Google advierte que la piratería de NSO es similar a los espías de élite en los estados nacionales


Un hombre pasa frente a la entrada del edificio de la empresa cibernética israelí NSO Group en una de sus sucursales en el desierto de Arava en Sapir, Israel, el 11 de noviembre de 2021.
Agrandar / Un hombre pasa frente a la entrada del edificio de la empresa cibernética israelí NSO Group en una de sus sucursales en el desierto de Arava en Sapir, Israel, el 11 de noviembre de 2021.

Amir Levy | imágenes falsas

El desarrollador israelí de software espía NSO Group ha estado impactando a la comunidad de seguridad global durante años con herramientas de piratería agresivas y efectivas que pueden apuntar tanto a dispositivos Android como iOS. Los productos de la compañía han sido mal utilizados por sus clientes en todo el mundo de tal manera que el Grupo NSO ahora enfrenta sanciones, procedimientos legales de alto perfil y un futuro incierto. Pero un nuevo análisis del exploit iOS ForcedEntry del fabricante de software espía, que se utilizó en una serie de ataques dirigidos contra activistas, disidentes y periodistas a principios de este año, viene con una advertencia aún más fundamental: las empresas privadas pueden crear herramientas de piratería que van más allá de lo técnico. El ingenio y la sofisticación poseen los grupos de desarrollo patrocinados por el gobierno más elitistas.

El grupo de búsqueda de errores Project Zero de Google analizó ForcedEntry utilizando un ejemplo proporcionado por investigadores del Citizen Lab de la Universidad de Toronto, que publicó este año en detalle sobre los ataques dirigidos con el exploit. Los investigadores de Amnistía Internacional también llevaron a cabo una importante investigación sobre la herramienta de piratería este año. El exploit realiza un ataque sin hacer clic o sin interacción, lo que significa que las víctimas no tienen que hacer clic en un enlace ni dar permiso al pirata informático para continuar. Project Zero descubrió que ForcedEntry utilizó una serie de tácticas ingeniosas para atacar la plataforma iMessage de Apple, eludiendo las protecciones que la compañía ha agregado en los últimos años para dificultar dichos ataques y asumiendo inteligentemente los dispositivos para hacer que el producto insignia de NSO: el implante de software espía para instalar. Pegaso.

Apple lanzó una serie de parches en septiembre y octubre que debilitan el ataque ForcedEntry y protegen iMessage contra futuros ataques similares. Pero los investigadores del Proyecto Cero escriben en su análisis que ForcedEntry sigue siendo «uno de los exploits técnicamente más sofisticados que hayamos visto». El Grupo NSO ha alcanzado un nivel de innovación y sofisticación que generalmente se cree que está reservado para un pequeño grupo de piratas informáticos del estado-nación.

«Nunca hemos visto a un exploit en el desierto construir una habilidad equivalente desde un punto de partida tan limitado, incapaz de interactuar con el servidor del atacante, no cargar JavaScript o un motor de scripting similar, etc.», Ian Beer y Samuel. de Project Zero Groß escribió en un correo electrónico a WIRED. “Hay muchos en la comunidad de seguridad que consideran que este tipo de explotación, la ejecución remota de código de una sola vez, es un problema resuelto. Creen que el peso de la mitigación del dispositivo móvil es demasiado para hacer un exploit confiable de un solo disparo. Esto demuestra que no solo es posible, sino que también se puede usar de manera confiable contra personas en la naturaleza «.

Apple agregó la protección de iMessage llamada BlastDoor en iOS 14 en 2020, luego de la investigación de Project Zero sobre la amenaza de los ataques de cero clic. Beer y Groß dicen que BlastDoor parece haber logrado hacer que los ataques de iMessage no interactivos sean mucho más difíciles. «Hacer que los atacantes trabajen más duro y tomen más riesgos es parte del plan para hacer que el Día Cero sea difícil», dijeron a WIRED. Pero el Grupo NSO finalmente encontró un camino.

ForcedEntry aprovecha las debilidades en la forma en que iMessage acepta e interpreta archivos como GIF para engañar a la plataforma para que abra un PDF malicioso sin que la víctima haga nada. El ataque aprovechó una vulnerabilidad en una herramienta de compresión obsoleta que se utilizó para procesar texto en imágenes desde un escáner físico, lo que permitió a los clientes de NSO Group hacerse cargo por completo de un iPhone. En esencia, los algoritmos de los años 90 utilizados en el fotocopiado y la compresión de escaneo todavía están al acecho en el software de comunicaciones moderno, con todos los errores y el bagaje que conlleva.

La sofisticación no termina aquí. Si bien muchos ataques requieren un servidor de comando y control para enviar instrucciones al malware colocado con éxito, ForcedEntry configura su propio entorno virtualizado. Toda la infraestructura del ataque puede establecerse y escurrirse en un extraño remanso de iMessage, lo que dificulta aún más la detección del ataque. «Es bastante increíble y bastante aterrador al mismo tiempo», concluyeron los investigadores del Proyecto Cero en su análisis.

La profundidad técnica de Project Zero es importante no solo porque explica los detalles de cómo funciona ForcedEntry, sino también porque muestra lo impresionante y peligroso que puede ser el malware desarrollado de forma privada, dijo John Scott-Railton, investigador principal de Citizen Lab.

“Eso corresponde a las capacidades serias del estado-nación”, dice. “Es algo realmente ingenioso, y cuando lo maneja un autócrata a todo gas y sin frenos, es totalmente aterrador. Y te preguntas qué más se usa y solo espera ser descubierto. Cuando la sociedad civil está expuesta a tal amenaza, es realmente una emergencia «.

Después de años de controversia, es posible que haya una creciente voluntad política de recurrir a desarrolladores privados de software espía. Por ejemplo, un grupo de 18 congresistas estadounidenses envió una carta al Departamento del Tesoro y al Departamento de Estado el martes instando a las autoridades a sancionar al Grupo NSO y otras tres firmas internacionales de vigilancia, como informó Reuters por primera vez.

“Esto no es ‘excepcionalismo NSO’. Hay muchas empresas que ofrecen servicios similares que probablemente hagan cosas similares ”, dijeron Beer y Groß a WIRED. «Esta vez, NSO fue la empresa atrapada en el acto».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *