En esta semana, el notorio grupo NSO, proveedor de spyware, dijo a los legisladores europeos que al menos cinco países de la UE han utilizado su poderoso malware de vigilancia Pegasus. Pero a medida que sale a la luz cada vez más sobre la realidad de cómo se ha abusado de los productos de NSO en todo el mundo, los investigadores también están trabajando para crear conciencia de que la industria de la vigilancia por contrato va mucho más allá de una sola empresa.
El jueves, el Grupo de Análisis de Amenazas de Google y el equipo de análisis de vulnerabilidades de Project Zero publicaron hallazgos sobre la versión para iOS de un producto de spyware atribuido al desarrollador italiano RCS Labs.
Los investigadores de Google dicen que detectaron víctimas del software espía en Italia y Kazajstán en dispositivos Android e iOS. La semana pasada, la firma de seguridad Lookout publicó hallazgos sobre la versión para Android del software espía, al que llama «Ermitaño» y también atribuye a RCS Labs. Lookout señala que los funcionarios italianos utilizaron una versión del software espía durante una investigación anticorrupción de 2019. Además de las víctimas ubicadas en Italia y Kazajstán, Lookout también encontró datos que indican que una entidad no identificada usó el software espía para atacar en el noreste de Siria.
“Google ha estado rastreando las actividades de los proveedores comerciales de spyware durante años, y en ese tiempo hemos visto cómo la industria se expandía rápidamente de unos pocos proveedores a un ecosistema completo”, dijo el ingeniero de seguridad de TAG, Clement Lecigne. “Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas, armando a los gobiernos que no podrían desarrollar estas capacidades internamente. Pero hay poca o ninguna transparencia en esta industria, por eso es fundamental compartir información sobre estos proveedores y sus capacidades”.
TAG dice que actualmente rastrea a más de 30 fabricantes de spyware que ofrecen una variedad de capacidades técnicas y niveles de sofisticación a clientes respaldados por el gobierno.
En su análisis de la versión de iOS, los investigadores de Google descubrieron que los atacantes distribuyeron el spyware de iOS usando una aplicación falsa que se parecía a la aplicación My Vodafone del popular operador internacional de telefonía móvil. Tanto en los ataques de Android como de iOS, los atacantes pueden simplemente haber engañado a los objetivos para que descarguen lo que parecía ser una aplicación de mensajería mediante la distribución de un enlace malicioso para que las víctimas hicieran clic. Pero en algunos casos particularmente dramáticos de ataques a iOS, Google descubrió que los atacantes podrían haber estado trabajando con los ISP locales para cortar la conexión de datos móviles de un usuario específico, enviarles un enlace de descarga malicioso por SMS y convencerlos de que instalen la aplicación My Vodafone falsa. a través de Wi-Fi con la promesa de que esto restauraría su servicio celular.
Los atacantes pudieron distribuir la aplicación maliciosa porque RCS Labs se había registrado en el Programa de Desarrolladores Empresariales de Apple, aparentemente a través de una empresa fantasma llamada 3-1 Mobile SRL, para obtener un certificado que les permitiera descargar aplicaciones sin pasar por el proceso de revisión típico de la AppStore de Apple.
Apple dice que todas las cuentas y certificados conocidos asociados con la campaña de spyware han sido revocados.
“Los certificados empresariales están destinados solo para uso interno de una empresa, y no están destinados a la distribución general de aplicaciones, ya que pueden usarse para eludir las protecciones de App Store e iOS”, escribió la compañía en un informe de octubre sobre la carga lateral. “A pesar de los estrictos controles y la escala limitada del programa, los malos actores han encontrado formas no autorizadas de acceder a él, por ejemplo, comprando certificados empresariales en el mercado negro”.
Ian Beer, miembro de Project Zero, realizó un análisis técnico de los exploits utilizados en el malware RCS Labs para iOS. Señala que el spyware usa un total de seis exploits para obtener acceso y vigilar el dispositivo de la víctima. Si bien cinco son exploits conocidos y que circulan públicamente para versiones anteriores de iOS, el sexto era una vulnerabilidad desconocida en el momento en que se descubrió. (Apple reparó esa vulnerabilidad en diciembre). Ese exploit aprovechó los cambios estructurales en la forma en que los datos fluyen a través de las nuevas generaciones de «coprocesadores» de Apple a medida que la empresa, y la industria en general, avanzan hacia el «sistema en uno» todo en uno, diseño de un chip”.
El exploit no tiene precedentes en su sofisticación, pero los investigadores de Google señalan que el spyware de RCS Labs refleja una tendencia más amplia en la que la industria de vigilancia por contrato combina técnicas de piratería y exploits existentes con elementos más novedosos para ganar ventaja.
“La industria de la vigilancia comercial se beneficia y reutiliza la investigación de la comunidad de jailbreak. En este caso, tres de cada seis exploits son de jailbreak público”, dice Benoit Sevens, miembro de TAG. “También vemos que otros proveedores de vigilancia reutilizan técnicas y vectores de infección inicialmente utilizados y descubiertos por grupos de ciberdelincuentes. Y al igual que otros atacantes, los proveedores de vigilancia no solo utilizan vulnerabilidades sofisticadas, sino que utilizan ataques de ingeniería social para atraer a sus víctimas”.
La investigación muestra que, si bien no todos los actores son tan exitosos o conocidos como una empresa como NSO Group, muchos actores pequeños y medianos juntos en una industria floreciente están creando un riesgo real para los usuarios de Internet en todo el mundo.