Los atacantes de un grupo denominado Poison Carp utilizaron exploits de un solo clic e ingeniería social convincente para apuntar a teléfonos iOS y Android pertenecientes a grupos tibetanos en una campaña de seis meses, dijeron los investigadores. Los ataques utilizaron plataformas móviles para lograr una gran escalada de los ataques de espionaje de una década que amenazan a la comunidad religiosa en conflicto, dijeron los investigadores.
El informe fue publicado el martes por Citizen Lab, un grupo de la Munk School de la Universidad de Toronto que investiga ataques contra activistas, grupos étnicos y otros. El informe dice que los atacantes se hicieron pasar por periodistas del New York Times, investigadores de Amnistía InterMarketingdecontenido y otras personas para entablar conversaciones a través del mensajero de WhatsApp con personas de la Oficina Privada de Su Santidad el Dalai Lama, la Administración Central Tibetana, el Parlamento Tibetano y el Parlamento Tibetano. grupos de derechos humanos. En el curso de la conversación, los atacantes incluían enlaces a sitios web que alojaban exploits de «un clic», lo que significa que solo requerían un solo clic para infectar teléfonos vulnerables.
Laboratorio ciudadano
Enfocado y persistente
Ninguno de los ataques que observó Citizen Lab tuvo éxito, porque las vulnerabilidades explotadas ya habían sido parcheadas en los dispositivos iOS y Android atacados. Aún así, los atacantes lograron que ocho de las 15 personas a las que apuntaban abrieran enlaces maliciosos, y se hizo clic en las páginas de ataque acortadas por bit.ly dirigidas a usuarios de iPhone 140 veces. La investigación y la coordinación que llevaron a tantas personas objetivo al borde de la explotación sugieren que los atacantes detrás de la campaña, que se desarrolló desde noviembre de 2023 hasta mayo pasado, eran hábiles y estaban bien organizados.
En un correo electrónico, el investigador de Citizen Lab, Bill Marczak, escribió:
Fue un intento enfocado y persistente de comprometer los dispositivos móviles de miembros de alto rango de la comunidad tibetana. Se prestó especial atención a la selección de objetivos y la ingeniería social. Los operadores crearon varias personas falsas y entablaron extensas conversaciones con personas específicas antes de enviar enlaces de explotación. En general, la artimaña fue persuasiva: en ocho de los 15 intentos de infección, las personas objetivo recuerdan haber hecho clic en el enlace de explotación. Afortunadamente, todas estas personas estaban ejecutando versiones no vulnerables de iOS o Android y no estaban infectadas.
Los ataques observados por Citizen Lab se superponen con los informados hace tres semanas por Google Project Zero. La publicación de Project Zero documentó ataques en estado salvaje que explotaron 14 vulnerabilidades de iOS separadas que se usaron durante dos años en un intento de robar fotos, correos electrónicos, credenciales de inicio de sesión y más de iPhones y iPads.
Los investigadores de la empresa de seguridad Volexity informaron más tarde que encontraron 11 sitios web que sirven a los intereses de los musulmanes uigures que los investigadores creían que estaban vinculados a los ataques identificados por Project Zero. Esos sitios, dijo Volexity, estaban dirigidos a teléfonos iOS y Android.
Escalada significativa
El informe del martes dijo que los mismos atacantes utilizaron algunas de las mismas familias de malware, incluidos los exploits de iOS que requerían un solo clic para infectar teléfonos vulnerables, contra personas de grupos tibetanos de derechos humanos.
«La campaña es el primer caso documentado de exploits móviles con un solo clic utilizados para apuntar a grupos tibetanos», escribieron los investigadores de Citizen Lab. «Representa una escalada significativa en las tácticas de ingeniería social y la sofisticación técnica en comparación con lo que normalmente hemos observado que se usa contra la comunidad tibetana».
De los 17 intentos de intrusión que observó Citizen Lab, 12 de ellos estaban vinculados a páginas que alojaban una cadena de ataque que combinaba múltiples vulnerabilidades de iOS. Todos menos uno de esos enlaces se enviaron durante un lapso de tres días en noviembre, y el último llegó el 22 de abril. La cadena de exploits parecía apuntar a las versiones de iOS 11 a 11.4 en siete modelos de iPhone que van del 6 al X. Parece corresponden a esta cadena de ataque documentada por Project Zero. Para noviembre, las vulnerabilidades ya habían sido reparadas durante cuatro meses. Todas las personas objetivo tenían iPhones que habían sido parcheados, dijo Citizen Lab, y como resultado, ninguno de ellos estaba infectado.
Exploits y encriptación
Si bien los exploits se entregaron sin problemas a través de conexiones HTTP, los exploits también se cifraron mediante un intercambio de claves ECC Diffie-Hellman establecido por el navegador web objetivo y el servidor de control Poison Carp. El cifrado evitaría que cualquier sistema de detección de intrusos en la red detecte código malicioso. También dificultaría el análisis de los ataques, ya que los analistas no podrían reconstruir el código malicioso solo a partir de una captura de tráfico de red.
La carga de spyware de iOS que los atacantes intentaron entregar era similar pero no idéntica a la de principios de este año descrita por Project Zero.
«Según los detalles técnicos proporcionados en el informe de Google, creemos que los dos implantes representan el mismo programa de software espía en diferentes etapas de desarrollo», escribieron los investigadores de Citizen Lab. «La versión de noviembre de 2023 que obtuvimos parece representar una etapa rudimentaria de desarrollo: métodos aparentemente importantes que no se usan, y la implementación de comando y control (C2) carece incluso de las capacidades más básicas».
El implante analizado por Project Zero, por el contrario, proporcionó un conjunto de capacidades mucho más completo.
Mientras tanto, los exploits de Android tampoco lograron infectar a los objetivos. En lugar de desarrollar los ataques por su cuenta, los miembros de Poison Carp parecen haberse copiado de exploits de prueba de concepto publicados por investigadores de sombrero blanco. Uno de los ataques de Poison Carp utilizó un exploit funcional publicado por la empresa de seguridad Exodus Intelligence para un error del navegador Chrome que se solucionó en el código fuente, pero el parche Exodus aún no se había distribuido a los usuarios de Chrome.
Otros ataques incluyeron lo que parecían ser versiones modificadas del código de explotación de Chrome publicado por dos culpables. Uno apareció en las páginas personales de GitHub de un miembro del laboratorio Xuanwu de Tencent (registrado como CVE-2023-1646), que también era miembro del equipo Vulcan de Qihoo 360 (CVE-2023-17480). El otro provino de un miembro de Google Project Zero en Chrome Bug Tracker (CVE-2023-6065).
Software espía de Android nunca antes visto
A diferencia del software espía basado en iOS, el implante de software espía para Android tenía todas las funciones y era sólido. El software espía se entregó en etapas que comenzaron con «Moonshine», el nombre dado al binario inicial del implante. Para asegurarse de que Moonshine logre una operación sigilosa y sin raíces, obtiene persistencia al sobrescribir una biblioteca compartida que rara vez se toca y que usa una de las aplicaciones instaladas en un teléfono infectado. Cuando un objetivo abre la aplicación después de ser explotado, la aplicación carga la biblioteca modificada malintencionadamente en la memoria. El código en etapas posteriores del implante muestra que el mecanismo funciona con cuatro aplicaciones (Facebook, Facebook Messenger, WeChat y QQ), pero el sitio de exploits que Citizen Lab analizó solo entregó exploits para las dos primeras de esas aplicaciones.
Laboratorio ciudadano
La etapa final es una aplicación Java modular que utiliza una conexión WebSocket para establecer comunicaciones bidireccionales con su servidor de control. Después de descargar complementos adicionales, el código tiene una gama completa de capacidades de espionaje que incluyen:
- cargar mensajes de texto SMS, libretas de direcciones y registros de llamadas
- espiar al objetivo a través de la cámara, el micrófono y el rastreador GPS del teléfono
- seguimiento de llamadas recibidas
- tomando capturas de pantalla
- ejecutando comandos de shell
«Creemos que el descubrimiento de este kit de spyware y explotación de Android que llamamos Moonshine representa una herramienta de espionaje no documentada anteriormente. Su enfoque de instalación de varias etapas junto con su persistencia a través del secuestro de la biblioteca de objetos compartidos sugieren un alto grado de conciencia de seguridad operativa y desarrollo experto. .»
Otras innovaciones de la campaña incluyeron persuadir a los objetivos para que instalaran una aplicación maliciosa que usaba el estándar abierto OAuth para acceder a la cuenta de Gmail del objetivo. La artimaña parecía estar diseñada para eludir las protecciones de autenticación de dos factores que requieren una contraseña de un solo uso o una clave de seguridad física además de una contraseña.
Pantalla de autorización para «Energy Mail», una aplicación basada en OAuth que, si se aprueba, podría eludir las protecciones 2FA.
Laboratorio ciudadano
En un comunicado, los representantes de Apple escribieron: «La seguridad de los datos de nuestros clientes es una de las principales prioridades de Apple, y valoramos mucho nuestra colaboración con investigadores de seguridad como Citizen Lab. El problema de iOS detallado en el informe ya había sido descubierto y reparado por el departamento de seguridad». equipo de Apple. Siempre alentamos a los clientes a descargar la última versión de iOS para obtener las mejores y más recientes mejoras de seguridad».
Por su parte, los representantes de Google escribieron: «Colaboramos con Citizen Lab en esta investigación y apreciamos sus esfuerzos para mejorar la seguridad en todas las plataformas. Como se indica en el informe, estos problemas se solucionaron y ya no representan un riesgo para los usuarios con actualizaciones». software actualizado».
Cambiador de juego
Si bien las hazañas se encuentran entre las partes menos impresionantes de la operación observada por Citizen Lab, Poison Carp ha demostrado ser experta en atacar tanto a tibetanos como a uigures, quienes, durante la última década, esperan estar en el extremo receptor de las campañas de piratería de espionaje. . El informe dijo que las campañas son un «cambio de juego» por su capacidad de usar teléfonos móviles para revivir la amenaza.
El informe del martes agregó:
Sin embargo, Poison Carp muestra que la comunidad no espera amenazas móviles, como lo demuestra la alta tasa de clics en los enlaces de explotación que habrían resultado en un compromiso significativo si los dispositivos estuvieran ejecutando versiones vulnerables de iOS o Android… Parte de la El éxito de la ingeniería social utilizada por Poison Carp probablemente se deba al esfuerzo realizado para hacer que las personas objetivo se sientan cómodas a través de conversaciones de chat extendidas y personajes falsos. Este nivel íntimo de orientación es más fácil de lograr en las aplicaciones de chat móvil que a través del correo electrónico.
