Una serie de vulnerabilidades de d\u00eda cero que se abordaron el a\u00f1o pasado fueron explotadas por proveedores comerciales de software esp\u00eda para apuntar a dispositivos Android e iOS, revel\u00f3 el Grupo de An\u00e1lisis de Amenazas (TAG) de Google.<\/p>\n
Las dos campa\u00f1as distintas fueron limitadas y altamente dirigidas, aprovechando la brecha de parches entre el lanzamiento de una correcci\u00f3n y cuando realmente se implement\u00f3 en los dispositivos objetivo. Actualmente se desconoce la escala de las dos campa\u00f1as y la naturaleza de los objetivos.<\/p>\n
“Estos proveedores est\u00e1n permitiendo la proliferaci\u00f3n de herramientas de pirater\u00eda peligrosas, armando a los gobiernos que no podr\u00edan desarrollar estas capacidades internamente”, dijo Clement Lecigne de TAG. dicho<\/a> en un nuevo informe.<\/p>\n “Si bien el uso de tecnolog\u00edas de vigilancia puede ser legal seg\u00fan las leyes nacionales o internacionales, a menudo los gobiernos las utilizan para atacar a disidentes, periodistas, trabajadores de derechos humanos y pol\u00edticos de partidos de oposici\u00f3n”.<\/p>\n La primera de las dos operaciones tuvo lugar en noviembre de 2022 e implic\u00f3 el env\u00edo de enlaces acortados a trav\u00e9s de mensajes SMS a usuarios ubicados en Italia, Malasia y Kazajst\u00e1n.<\/p>\n Al hacer clic, las URL redirig\u00edan a los destinatarios a p\u00e1ginas web que albergaban exploits para Android o iOS, antes de ser redirigidos nuevamente a sitios web leg\u00edtimos de noticias o seguimiento de env\u00edos.<\/p>\n La cadena de exploits de iOS aprovech\u00f3 varios errores, incluido CVE-2022-42856 (entonces de d\u00eda cero), CVE-2021-30900<\/a>y un c\u00f3digo de autenticaci\u00f3n de puntero (PAC) derivaci\u00f3n<\/a>para instalar un Archivo .IPA<\/a> en el dispositivo susceptible.<\/p>\n La cadena de exploits de Android constaba de tres exploits: CVE-2022-3723, CVE-2022-4135 (un d\u00eda cero en el momento del abuso) y CVE-2022-38181<\/a> \u2013 para entregar una carga \u00fatil no especificada.<\/p>\n Mientras CVE-2022-38181<\/a>un error de escalada de privilegios que afectaba al controlador del kernel GPU de Mali, fue parcheado por Arm en agosto de 2022, no se sabe si el adversario ya estaba en posesi\u00f3n de un exploit para la falla antes del lanzamiento del parche.<\/p>\n Otro punto a tener en cuenta es que los usuarios de Android que hicieron clic en el enlace y lo abrieron en el navegador de Internet de Samsung fueron redirigidos a Chrome usando un m\u00e9todo llamado redirecci\u00f3n de intenciones<\/a>.<\/p>\n La segunda campa\u00f1a, observada en diciembre de 2022, consisti\u00f3 en varios d\u00edas cero y d\u00edas n dirigidos a la \u00faltima versi\u00f3n del navegador de Internet de Samsung, con los exploits entregados como enlaces \u00fanicos a trav\u00e9s de SMS a dispositivos ubicados en los Emiratos \u00c1rabes Unidos.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n La p\u00e1gina web, similar a las que utiliz\u00f3 la empresa espa\u00f1ola de spyware Variston IT, finalmente implant\u00f3 un conjunto de herramientas malicioso basado en C++ capaz de recopilar datos de las aplicaciones de chat y navegador.<\/p>\n Los defectos explotados constituyen CVE-2022-4262, CVE-2022-3038<\/a>, CVE-2022-22706<\/a>, CVE-2023-0266<\/a>y CVE-2023-26083<\/a>. Se cree que la cadena de explotaci\u00f3n fue utilizada por un cliente o socio de Variston IT.<\/p>\n Amnist\u00eda Internacional, en un informe coordinado, describi\u00f3 la campa\u00f1a de pirater\u00eda de diciembre de 2022 como avanzada y sofisticada y que el exploit fue “desarrollado por una empresa comercial de vigilancia cibern\u00e9tica y vendido a piratas inform\u00e1ticos gubernamentales para llevar a cabo ataques de spyware”.<\/p>\n “La campa\u00f1a de software esp\u00eda reci\u00e9n descubierta ha estado activa desde al menos 2020 y se dirigi\u00f3 a dispositivos m\u00f3viles y de escritorio, incluidos los usuarios del sistema operativo Android de Google”, dijo la organizaci\u00f3n no gubernamental internacional. dicho<\/a>. “El spyware y los exploits de d\u00eda cero se entregaron desde una extensa red de m\u00e1s de 1000 dominios maliciosos<\/a>incluidos dominios que falsifican sitios web de medios en varios pa\u00edses”.<\/p>\n Dicho esto, actualmente se desconoce la escala de las dos campa\u00f1as y la naturaleza de los objetivos.<\/p>\n Las revelaciones se producen pocos d\u00edas despu\u00e9s de que el gobierno de EE. UU. anunciara una orden ejecutiva que restringe a las agencias federales el uso de software esp\u00eda comercial que presenta un riesgo para la seguridad nacional.<\/p>\n “Estas campa\u00f1as son un recordatorio de que la industria del spyware comercial contin\u00faa prosperando”, dijo Lecigne. “Incluso los proveedores de vigilancia m\u00e1s peque\u00f1os tienen acceso a los d\u00edas cero, y los proveedores que almacenan y usan vulnerabilidades de d\u00eda cero en secreto representan un grave riesgo para Internet”.<\/p>\n “Estas campa\u00f1as tambi\u00e9n pueden indicar que los proveedores de vigilancia comparten exploits y t\u00e9cnicas, lo que permite la proliferaci\u00f3n de herramientas de pirater\u00eda peligrosas”.<\/p>\n <\/p>\n