La empresa de vigilancia israelí
NSO Group utilizó múltiples exploits Zero-Days, incluido uno
desconocido llamado «Erised», que aprovechó las vulnerabilidades de
WhatsApp para implementar el software espía Pegasus en ataques de Zero-Click.
Pegasus es la plataforma de software espía de NSO Group (comercializada como
software de vigilancia para gobiernos de todo el mundo), con múltiples
componentes de software que brindan a los clientes amplias capacidades de
vigilancia de los dispositivos comprometidos de las víctimas. Por ejemplo, los
clientes de NSO podrían monitorear la actividad de las víctimas y extraer
información utilizando el agente Pegasus instalado en los teléfonos móviles de
las víctimas.
Según
documentos judiciales
presentados el jueves (descubiertos por primera vez
por el investigador senior de Citizen Lab, John Scott Railton) como parte de
la batalla legal de WhatsApp con el grupo israelí NSO, el fabricante de
software espía desarrolló un exploit llamado ‘Heaven’ antes de abril de
2018. Este componente utilizaba un cliente de WhatsApp personalizado, conocido
como ‘Servidor de instalación de WhatsApp’ (‘WIS’), capaz de hacerse
pasar por el cliente oficial para implementar el agente de software espía
Pegasus en los dispositivos de los objetivos y desde un servidor de terceros
bajo el control de NSO.
Sin embargo, WhatsApp bloqueó el acceso de NSO a los dispositivos infectados y
sus servidores con actualizaciones de seguridad publicadas en septiembre y
diciembre de 2018, impidiendo que el exploit Heaven funcionara.
En febrero de 2019, el fabricante de software espía supuestamente desarrolló
otro exploit conocido como ‘Eden’ para eludir las protecciones
de WhatsApp implementadas en 2018. Como descubrió WhatsApp en mayo de 2019,
los clientes de NSO utilizaron Eden en ataques contra aproximadamente 1.400
dispositivos.
«Como cuestión preliminar, NSO admite que desarrolló y vendió el software
espía descrito en la denuncia, y que el software espía de NSO,
específicamente su vector de instalación sin clic llamado ‘Eden’, que era
parte de una familia de vectores basados en WhatsApp conocidos
colectivamente como ‘Hummingbird'»,
revelan los documentos judiciales. Tamir Gazneli, jefe de investigación y desarrollo de NSO, y los acusados
han admitido que desarrollaron esos exploits extrayendo y descompilando el
código de WhatsApp y aplicando ingeniería inversa»
Después de detectar los ataques, WhatsApp parcheó las vulnerabilidades de Eden
y deshabilitó las cuentas de WhatsApp de NSO. Sin embargo, incluso después de
que el exploit Eden fuera bloqueado en mayo de 2019, los documentos judiciales
dicen que NSO admitió que desarrolló otro vector de instalación (llamado
‘Erised’) que utilizó los servidores de retransmisión de WhatsApp para
instalar el software espía Pegasus.
Los nuevos documentos judiciales dicen que NSO continuó usando y poniendo
Erised a disposición de los clientes incluso después de que se presentó la
demanda en octubre de 2019, hasta que cambios adicionales de WhatsApp
bloquearon su acceso en algún momento después de mayo de 2020. Los testigos de
NSO supuestamente se negaron a responder si el fabricante de software espía
desarrolló más vectores de malware basados en WhatsApp.
También revelaron que el proveedor de software espía reconoció ante el
tribunal que su software espía Pegasus explotó el servicio de WhatsApp para
instalar su agente de software de vigilancia en
«entre cientos y decenas de miles» de dispositivos objetivo. También
admitió aplicar ingeniería inversa a WhatsApp para desarrollar esa capacidad,
instalando «la tecnología» para sus clientes y proporcionándoles las cuentas
de WhatsApp que necesitaban usar en los ataques.
El proceso de instalación de software espía aparentemente se inició cuando un
cliente de Pegasus ingresó el número de teléfono móvil de un objetivo en un
campo de un programa que se ejecutaba en su computadora portátil, lo que
desencadenó la implementación de Pegasus en los dispositivos de los objetivos
de forma remota.
Así, la participación de sus clientes en la operación era limitada ya que sólo
tenían que introducir el número de destino y seleccionar «Instalar». La
instalación del software espía y la extracción de datos fueron manejadas
íntegramente por el sistema Pegasus de NSO, sin requerir conocimientos
técnicos ni acciones adicionales por parte de los clientes.
Sin embargo,
NSO continúa afirmando que no son responsables de las acciones de sus
clientes
o que no tienen acceso a los datos recuperados durante la instalación del
software espía Pegasus, lo que limita su papel en las operaciones de
vigilancia.
Entre otros objetivos, el software espía Pegasus de NSO se utilizó para
piratear los teléfonos de políticos,
periodistas y activistas catalanes,
funcionarios del gobierno del Reino Unido,
diplomáticos finlandeses
y
empleados del Departamento de Estado de Estados Unidos.
En noviembre de 2021, Estados Unidos sancionó a NSO Group y
Candiru (otra empresa Israelí, )por suministrar software utilizado para espiar
a funcionarios gubernamentales, periodistas y activistas. A principios de
noviembre de 2021,
Apple también presentó una demanda contra NSO
por piratear los dispositivos iOS de los clientes de Apple y espiarlos
utilizando el software espía Pegasus.
Fuente:
BC