fuentes internas e inteligencia de código abierto, en lugar de análisis técnicos. Por ejemplo, una investigación de 2016 realizada por el periódico nigeriano Premium Times informó que dos gobernadores estatales de Nigeria adquirieron sistemas Circles y los utilizaron para espiar a oponentes políticos. En un caso, el sistema se instaló en la residencia de un gobernador. El escaneo encontró dos sistemas Circles en Nigeria ( Sección 4).


Los documentos presentados como parte de una demanda contra NSO Group en Israel pretenden mostrar correos electrónicos intercambiados entre Círcles y varios clientes en los Emiratos Árabes Unidos. Lo más famoso es que los documentos muestran que los círcles envían las ubicaciones de los objetivos y los registros telefónicos (registros de detalles de llamadas o CDR) al Consejo Supremo de Seguridad Nacional de los EAU (SCNS), aparentemente como parte de una demostración de producto. Los correos electrónicos también indican que interceptar llamadas telefónicas de un objetivo extranjero tiene una mayor probabilidad de éxito cuando el objetivo está en itinerancia.


Los mismos documentos explican algunas facetas de cómo funcionaba el sistema Circles. El SCNS se configuró para recibir dos sistemas separados: un sistema autónomo que podría usarse para intercepciones locales y un sistema separado conectado a la "Circles Cloud" (una entidad con acuerdos de roaming en todo el mundo) que podría usarse para intercepciones fuera del EAU si lo desea .

En 2015, IntelligenceOnline sugirió que Circles inició una compañía telefónica falsa llamada "Circles Bulgaria" para facilitar las intercepciones en todo el mundo. Más recientemente, un informe de 2020 de Forensic News planteó preguntas sobre el verdadero negocio de FloLive , supuestamente una empresa de "conectividad IoT".


Forensic News descubrió que FloLive parecía estar estrechamente asociado con Circles y sugirió que la compañía podría ser una "fachada para los piratas informáticos y espías privados detrás de Circles".


También hay información limitada sobre cómo el sistema Circles se integra con el software espía insignia Pegasus de NSO Group, aunque un ex empleado de NSO Group le dijo a Motherboard que Pegasus tenía una "terrible integración con Circles" y que Circles había "exagerado las capacidades de su sistema".


Toma de huellas dactilares y escaneo de círculos.


Mientras buscábamos en Shodan , observamos resultados interesantes en AS200068, un bloque de direcciones IP registradas en Circles Bulgaria ( Figura 2 ). Estos resultados muestran los nombres de host de los firewalls fabricados por Check Point, así como los nombres de host de la instancia SmartCenter de los firewalls . SmartCenter se puede utilizar para administrar de forma centralizada múltiples firewalls de Check Point.


Figura 2: Resultados de la sonda Shodan para firewalls Check Point en AS200068 (Circles Bulgaria Ltd).

Los nombres de host de SmartCenter en el AS200068 registrado en Circles contienen el nombre de dominio tracksystem.info . Parece claro que tracksystem.info está asociado con Circles, ya que los documentos filtrados muestran a los empleados de Circles comunicándose desde las direcciones de correo electrónico @ tracksystem.info . Además, según RiskIQ, 17 de las 37 direcciones IP señaladas por tracksystem.info o sus subdominios están en AS200068 y AS60097, también registradas en Circles Bulgaria.


Buscamos firewalls de Check Point cuyo nombre de host SmartCenter contenía tracksystem.info en Shodan , Censys , Fofa y en el conjunto de datos histórico sonar-ssl de Rapid7. También buscamos direcciones IP que devolvieran certificados TLS "aleatorios" peculiares. coincidiendo con la siguiente expresión regular, ya que vimos estos certificados devueltos por los firewalls de Check Point con tracksystem.info en sus nombres de host SmartCenter:



En general, identificamos 252 direcciones IP en 50 ASN que coinciden con nuestras huellas digitales. Muchos tenían un campo "Firewall Host" que aparentemente indicaba que los sistemas eran sistemas cliente, por ejemplo, client-circle-thailand-nsb-node-2 , aunque algunos usaban la palabra telco en lugar de cliente y algunos tenían un nombre genérico en lugar de un nombre de cliente, por ejemplo, cf-00-182-1 . En los casos en los que identificamos los firewalls Check Point de Circles en un ISP de tránsito / acceso (es decir, un ISP que no es un centro de datos), asumimos que alguna agencia del gobierno de ese país era cliente de Circles.


Algunos de los clientes que identificamos tienen apodos de dos palabras, donde la primera palabra es una marca de automóvil que casi siempre comparte la misma primera letra que el país o estado del cliente aparente. Por ejemplo, los firewalls Circles cuyas direcciones IP se geolocalizan en México se denominan "Mercedes", los que se geolocalizan en Tailandia se denominan "Toyota", los que se geolocalizan en Abu Dhabi se denominan "Aston" y los que geolocalizan en Dubai se denominan "Dutton". "


Haaretz informó por primera vez el uso de marcas de automóviles para referirse a los clientes , aunque el informe indicó que se trataba de una práctica del Grupo NSO, a diferencia de los Círculos. Haaretz informó los siguientes nombres en clave: Arabia Saudita es "Subaru", Baréin es "BMW" y Jordan es "Jaguar". Nuestras exploraciones no revelaron ningún cortafuegos de Check Point vinculado a Círculos con los nombres Subaru o Jaguar , aunque sí identificamos cortafuegos con el nombre “BMW” ubicados en Bélgica.


Una lista global de implementaciones de círculos


De las 252 direcciones IP que detectamos en 50 ASN, 25 gobiernos que probablemente sean clientes de Circles. También identificamos 17 sucursales gubernamentales específicas que parecen ser clientes de Circles, en función de WHOIS, DNS pasivo y datos de escaneo histórico de las IP de firewall de Check Point o sus vecinos.


Australia , Bélgica , Botswana (Dirección de Inteligencia y Servicios de Seguridad), Chile (Policía de Investigaciones), Dinamarca (Comando del Ejército), Ecuador , El Salvador , Estonia , Guinea Ecuatorial , Guatemala (Dirección General de Inteligencia Civil), Honduras (Dirección Nacional de Investigación e Inteligencia), Indonesia , Israel , Kenia , Malasia , México (Armada de México; Estado de Durango), Marruecos (Ministerio del Interior),Nigeria (Agencia de Inteligencia de Defensa), Perú (Dirección de Inteligencia Nacional), Serbia (Agencia de Información de Seguridad), Tailandia (Comando de Operaciones de Seguridad Interna; Batallón de Inteligencia Militar; Oficina de Represión de Estupefacientes), Emiratos Árabes Unidos (Consejo Supremo de Seguridad Nacional; Gobierno de Dubai ; Royal Group), Vietnam , Zambia y Zimbabwe .


Si bien nuestro análisis arrojó resultados de países con alta confianza, nuestros esfuerzos para determinar la identidad del cliente tienen, en algunos casos, un grado de confianza menor.

Ver informe completo