Mensajes maliciosos instalaron un spyware que grababa audio y fotos y robaba contraseñas.

Tres docenas de periodistas fueron hackeados en julio y agosto usando lo que en ese momento era una explotación de día cero de iMessage que no requería que las víctimas tomaran ninguna acción para ser infectadas, dijeron los investigadores.

El exploit y la carga útil que instaló fueron desarrollados y vendidos por el Grupo NSO, según un informe publicado el domingo por Citizen Lab, un grupo de la Universidad de Toronto que investiga y expone los hackeos a disidentes y periodistas. NSO es un fabricante de herramientas de hacking ofensivo que ha sido objeto de críticas en los últimos años por la venta de sus productos a grupos y gobiernos con un pobre historial de derechos humanos. La NSO ha cuestionado algunas de las conclusiones del informe de Citizen Lab.

The attacks infected the targets’ phones with Pegasus, an NSO-made implant for both iOS and Android that has a full range of capabilities, including recording both ambient audio and phone conversations, taking pictures, and accessing passwords and stored credentials. The hacks exploited a critical vulnerability in the iMessage app that Apple researchers weren’t aware of at the time. Apple has since fixed the bug with the rollout of iOS 14.

More successful, more covert

Over the past few years, NSO exploits have increasingly required no user interaction—such as visiting a malicious website or installing a malicious app—to work. One reason these so-called zero-click attacks are effective is that they have a much higher chance of success, since they can strike targets even when victims have considerable training in preventing such attacks.

En 2019, alega Facebook, los atacantes explotaron una vulnerabilidad en el mensajero WhatsApp de la compañía para atacar 1.400 iPhones y dispositivos Android con Pegasus. Tanto Facebook como investigadores externos dijeron que el exploit funcionó simplemente llamando a un dispositivo objetivo. El usuario no tenía que haber respondido al dispositivo, y una vez infectado, los atacantes podían borrar cualquier registro que mostrara que se había hecho un intento de llamada.
Otro beneficio clave de los exploits de «cero clic» es que son mucho más difíciles de rastrear para los investigadores después.

«La tendencia actual hacia los vectores de infección de clic cero y las capacidades antiforenses más sofisticadas forma parte de un cambio más amplio de toda la industria hacia medios de vigilancia más sofisticados y menos detectables», escribieron los investigadores del Citizen Lab Bill Marczak, John Scott-Railton, Noura Al-Jizawi, Siena Anstis y Ron Deibert. «Aunque se trata de una evolución tecnológica predecible, aumenta los desafíos tecnológicos a los que se enfrentan tanto los administradores de redes como los investigadores».

En otra parte del informe, los autores escribieron:

Más recientemente, el Grupo NSO está cambiando hacia los exploits de «zero click» y los ataques basados en la red que permiten a sus clientes gubernamentales irrumpir en los teléfonos sin ninguna interacción del objetivo, y sin dejar ningún rastro visible. La brecha de WhatsApp de 2019, en la que al menos 1.400 teléfonos fueron atacados mediante un exploit enviado a través de una llamada de voz perdida, es un ejemplo de este cambio. Afortunadamente, en este caso, WhatsApp notificó a los objetivos. Sin embargo, es más difícil para los investigadores rastrear estos ataques de clic cero porque los objetivos pueden no notar nada sospechoso en su teléfono. Incluso si observan algo como un comportamiento de llamada «raro», el evento puede ser transitorio y no dejar ningún rastro en el dispositivo.

El cambio hacia los ataques de clic cero por parte de una industria y clientes ya empapados de secretos aumenta la probabilidad de que el abuso pase desapercibido. No obstante, seguimos desarrollando nuevos medios técnicos para rastrear los abusos de la vigilancia, como nuevas técnicas de análisis de redes y dispositivos.

Citizen Lab dijo que ha concluido con una confianza media que algunos de los ataques que descubrió fueron respaldados por el gobierno de los Emiratos Árabes Unidos y otros ataques por el gobierno de Arabia Saudita. Los investigadores dijeron que sospechan que las 36 víctimas que identificaron -incluidos 35 periodistas, productores, presentadores y ejecutivos de Al-Jazeera y un periodista de Al Araby TV- son sólo una pequeña fracción de las personas a las que se dirigió la campaña.

La ONE responde
En una declaración, un portavoz de la NSO escribió:

Este memorándum se basa, una vez más, en la especulación y carece de cualquier evidencia que apoye una conexión con la NSO. En cambio, se basa en suposiciones hechas únicamente para encajar en la agenda de Citizen Lab.

La NSO provee productos que permiten a las agencias gubernamentales de aplicación de la ley enfrentar el crimen organizado y el contraterrorismo solamente, y como se dijo en el pasado no los operamos.
Sin embargo, cuando recibimos evidencia creíble de mal uso con suficiente información que nos permite evaluar dicha credibilidad, tomamos todos los pasos necesarios de acuerdo con nuestro procedimiento de investigación para revisar las acusaciones.

A diferencia de Citizen Lab, que sólo tiene «confianza media» en su propio trabajo, SABEMOS que nuestra tecnología ha salvado las vidas de personas inocentes en todo el mundo.

Nos preguntamos si Citizen Lab entiende que al seguir esta agenda, están proporcionando a los actores corporativos irresponsables, así como a los terroristas, pedófilos y jefes de los cárteles de la droga un libro de jugadas sobre cómo evitar la aplicación de la ley.

La NSO, mientras tanto, continuará trabajando incansablemente para hacer del mundo un lugar más seguro.

Como se ha señalado anteriormente, los días cero de clic cero son difíciles, si no imposibles, de prevenir incluso por usuarios con una amplia formación en materia de seguridad. Por muy potentes que sean estas hazañas, su alto costo y la dificultad para conseguirlas hacen que se utilicen sólo contra una pequeña población de personas. Eso significa que es poco probable que la gran mayoría de los usuarios de dispositivos móviles sean alguna vez blanco de este tipo de ataques.

En un comunicado, los representantes de Apple escribieron: «En Apple, nuestros equipos trabajan incansablemente para reforzar la seguridad de los datos y dispositivos de nuestros usuarios. iOS 14 es un gran avance en materia de seguridad y ofrece nuevas protecciones contra este tipo de ataques. El ataque descrito en la investigación fue altamente dirigido por los estados nacionales contra individuos específicos. Siempre instamos a los clientes a descargar la última versión del software para protegerse a sí mismos y a sus datos».

Un portavoz de Apple dijo que la compañía no ha sido capaz de verificar independientemente los hallazgos de Citizen Lab.

Los investigadores aún no han determinado la vulnerabilidad precisa del iOS utilizado en estos ataques, pero Citizen Lab dice que los exploits no funcionan contra el iOS 14, que fue lanzado en septiembre. Cualquiera que siga usando una versión más antigua debería actualizarse.

Fuente: Arstechnica