Exploit de día cero peligroso de iPhone utilizado por hackers gubernamentales ahora parcheado por Apple

Cuando se trata de privacidad, las agencias gubernamentales no siempre han estado del lado correcto de la ley, de hecho, fue por esta misma razón que las filtraciones de Snowden tuvieron un gran impacto. El 10 de agosto, Ahmed Mansoor, un activista de derechos humanos de los EAU, recibió un extraño mensaje de un número desconocido en su iPhone. El mensaje venía con un hipervínculo bastante engañoso que decía “Nuevos secretos sobre la tortura de los emiratíes en prisiones estatales.”

Mansoor había sido previamente víctima de hackers gubernamentales que utilizaban productos disponibles comercialmente y este enlace solo lo hizo más sospechoso. El activista luego reenvió el mensaje a un investigador de Citizen Lab llamado Bill Marczak. Después de un examen de cerca, se estableció que la sospecha de Mansoor era correcta. El mensaje no era más que una manta que llevaba un sofisticado malware como su carga útil. El malware era, de hecho, una triple amenaza que explotaría tres vulnerabilidades diferentes en iOS de Apple que eran desconocidas para el mundo (ya ha sido parcheado ahora).

Los informes de Citizen Lab y de la empresa de seguridad móvil Lookout confirmaron que el atacante habría obtenido acceso completo al iPhone de Mansoor si hubiera abierto el enlace. Las empresas de seguridad dijeron además que el malware era “Una de las piezas de software de ciberespionaje más sofisticadas que hemos visto.” No se equivoquen, explotar los días cero o errores desconocidos en el iPhone no puede ser obra de un hacker de callejón. Debemos darnos cuenta de que herramientas por valor de hasta un millón de dólares han sido fundamentales en este ataque, que consiste en hacer jailbreak de un iPhone de forma remota.

Los criminales cibernéticos han estado usando la máscara de un sindicato organizado y, de hecho, también se ha revelado anteriormente que los proveedores están ofreciendo ransomware como servicios, al igual que el software como servicio (SaaS). Volviendo al tema, la empresa (seguro que se puede llamar así) que ha suministrado el exploit de día cero a los hackers es una empresa de vigilancia de bajo perfil con sede en Israel llamada NSO Group.

NSO ha sido notoria por suministrar malware sofisticado a gobiernos que necesitaban apuntar a los smartphones de sus víctimas mientras permanecían detrás de puertas cerradas. Considerando la naturaleza de su negocio, la empresa ha estado mayormente en modo sigiloso, pero según información filtrada recientemente, ha sido financiada con 120 millones de dólares a una valoración de 1.000 millones de dólares, una vez más, la gran cantidad de dinero que cambia de manos sugiere problemas sobre sus futuros exploits.

Mike Murray, vicepresidente de Lookout, ha estado bastante animado sobre todo el episodio y así es como describe el malware con sus propias palabras: “Básicamente roba toda la información de tu teléfono, intercepta cada llamada, intercepta cada mensaje de texto, roba todos los correos electrónicos, los contactos, las llamadas de FaceTime. También básicamente crea una puerta trasera en cada mecanismo de comunicación que tienes en el teléfono” y agregó que “Roba toda la información en la aplicación de Gmail, todos los mensajes de Facebook, toda la información de Facebook, tus contactos de Facebook, todo de Skype, WhatsApp, Viber, WeChat, Telegram, lo que sea.”

Los investigadores utilizaron su iPhone de demostración para descubrir cómo el malware infectó el dispositivo. Además, las medidas deprimentes tomadas por las agencias gubernamentales muestran el tipo de información que los periodistas, activistas y disidentes protegen. A menudo son estas personas las que enfrentan la amenaza hoy, pero en un futuro inminente también podrían ser ciudadanos comunes como tú y yo.

La pista

Cómo se atrapó a NSO se puede explicar por una cadena de eventos que difunden aún más cómo se diseñó el malware. Hasta el 10 de agosto, los investigadores no pudieron encontrar las muestras del malware que usaron los hackers, hasta que Mansoor los llevó a ello. Después de examinar el enlace, se dieron cuenta de que el spyware se comunicaba de vuelta a un servidor y una dirección IP que afortunadamente habían fingerprintado en el pasado. Lo que les ayudó aún más es que otro servidor registrado a un empleado de NSO apuntó a la misma dirección IP.

Las cosas comenzaron a aclararse cuando los investigadores vieron la cadena de código en el malware real que decía “PegasusProtocol”, que se vinculó inmediatamente al nombre en clave del spyware de NSO, Pegasus. NSO fue perfilada por The Wall Street Journal y en la descripción bastante corta la empresa reveló que había estado vendiendo sus productos al gobierno mexicano y que incluso estaba recibiendo algo de presión de la CIA. Dado que Apple ya ha parcheado la vulnerabilidad, los días cero en cuestión han sido eliminados. Dicho esto, sería seguro asumir que NSO aún podría estar armada con algunos de estos y la revelación actual no es algo que arruine sus operaciones.

Parche de Apple

El parche de Apple viene incluido en iOS 9.3.5 y se aconseja a los usuarios de iOS que actualicen sus dispositivos de inmediato. Dan Guido, el CEO de la empresa de ciberseguridad, dice que este tipo de ataques rara vez ven la luz del día y casi nunca son atrapados en “la naturaleza”. México parece ser el mejor cliente de los equipos de hacking de todo el mundo y organizaciones como NSO simplemente están llevándolo al siguiente nivel.

Víctimas e intentos

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Mansoor no es la única víctima de este spyware y anteriormente fue un periodista mexicano, Rafael Cabrera, quien recibió mensajes similares. Al igual que con Mansoor, los mensajes enviados a Rafael también venían cargados de titulares engañosos. Tanto Mansoor como Rafael parecen haber escapado del ataque ya que están acostumbrados a mirar por encima de sus hombros, un rasgo que la mayoría de nosotros no tenemos. Para concluir, la privacidad completa parece ser un mito y es casi imposible protegerse de tales ataques. Mientras que el fabricante de smartphones podría destinar más fondos para hacer que sus teléfonos sean seguros, la demanda de armas cibernéticas también aumentará. Solo esperamos que los investigadores de empresas como Citizen Labs estén en alerta para exponer tales hacks y establecer una especie de resurgimiento.