Amir Levy | imágenes falsas
El desarrollador israelí de spyware NSO Group ha sorprendido a la comunidad de seguridad global durante años con herramientas de piratería agresivas y efectivas que pueden apuntar a dispositivos Android e iOS. Los clientes de todo el mundo han abusado tanto de los productos de la compañía que NSO Group ahora enfrenta sanciones, juicios de alto perfil y un futuro incierto. Pero un nuevo análisis del exploit iOS ForcedEntry del fabricante de software espía, implementado en una serie de ataques dirigidos contra activistas, disidentes y periodistas este año, viene con una advertencia aún más fundamental: las empresas privadas pueden producir herramientas de piratería que tienen el ingenio técnico y la sofisticación. de los grupos de desarrollo más elitistas respaldados por el gobierno.
El grupo de búsqueda de errores Project Zero de Google analizó ForcedEntry utilizando una muestra proporcionada por investigadores del Citizen Lab de la Universidad de Toronto, que publicó extensamente este año sobre ataques dirigidos que utilizan el exploit. Los investigadores de Amnistía InterMarketingdecontenido también realizaron una importante investigación sobre la herramienta de piratería este año. El exploit monta un ataque sin clic o sin interacción, lo que significa que las víctimas no necesitan hacer clic en un enlace u otorgar un permiso para que el ataque avance. Project Zero descubrió que ForcedEntry usó una serie de tácticas astutas para apuntar a la plataforma iMessage de Apple, eludir las protecciones que la compañía agregó en los últimos años para dificultar este tipo de ataques y controlar hábilmente los dispositivos para instalar el implante de software espía insignia de NSO, Pegasus.
Apple lanzó una serie de parches en septiembre y octubre que mitigan el ataque ForcedEntry y fortalecen iMessage contra futuros ataques similares. Pero los investigadores de Project Zero escriben en su análisis que ForcedEntry sigue siendo «uno de los exploits técnicamente más sofisticados que jamás hayamos visto». NSO Group ha alcanzado un nivel de innovación y refinamiento, dicen, que generalmente se supone que está reservado para un pequeño grupo de piratas informáticos del estado-nación.
“No hemos visto un exploit en estado salvaje que construya una capacidad equivalente desde un punto de partida tan limitado, sin interacción posible con el servidor del atacante, sin JavaScript o un motor de secuencias de comandos similar cargado, etc.”, Ian Beer y Samuel de Project Zero. Groß escribió en un correo electrónico a WIRED. “Hay muchos dentro de la comunidad de seguridad que consideran este tipo de explotación (ejecución remota de código de disparo único) como un problema resuelto. Creen que el peso total de las mitigaciones proporcionadas por los dispositivos móviles es demasiado alto para construir un exploit de disparo único confiable. Esto demuestra que no solo es posible, sino que se usa en la naturaleza de manera confiable contra las personas”.
Apple agregó una protección de iMessage llamada BlastDoor en el iOS 14 de 2023 inmediatamente después de la investigación de Project Zero sobre la amenaza de los ataques sin clic. Beer y Groß dicen que BlastDoor parece haber tenido éxito en hacer que los ataques de iMessage sin interacción sean mucho más difíciles de realizar. “Hacer que los atacantes trabajen más duro y asuman más riesgos es parte del plan para ayudar a que el día cero sea difícil”, dijeron a WIRED. Pero NSO Group finalmente encontró un camino.
ForcedEntry aprovecha las debilidades en la forma en que iMessage acepta e interpreta archivos como GIF para engañar a la plataforma para que abra un PDF malicioso sin que la víctima haga nada en absoluto. El ataque aprovechó una vulnerabilidad en una herramienta de compresión heredada utilizada para procesar texto en imágenes desde un escáner físico, lo que permitió a los clientes de NSO Group hacerse cargo de un iPhone por completo. Esencialmente, los algoritmos de la década de 1990 que se usaban para fotocopiar y escanear la compresión todavía están al acecho en el software de comunicación moderno, con todas las fallas y el bagaje que los acompaña.
La sofisticación no termina ahí. Si bien muchos ataques requieren un llamado servidor de comando y control para enviar instrucciones al malware colocado con éxito, ForcedEntry configura su propio entorno virtualizado. Toda la infraestructura del ataque puede establecerse y ejecutarse dentro de un extraño remanso de iMessage, lo que hace que el ataque sea aún más difícil de detectar. “Es bastante increíble y, al mismo tiempo, bastante aterrador”, concluyeron los investigadores de Project Zero en su análisis.
La inmersión técnica profunda de Project Zero es significativa no solo porque explica los detalles de cómo funciona ForcedEntry, sino porque revela cuán impresionante y peligroso puede ser el malware desarrollado de forma privada, dice John Scott-Railton, investigador principal de Citizen Lab.
“Esto está a la par con las capacidades serias del estado-nación”, dice. “Es un material realmente sofisticado, y cuando lo maneja un autócrata a todo gas y sin frenos, es totalmente aterrador. Y simplemente te hace preguntarte qué más se está utilizando en este momento que está a la espera de ser descubierto. Si este es el tipo de amenaza que enfrenta la sociedad civil, es realmente una emergencia”.
Después de años de controversia, puede haber una voluntad política creciente para denunciar a los desarrolladores privados de spyware. Por ejemplo, un grupo de 18 congresistas estadounidenses envió el martes una carta a los Departamentos del Tesoro y de Estado pidiendo a las agencias que sancionen a NSO Group y otras tres empresas de vigilancia interMarketingdecontenido, como informó Reuters por primera vez.
“Esto no es ‘excepcionalismo NSO’. Hay muchas empresas que brindan servicios similares que probablemente hacen cosas similares”, dijeron Beer y Groß a WIRED. «Fue solo que, esta vez, NSO fue la compañía que fue atrapada en el acto».
