Cómo funciona el exploit de piratería de iPhone de NSO Group

Imagen del artículo titulado Cómo funciona el exploit de piratería de iPhone de NSO Group

Foto: Amir Levy (imágenes falsas)

Durante años, el proveedor de software espía israelí NSO Group ha provocado miedo y fascinación en toda la comunidad internacional a través de su herramienta de piraterías — los gustos de los cuales se han vendido a gobiernos autoritarios en todo el mundo y usado contra periodistas, activistas, políticos y nadie else lo suficientemente desafortunado como para ser un objetivo. La empresa, que a menudo se ha visto envuelta en escándalos, con frecuencia parece operar como si fuera un encantamiento digital, con ataques de explotación comercial que no requieren phishing y malware que todo lo ve y puede llegar a los espacios digitales más privados.

Pero algunos de los oscuros secretos de NSO se revelaron muy públicamente la semana pasada, cuando los investigadores lograron deconstruir técnicamente cómo funciona uno de los notorios ataques de “clic cero” de la compañía. De hecho, los investigadores del Project Zero de Google publicaron un desglose detallado eso muestra cómo un exploit de NSO, denominado “FORCEDENTRY”, puede apoderarse rápida y silenciosamente de un teléfono.

Se cree que el exploit, que fue diseñado para apuntar a los iPhones de Apple, condujo a la piratería

de dispositivos en varios países, incluidos Esos de varios funcionarios del Departamento de Estado de Estados Unidos que trabajan en Uganda. Los detalles iniciales al respecto fueron capturados por Laboratorio ciudadano, una unidad de investigación de la Universidad de Toronto que con frecuencia ha publicado investigaciones relacionadas con las actividades de NSO. Los investigadores de Citizen Lab lograron apoderarse de teléfonos que habían sido sometidos a los ataques de “clic cero” de la compañía y, en septiembre, publicaron investigación inicial sobre cómo trabajaban. Casi al mismo tiempo, Apple anunció que era demandando a NSO y también publicó actualizaciones de seguridad para parchear los problemas asociados con el exploit.

Citizen Lab finalmente compartió sus hallazgos con los investigadores de Google que, a partir de la semana pasada, finalmente publicaron su análisis de los ataques. Como era de esperar, es algo bastante increíble y aterrador.

“Basándonos en nuestra investigación y hallazgos, evaluamos que este es uno de los exploits técnicamente más sofisticados que hayamos visto, lo que demuestra además que las capacidades que brinda NSO rivalizan con las que antes se pensaba que eran accesibles solo para un puñado de estados nacionales”, escribe los investigadores Ian Beer y Samuel Groß.

FORCEDENTRY: GIF troyanos y una computadora dentro de una computadora

Probablemente lo más aterrador de FORCEDENTRY es que, según los investigadores de Google, lo único necesario para hackear a una persona era su número de teléfono o su nombre de usuario de AppleID.

Usando uno de esos identificadores, el portador del exploit de NSO podría fácilmente comprometer cualquier dispositivo que quisiera. El proceso de ataque fue simple: lo que parecía ser un GIF se envió por mensaje de texto al teléfono de la víctima a través de iMessage. Sin embargo, la imagen en cuestión no era en realidad un GIF; en cambio, era un PDF malicioso que se había disfrazado con una extensión .gif. Dentro del archivo había una carga útil maliciosa altamente sofisticada que podría secuestrar una vulnerabilidad en el software de procesamiento de imágenes de Apple y usarla para tomar rápidamente valiosos recursos dentro del dispositivo objetivo. El destinatario ni siquiera necesitó hacer clic en la imagen para activar sus funciones nocivas.

Técnicamente hablando, lo que hizo FORCEDENTRY fue explotar una vulnerabilidad de día cero dentro de la biblioteca de renderizado de imágenes de Apple. CoreGraphics

: El software que usa iOS para procesar imágenes y medios en el dispositivo. Esa vulnerabilidad, registrada oficialmente como CVE-2021-30860, está asociado con una vieja pieza de código de fuente abierta gratuita que aparentemente iOS estaba aprovechando para codificar y decodificar archivos PDF: el Xpdf implementación de JBIG2.

Sin embargo, aquí es donde el ataque se vuelve realmente salvaje. Al explotar la vulnerabilidad de procesamiento de imágenes, FORCEDENTRY pudo ingresar al dispositivo objetivo y usar la propia memoria del teléfono para construir un rudimentario máquina virtual, básicamente una “computadora dentro de una computadora”. A partir de ahí, la máquina podía “arrancar” el malware Pegasus de NSO desde dentro y, en última instancia, transmitir datos a quienquiera que hubiera implementado el exploit.

En un intercambio de correo electrónico con Gizmodo, Beer y Groß explicaron un poco cómo funciona todo esto. El ataque “proporciona un archivo comprimido JBIG2 que realiza miles de operaciones matemáticas básicas originalmente destinadas a descomprimir datos”, dijeron los investigadores. “A través de esas operaciones, primero desencadena una vulnerabilidad de ‘corrupción de memoria’ en JBIG2, y con eso modifica la memoria de una manera que luego permite el acceso a contenidos de memoria no relacionados en operaciones posteriores”.

A partir de ahí, el programa “esencialmente construye una pequeña computadora sobre estas operaciones matemáticas básicas, que utiliza para ejecutar código que ahora puede acceder a otra memoria del iPhone atacado”, explicaron los investigadores. Una vez que la mini-computadora está en funcionamiento dentro del teléfono objetivo, NSO la usa para “ejecutar su propio código (en lugar del de Apple) y usarlo para iniciar el malware” desde el interior del dispositivo real, agregaron.

En pocas palabras, el exploit NSO es capaz de apoderarse del teléfono de una víctima desde adentro hacia afuera y usar los propios recursos del dispositivo para configurar y ejecutar sus operaciones de vigilancia.

Continúan los problemas de NSO

La vulnerabilidad relacionada con este exploit se solucionó en Actualización de iOS 14.8 de Apple (publicado en septiembre), aunque algunos investigadores informáticos han advertido que si el teléfono de una persona fue comprometido por Pegasus antes de la actualización, es posible que un parche no haga mucho para mantener alejados a los intrusos.

El malware de NSO y sus misteriosos métodos de piratería han sido objeto de temor y especulación durante años, por lo que es sorprendente que Google finalmente abra la cortina con precisión cómo esta pieza de magia negra informática realmente funciona.

Sin embargo, aunque finalmente se ha revelado el funcionamiento interno de esta temible herramienta, los creadores de la herramienta actualmente luchan por sobrevivir. De hecho, NSO ha tenido un año increíblemente difícil, ya que la empresa pasa de un escándalo desastroso al siguiente. Las investigaciones periodísticas en curso sobre la aparente malversación de su base de clientes se han combinado con múltiples demandas de algunas de las empresas más grandes del mundo, investigaciones gubernamentales, poderosas sanciones de los EE. UU. E inversores y apoyo financiero que huyen.

Corrección: una versión anterior de esta historia decía que Apple lanzó su parche en octubre. Las actualizaciones de seguridad se publicaron en septiembre.

.

Leave a Reply

Your email address will not be published. Required fields are marked *