Los investigadores de Project Zero de Google, Ian Beer y Samuel Groß, han analizado FORCEDENTRY, el malware desarrollado por NSO Group que ha permitido a adversarios infectar dispositivos de Apple, sin que el propietario lo supiera, con el programa espía Pegasus de NSO Group.
En un artículo titulado “A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution” (Una mirada en profundidad a un exploit de tipo cero clic de NSO para iMessage: Ejecución remota de código), los investigadores concluyen que es “uno de los exploits más sofisticados técnicamente” que han visto, rivalizando con “los que antes se creía que sólo eran accesibles para un puñado de estados nacionales.”
“Queremos agradecer a Citizen Lab por compartir con nosotros una muestra del exploit FORCEDENTRY, y al grupo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple por colaborar con nosotros en el análisis técnico. Las opiniones editoriales reflejadas a continuación son únicamente del Proyecto Zero y no reflejan necesariamente las de las organizaciones con las que hemos colaborado durante esta investigación”, escriben los investigadores.
A principios de este año, Citizen Lab logró detectar un exploit de iMessage de NSO que se utilizaba para atacar a un activista saudí. En el blog de Project Zero, Beer y Groß describen por primera vez cómo funciona un exploit de iMessage basado en cero clics: “Basándonos en nuestras investigaciones y descubrimientos, consideramos que se trata de uno de los exploits más sofisticados desde el punto de vista técnico que jamás hayamos visto, lo que demuestra que las capacidades que ofrece NSO rivalizan con las que hasta ahora se creía que sólo eran accesibles para un puñado de estados nacionales”.
La vulnerabilidad de la que hablan los investigadores fue corregida el 13 de septiembre de 2021 en iOS 14.8 como CVE-2021-30860.
Beer y Groß describen a NSO Group como uno de los proveedores más conocidos de “acceso como servicio”, que vende soluciones de hacking empaquetadas que permiten a los actores de los Estados nación sin capacidad cibernética ofensiva propia “pagar para jugar”, ampliando enormemente el número de naciones con tales capacidades.
Durante años, grupos como Citizen Lab y Amnistía Internacional han seguido el uso del paquete de software espía para móviles “Pegasus” de NSO. A pesar de las seguridades dadas por NSO en el sentido que evalúan el potencial de impactos adversos sobre los derechos humanos derivados del mal uso de los productos de NSO, Pegasus ha sido vinculado al hackeo del periodista del New York Times Ben Hubbard por parte del régimen saudí, al hackeo de defensores de los derechos humanos en Marruecos y Bahréin, al ataque al personal de Amnistía Internacional y a docenas de otros casos.
El mes pasado, Estados Unidos incluyó a NSO en la “Lista de Entidades”, restringiendo severamente la capacidad de las empresas estadounidenses para hacer negocios con NSO y declarando en un comunicado de prensa que “[las herramientas de NSO] permitieron a los gobiernos extranjeros llevar a cabo la represión transnacional, que es la práctica de los gobiernos autoritarios de atacar a los disidentes, periodistas y activistas fuera de sus fronteras soberanas para silenciar la disidencia”.
El usuario solamente era hackeado al hacer clic en el enlace, una técnica conocida como one-click exploit. Sin embargo, recientemente se ha documentado que NSO está ofreciendo a sus clientes una tecnología de explotación de cero clics, en la que incluso víctimas con grandes conocimientos técnicos, que podrían no hacer clic en un enlace de phishing, no son conscientes de que están siendo atacadas. En el escenario de clic cero no se requiere la interacción del usuario. Es decir, el atacante no necesita enviar mensajes de phishing; el exploit simplemente funciona de forma silenciosa en segundo plano. Si no se utiliza un dispositivo, no hay forma de evitar la explotación de un exploit de clic cero; es un arma contra la que no hay defensa.
El informe completo de Ian Beer y Samuel Groß, de Project Zero de Google, está disponible en este enlace.
