Se utilizó un exploit de clic cero previamente desconocido en iMessage de Apple para instalar software espía mercenario de NSO Group y Candiru contra al menos 65 personas como parte de una “operación clandestina de varios años”.
“Las víctimas incluyeron miembros del Parlamento Europeo, presidentes catalanes, legisladores, juristas y miembros de organizaciones de la sociedad civil”, el Citizen Lab de la Universidad de Toronto. dicho en un nuevo informe. “Los miembros de la familia también se infectaron en algunos casos”.
De los 65 individuos, 63 fueron atacados con Pegasus y otros cuatro fueron infectados con Candiru, con iPhones pertenecientes a al menos dos comprometidos con ambos. Se dice que los incidentes ocurrieron principalmente entre 2017 y 2020.
Los ataques involucraron el armamento de un exploit de iOS denominado HOMAGE que hizo posible penetrar en los dispositivos que ejecutan versiones anteriores a iOS 13.2, que se lanzó el 28 de octubre de 2019. Vale la pena señalar que la última versión de iOS es iOS 15.4.1.
Aunque las intrusiones no han sido atribuidas a un gobierno o entidad específica, el Laboratorio Ciudadano insinuó una conexión con el gobierno español, citando tensiones en curso entre el país y la comunidad autónoma de Cataluña en medio de llamados a la independencia catalana.
Los hallazgos se basan en un informe previo de The Guardian y El País en julio de 2020 que reveló un caso de espionaje político interno dirigido a los partidarios de la independencia catalana utilizando una vulnerabilidad en WhatsApp para entregar el software de vigilancia Pegasus.
Además de confiar en la vulnerabilidad de WhatsApp ahora parcheada (CVE-2019-3568), la ataques hizo uso de múltiples exploits de iMessage con cero clics y mensajes SMS maliciosos para hackear los iPhones de objetivos catalanes con Pegasus durante un período de tres años.
“El exploit HOMAGE parece haber estado en uso durante los últimos meses de 2019 e involucró un componente de clic cero de iMessage que lanzó una instancia de WebKit en el proceso com.apple.mediastream.mstreamd, siguiendo un com.apple.private.alloy .photostream busca una dirección de correo electrónico de Pegasus”, dijeron los investigadores.
Es probable que Apple haya solucionado el problema en la versión iOS 13.2, ya que se observó que el exploit solo se activaba contra dispositivos que ejecutaban iOS 13.1.3 y versiones anteriores. También se puso en uso otra cadena de explotación llamada KISMET que estaba presente en iOS 13.5.1.
Por otro lado, las cuatro personas que se vieron comprometidas con el software espía de Candiru fueron víctimas de un ataque de ingeniería social basado en correo electrónico diseñado para engañar a las víctimas para que abrieran enlaces aparentemente legítimos sobre COVID-19 y mensajes que se hacían pasar por el Mobile World Congress (CMM), una feria anual que tiene lugar en Barcelona.
Tanto el software espía de Pegasus como el de Candiru (llamado DevilsTongue por Microsoft) están diseñados para obtener un amplio acceso encubierto a información confidencial almacenada en dispositivos móviles y de escritorio.
“El software espía […] es capaz de leer textos, escuchar llamadas, recopilar contraseñas, rastrear ubicaciones, acceder al micrófono y la cámara del dispositivo objetivo y recopilar información de las aplicaciones”, dijeron los investigadores. dicho. “Las llamadas y los chats encriptados también se pueden monitorear. La tecnología puede incluso mantener el acceso a las cuentas en la nube de las víctimas después de que la infección haya terminado”.
Los vínculos con Pegasus y Candiru de NSO Group provienen de superposiciones de infraestructura, y es probable que las operaciones de piratería sean obra de un cliente con vínculos con el gobierno español debido al momento de los ataques y los patrones de victimología, dijo Citizen Lab.
“El caso es notable debido a la naturaleza desenfrenada de las actividades de piratería”, concluyeron los investigadores.
“Si el gobierno español es responsable de este caso, plantea preguntas urgentes sobre si existe una supervisión adecuada sobre las agencias de inteligencia y seguridad del país, así como si existe un marco legal sólido que las autoridades deben seguir para emprender cualquier actividad de piratería”. .”
About the Author
