Amnistía Internacional revelado esta semana que su laboratorio de seguridad ha descubierto una “campaña de piratería sofisticada por parte de una empresa de spyware mercenaria”. Dicen que ha estado funcionando “desde al menos 2020” y apunta a los teléfonos inteligentes Android con una serie de vulnerabilidades de seguridad de “día cero”. (Una vulnerabilidad de “día cero” es un exploit que no se ha descubierto ni mitigado anteriormente).
Amnistía Internacional reveló los detalles de la campaña para Grupo de análisis de amenazas de Googlepor lo que, al igual que otras empresas afectadas, incluida Samsung, desde entonces ha podido lanzar los parches de seguridad necesarios para sus dispositivos.
El Laboratorio de Seguridad de Amnistía Internacional es responsable de monitorear e investigar empresas y gobiernos que emplean tecnologías de vigilancia cibernética para amenazar a defensores de derechos humanos, periodistas y la sociedad civil. Fue fundamental para descubrir
Mientras el Laboratorio de Seguridad continúa investigando esta última campaña de spyware, Amnistía Internacional no revela la empresa a la que ha implicado (aunque Google sugiere que es Varistona grupo que descubrió en 2022). De cualquier manera, Amnistía Internacional afirma que el ataque tiene “todas las características de una campaña avanzada de software espía desarrollada por una empresa comercial de vigilancia cibernética y vendida a piratas informáticos gubernamentales para llevar a cabo ataques dirigidos de software espía”.
Como parte de la campaña de software espía, el Grupo de análisis de amenazas de Google descubrió que los usuarios de Samsung en los Emiratos Árabes Unidos estaban siendo atacados con enlaces únicos enviados por SMS. Si abrían el enlace en el navegador de Internet predeterminado de Samsung, se instalaría en su teléfono un “paquete de software espía de Android con todas las funciones” que era capaz de descifrar y capturar datos de varios servicios de chat y aplicaciones de navegador.
El exploit se basó en una cadena de múltiples vulnerabilidades de día cero y descubiertas pero sin parchear, lo que se refleja negativamente en Samsung. Se lanzó una solución para una de las vulnerabilidades sin parchear en enero de 2022 y para la otra en agosto de 2022. Google sostiene que si Samsung hubiera publicado las actualizaciones de seguridad, “los atacantes habrían necesitado vulnerabilidades adicionales para evitar las mitigaciones”. (Samsung lanzó las correcciones en diciembre de 2022).
Dicho esto, una de las vulnerabilidades de día cero también permitiría a los piratas informáticos atacar los sistemas integrados y de escritorio de Linux, y Amnistía Internacional sugiere que otros dispositivos móviles y de escritorio han sido atacados como parte de la campaña de spyware, que ha estado en curso desde al menos 2020. El grupo de derechos humanos también señala que el spyware se entregó desde “una extensa red de más de 1000 dominios maliciosos, incluidos dominios que falsifican sitios web de medios en varios países”, lo que da crédito a sus afirmaciones de que un grupo comercial de spyware está detrás de él.
Aunque aún no está claro quiénes fueron los objetivos de este ataque, según Amnistía Internacional, “los defensores de los derechos humanos en los Emiratos Árabes Unidos han sido víctimas durante mucho tiempo de las herramientas de software espía de las empresas de vigilancia cibernética”. Por ejemplo, Ahmed Mansoor fue atacado por software espía del Grupo NSO y encarcelado como resultado de su trabajo de derechos humanos.
Además de los Emiratos Árabes Unidos, el Laboratorio de Seguridad de Amnistía Internacional encontró pruebas de la campaña de spyware en Indonesia, Bielorrusia e Italia, aunque concluye que “estos países probablemente representan solo un pequeño subconjunto de la campaña de ataque general debido a la naturaleza extensa del área más amplia”. infraestructura de ataque”.
“Las compañías de software espía sin escrúpulos representan un peligro real para la privacidad y la seguridad de todos. Instamos a las personas a que se aseguren de tener las últimas actualizaciones de seguridad en sus dispositivos”, dice Donncha Ó Cearbhaill, jefe de Security Lab, en la declaración en el sitio web de Amnistía Internacional. “Si bien es vital que se corrijan tales vulnerabilidades, esto es simplemente un parche para una crisis global de spyware. Necesitamos urgentemente una moratoria global sobre la venta, transferencia y uso de spyware hasta que se establezcan sólidas salvaguardas regulatorias de derechos humanos; de lo contrario, se seguirán utilizando sofisticados ataques cibernéticos como herramienta de represión contra activistas y periodistas”.
Al menos en Estados Unidos, el gobierno parece estar de acuerdo. El presidente Biden firmó un orden ejecutiva el 27 de marzo, impidiendo que las agencias federales usen spyware “que represente riesgos significativos de contrainteligencia o seguridad para el gobierno de los Estados Unidos o riesgos significativos de uso indebido por parte de un gobierno extranjero o una persona extranjera”.