A tres docenas de periodistas les piratearon sus iPhones en julio y agosto utilizando lo que en ese momento era un exploit de día cero de iMessage que no requería que las víctimas tomaran ninguna medida para infectarse, dijeron los investigadores.
El exploit y la carga útil que instaló fueron desarrollados y vendidos por NSO Group, según un reporte publicado el domingo por Citizen Lab, un grupo de la Universidad de Toronto que investiga y expone hackeos a disidentes y periodistas. NSO es un fabricante de herramientas de piratería ofensivas que ha sido criticado en los últimos años por vender sus productos a grupos y gobiernos con malos antecedentes en materia de derechos humanos. NSO ha cuestionado algunas de las conclusiones del informe Citizen Lab.
Los ataques infectaron los teléfonos de los objetivos con Pegasus, un implante hecho por NSO para iOS y Android que tiene una gama completa de capacidades, incluida la grabación de audio ambiental y conversaciones telefónicas, tomar fotografías y acceder a contraseñas y credenciales almacenadas. Los hacks explotaron una vulnerabilidad crítica en la aplicación iMessage que los investigadores de Apple no conocían en ese momento. Desde entonces, Apple ha solucionado el error con el lanzamiento de iOS 14.
Más exitoso, más encubierto
En los últimos años, las vulnerabilidades de NSO no han requerido cada vez más la interacción del usuario, como visitar un sitio web malicioso o instalar una aplicación maliciosa, para funcionar. Una de las razones por las que estos llamados ataques de clic cero son efectivos es que tienen muchas más posibilidades de éxito, ya que pueden atacar objetivos incluso cuando las víctimas tienen una formación considerable para prevenir tales ataques.
En 2019, alega Facebook, los atacantes explotaron una vulnerabilidad en el mensajero WhatsApp de la compañía para atacar 1.400 iPhones y dispositivos Android con Pegasus. Tanto Facebook como investigadores externos dijeron que el exploit funcionaba simplemente llamando a un dispositivo objetivo. No es necesario que el usuario haya respondido al dispositivo y, una vez infectado, los atacantes pueden borrar cualquier registro que muestre que se ha realizado un intento de llamada.
Otro beneficio clave de los exploits de cero clic es que son mucho más difíciles de rastrear para los investigadores después.
“La tendencia actual hacia los vectores de infección de clic cero y las capacidades anti-forenses más sofisticadas es parte de un cambio más amplio en toda la industria hacia medios de vigilancia más sofisticados y menos detectables”, los investigadores de Citizen Lab Bill Marczak, John Scott-Railton, Noura Al -Escribieron Jizawi, Siena Anstis y Ron Deibert. “Aunque se trata de una evolución tecnológica predecible, aumenta los desafíos tecnológicos a los que se enfrentan tanto los administradores como los investigadores de la red”.
En otra parte del informe, los autores escribieron:
Más recientemente, NSO Group está cambiando hacia exploits de cero clic y ataques basados en la red que permiten a sus clientes gubernamentales ingresar a los teléfonos sin ninguna interacción del objetivo y sin dejar rastros visibles. La violación de WhatsApp de 2019, donde al menos 1.400 teléfonos fueron atacados a través de un exploit enviado a través de una llamada de voz perdida, es un ejemplo de tal cambio. Afortunadamente, en este caso, WhatsApp notificó a los objetivos. Sin embargo, es más difícil para los investigadores rastrear estos ataques de cero clic porque los objetivos pueden no notar nada sospechoso en su teléfono. Incluso si observan algo como un comportamiento de llamada “extraño”, el evento puede ser transitorio y no dejar ningún rastro en el dispositivo.
El cambio hacia los ataques sin hacer clic por parte de una industria y los clientes que ya están inmersos en el secreto aumenta la probabilidad de que el abuso pase desapercibido. Sin embargo, continuamos desarrollando nuevos medios técnicos para rastrear abusos de vigilancia, como nuevas técnicas de análisis de redes y dispositivos.
Citizen Lab dijo que ha concluido con una confianza media que algunos de los ataques que descubrió fueron respaldados por el gobierno de los Emiratos Árabes Unidos y otros ataques por el gobierno de Arabia Saudita. Los investigadores dijeron que sospechan que las 36 víctimas que identificaron, incluidos 35 periodistas, productores, presentadores y ejecutivos de Al-Jazeera y un periodista de Al Araby TV, son solo una pequeña fracción de las personas objetivo de la campaña.
NSO responde
En un comunicado, un portavoz de NSO escribió:
Este memorando se basa, una vez más, en especulaciones y carece de evidencia que respalde una conexión con NSO. En cambio, se basa en suposiciones hechas únicamente para ajustarse a la agenda de Citizen Lab.
NSO ofrece productos que permiten a las agencias gubernamentales encargadas de hacer cumplir la ley abordar únicamente el crimen organizado grave y la lucha contra el terrorismo, y como se indicó anteriormente, no los operamos.
Sin embargo, cuando recibimos evidencia creíble de uso indebido con suficiente información que nos permita evaluar dicha credibilidad, tomamos todas las medidas necesarias de acuerdo con nuestro procedimiento de investigación para revisar las acusaciones.A diferencia de Citizen Lab, que solo tiene una “confianza media” en su propio trabajo, SABEMOS que nuestra tecnología ha salvado la vida de personas inocentes en todo el mundo.
Nos preguntamos si Citizen Lab entiende que al seguir esta agenda, están proporcionando a los actores corporativos irresponsables, así como a los terroristas, pedófilos y jefes de cárteles de drogas, un manual de estrategias sobre cómo evitar la aplicación de la ley.
Mientras tanto, NSO continuará trabajando incansablemente para hacer del mundo un lugar más seguro.
Como se señaló anteriormente, los días cero sin hacer clic son difíciles, si no imposibles, de prevenir incluso para los usuarios con una amplia capacitación en seguridad. A pesar de lo potentes que son estas hazañas, su alto costo y la dificultad para adquirirlas significa que se usan solo contra una pequeña población de personas. Eso significa que es poco probable que la gran mayoría de los usuarios de dispositivos móviles sean el objetivo de este tipo de ataques.
En un comunicado, los representantes de Apple escribieron: “En Apple, nuestros equipos trabajan incansablemente para fortalecer la seguridad de los datos y dispositivos de nuestros usuarios. iOS 14 es un gran avance en seguridad y entregó nuevas protecciones contra este tipo de ataques. El ataque descrito en la investigación fue altamente dirigido por estados-nación contra individuos específicos. Siempre instamos a los clientes a descargar la última versión del software para protegerse a sí mismos y a sus datos “.
Un portavoz de Apple dijo que la compañía no ha podido verificar de forma independiente los hallazgos de Citizen Lab.
Los investigadores aún tienen que determinar la vulnerabilidad precisa de iOS utilizada en estos ataques, pero Citizen Lab dice que los exploits no funcionan contra iOS 14, que se lanzó en septiembre. Cualquiera que siga usando una versión anterior debería actualizarla.