El fabricante israelí de spyware NSO Group implementó al menos tres nuevos exploits de “clic cero” contra iPhones en 2022 para infiltrarse en las defensas erigidas por Apple y desplegar Pegasus, según los últimos hallazgos de Citizen Lab.
“Los clientes de NSO Group implementaron ampliamente al menos tres cadenas de explotación sin clic de iOS 15 e iOS 16 contra objetivos de la sociedad civil en todo el mundo”, el laboratorio interdisciplinario con sede en la Universidad de Toronto. dicho.
NSO Group es el fabricante de Pegasus, un arma cibernética sofisticada que es capaz de extraer información confidencial almacenada en un dispositivo, por ejemplo, mensajes, ubicaciones, fotos y registros de llamadas, entre otros, en tiempo real. Por lo general, se entrega a iPhones específicos mediante exploits de día cero y/o clic cero.
Si bien se ha presentado como una herramienta para que los organismos encargados de hacer cumplir la ley combatan delitos graves como el abuso sexual infantil y el terrorismo, los gobiernos autoritarios también la han utilizado ilegalmente para espiar a los defensores de los derechos humanos, los defensores de la democracia, los periodistas, los disidentes y otros.
El mal uso de Pegasus llevó al gobierno de EE. UU. a agregar a NSO Group a su lista de bloqueo comercial a fines de 2021, y Apple presentó una demanda contra la compañía por atacar a sus usuarios.
En julio de 2022, se supo que el software espía se usó contra activistas tailandeses involucrados en las protestas a favor de la democracia del país entre octubre de 2020 y noviembre de 2021 mediante dos exploits de cero clic llamados KISMET y FORCEDENTRY.
Dos de los objetivos de la última campaña descubierta por Citizen Lab incluyen defensores de los derechos humanos del Centro PRODH, que representa a las víctimas de ejecuciones extrajudiciales y desapariciones del Ejército Mexicano. Las intrusiones ocurrieron en junio de 2022.
Esto implicó el uso de tres cadenas de exploits dispares denominadas LATENTIMAGE, FINDMYPWN y PWNYOURHOME que armaron varias fallas en iOS 15 e iOS 16 como días cero para penetrar en los dispositivos y, en última instancia, lanzar Pegasus:
- IMAGEN LATENTE (iOS versión 15.1.1, detectada en enero de 2022): un exploit que se sospecha que involucra la función Find My del iPhone y Trampolín
- FINDMYPWN (versiones de iOS 15.5 y 15.6, detectadas en junio de 2022): un exploit de dos fases que utiliza el servicio Find My e iMessage
- PWNTUCASA (Versión de iOS 16.0.3, detectada en octubre de 2022): un exploit de dos fases que combina la funcionalidad de HomeKit integrada en iPhones e iMessage para eludir las protecciones de BlastDoor
En una señal alentadora, Citizen Lab dijo que encontró evidencia de que el modo de bloqueo intervino para frustrar un intento de ataque PWNYOURHOME, advirtiendo a los usuarios que bloqueó a personas desconocidas con Gmail y Yahoo! cuentas de intentar “acceder a una casa”.
El desarrollo marca la primera instancia documentada públicamente en la que el modo de bloqueo, que está diseñado específicamente para reducir la superficie de ataque del iPhone, ha protegido con éxito a una persona de un compromiso.
Dicho esto, Citizen Lab señaló que NSO Group “puede haber descubierto una forma de corregir el problema de la notificación, como mediante el modo de bloqueo de huellas dactilares”. Desde entonces, Apple envió varias mejoras de seguridad a HomeKit en iOS 16.3.1 y envió notificaciones a víctimas específicas en noviembre y diciembre de 2022 y marzo de 2023.
Los hallazgos son el último ejemplo de las técnicas de ataque en evolución de NSO para ingresar a los iPhone sin requerir que ningún objetivo tome ninguna acción para desencadenar la infección.
También coinciden con una nueva investigacion del New York Times que revela el uso de Pegasus por parte de México para atacar a los defensores de los derechos humanos en los últimos meses, y detalla cómo el país se convirtió en el primer y más prolífico usuario del spyware.
En otro indicio más de la naturaleza omnipresente de tales campañas, Jamf Threat Labs descubrió evidencia de un activista de derechos humanos con sede en el Medio Oriente, así como de un periodista húngaro, que fueron atacados con spyware. Sus nombres no fueron revelados.
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
El ataque dirigido al iPhone del periodista también es significativo por el hecho de que el dispositivo era un iPhone 6s, que ya no es compatible con la última versión de iOS, lo que indica la inclinación de los actores de amenazas por explotar vulnerabilidades conocidas y desconocidas para lograr sus objetivos.
Si bien Apple realiza correcciones de back-port para fallas críticas en dispositivos más antiguos (la versión actual compatible con iPhone 6s es iOS 15.7.5), es importante tener en cuenta que no todas las vulnerabilidades se abordan para dispositivos heredados.
“Como resultado, los actores de amenazas pueden continuar explotando vulnerabilidades sin parchear que han sido parcheadas en dispositivos compatibles más nuevos, lo que podría dar a los atacantes más tiempo y más información para obtener acceso remoto a los dispositivos objetivo”, Jamf dicho.
Para protegerse contra los ataques de spyware, se recomienda aplicar las últimas actualizaciones del sistema operativo, actualizar los dispositivos obsoletos a modelos más nuevos de iPhone o iPad y considerar habilitar Modo de bloqueo.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, en un consultivo publicado el 19 de abril de 2023, advirtió que “la proliferación de herramientas cibernéticas comerciales representará una amenaza creciente para las organizaciones y las personas en todo el mundo”.
“La proliferación comercial de herramientas y servicios cibernéticos reduce la barrera de entrada a los actores estatales y no estatales para obtener capacidad e inteligencia que de otro modo no podrían desarrollar o adquirir”, dijo la agencia. dicho.