Amir Levy | imágenes falsas
El desarrollador israelí de software espía NSO Group ha conmocionado la comunidad de seguridad global durante años con agresivo y eficaz herramientas de pirateoque puede apuntar a dispositivos Android e iOS. Los productos de la compañía han sido tan abusados por sus clientes en todo el mundo que NSO Group ahora enfrenta sanciones, juicios de alto perfil y un futuro incierto. Pero un nuevo análisis del exploit ForcedEntry iOS del fabricante de software espía, implementado en una serie de ataques dirigidos contra activistas, disidentes y periodistas este año, viene con una advertencia aún más fundamental: las empresas privadas pueden producir herramientas de piratería que tienen el ingenio técnico y la sofisticación de la élite grupos de desarrollo respaldados por el gobierno.
El grupo de búsqueda de errores Project Zero de Google analizó ForcedEntry utilizando una muestra proporcionada por investigadores del Citizen Lab de la Universidad de Toronto, que publicado extensamente este año sobre los ataques dirigidos que utilizan el exploit. Los investigadores de Amnistía Internacional también llevó a cabo una investigación importante sobre la herramienta de piratería este año. El exploit monta un ataque sin clic o sin interacción, lo que significa que las víctimas no necesitan hacer clic en un enlace ni otorgar permiso para que el hack avance. Project Zero descubrió que ForcedEntry utilizó una serie de tácticas astutas para apuntar a la plataforma iMessage de Apple, eludir las protecciones que la compañía agregó en los últimos años para dificultar tales ataques y apropiarse hábilmente de los dispositivos para instalar el implante insignia de software espía de NSO, Pegasus.
Apple lanzó una serie de parches en septiembre y octubre que mitigan el ataque ForcedEntry y fortalecen iMessage contra futuros ataques similares. Pero los investigadores del Proyecto Cero escriben en su análisis que ForcedEntry sigue siendo “uno de los exploits técnicamente más sofisticados que hayamos visto”. NSO Group ha logrado un nivel de innovación y refinamiento, dicen, que generalmente se asume que está reservado para un pequeño grupo de piratas informáticos estatales.
“No hemos visto un exploit in-the-wild construir una capacidad equivalente desde un punto de partida tan limitado, no es posible la interacción con el servidor del atacante, no se ha cargado JavaScript o un motor de scripting similar, etc.”, Ian Beer y Samuel de Project Zero Groß escribió en un correo electrónico a WIRED. “Hay muchos dentro de la comunidad de seguridad que consideran este tipo de explotación (ejecución remota de código de un solo disparo) como un problema resuelto. Creen que el peso de las mitigaciones proporcionadas por los dispositivos móviles es demasiado alto para construir un exploit confiable de un solo disparo. Esto demuestra que no solo es posible, sino que se está utilizando en la naturaleza de manera confiable contra las personas “.
manzana agregó una protección de iMessage llamado BlastDoor en iOS 14 de 2020 después de investigación de Project Zero sobre la amenaza de los ataques de cero clic. Beer y Groß dicen que BlastDoor parece haber logrado hacer que los ataques de iMessage sin interacción sean mucho más difíciles de ejecutar. “Hacer que los atacantes trabajen más duro y tomen más riesgos es parte del plan para ayudar a que el día cero sea difícil”, dijeron a WIRED. Pero NSO Group finalmente encontró un camino.
ForcedEntry aprovecha las debilidades en la forma en que iMessage aceptó e interpretó archivos como GIF para engañar a la plataforma para que abra un PDF malicioso sin que la víctima haga nada en absoluto. El ataque aprovechó una vulnerabilidad en una herramienta de compresión heredada utilizada para procesar texto en imágenes desde un escáner físico, lo que permitió a los clientes de NSO Group hacerse cargo de un iPhone por completo. Esencialmente, los algoritmos de la década de 1990 utilizados en la compresión de fotocopiado y escaneo todavía están al acecho en el software de comunicación moderno, con todas las fallas y el bagaje que vienen con ellos.
La sofisticación no termina ahí. Si bien muchos ataques requieren un servidor de comando y control para enviar instrucciones al malware colocado con éxito, ForcedEntry configura su propio entorno virtualizado. Toda la infraestructura del ataque puede establecerse y ejecutarse dentro de un extraño remanso de iMessage, lo que hace que el ataque sea aún más difícil de detectar. “Es bastante increíble y, al mismo tiempo, bastante aterrador”, concluyeron los investigadores del Proyecto Cero en su análisis.
El análisis profundo técnico de Project Zero es significativo no solo porque explica los detalles de cómo funciona ForcedEntry, sino porque revela lo impresionante y peligroso que puede ser el malware desarrollado de forma privada, dice John Scott-Railton, investigador principal de Citizen Lab.
“Esto está a la par con las capacidades serias de los estados-nación”, dice. “Es algo realmente sofisticado, y cuando lo maneja un autócrata sin frenos y todo gas, es totalmente aterrador. Y te hace preguntarte qué más se está utilizando en este momento que está esperando a ser descubierto. Si este es el tipo de amenaza que enfrenta la sociedad civil, es realmente una emergencia “.
Después de años de controversia, es posible que haya una creciente voluntad política de llamar la atención a los desarrolladores privados de software espía. Por ejemplo, un grupo de 18 congresistas estadounidenses envió una carta a los Departamentos del Tesoro y de Estado el martes pidiendo a las agencias que sancionen a NSO Group y otras tres empresas internacionales de vigilancia, como informó Reuters por primera vez.
“Esto no es ‘excepcionalismo NSO’. Hay muchas empresas que brindan servicios similares que probablemente hagan cosas similares ”, dijeron Beer y Groß a WIRED. “Fue sólo que, esta vez, NSO fue la empresa que quedó atrapada en el acto”.