Cómo una falla de software en el iPhone de un activista expuso al grupo NSO y la piratería en todo el mundo

Un solo activista ayudó a cambiar el rumbo contra NSO Group, una de las compañías de spyware más sofisticadas del mundo, que ahora enfrenta una cascada de juicios y auditorías en Washington por nuevas acusaciones maliciosas de que su software se usó para piratear a funcionarios gubernamentales y disidentes en todo el mundo. mundo.

Todo comenzó con una falla de software en su iPhone.

Un error inusual en el software espía de la NSO permitió que la activista por los derechos de las mujeres saudíes Loujain al-Hathloul y los investigadores de privacidad descubrieran una gran cantidad de evidencia que sugería que el fabricante israelí de software espía había ayudado a piratear su iPhone, según seis personas involucradas en el accidente. Un misterioso archivo de imagen falso dentro de su teléfono, dejado por error por un software espía, ha informado a los investigadores de seguridad.

El descubrimiento en el teléfono de al-Hathloul el año pasado provocó una tormenta de juicios y acciones gubernamentales que pusieron a la NSO a la defensiva. Aquí se informa por primera vez cómo se descubrió inicialmente la piratería.

Al-Hathloul, una de las activistas más prominentes de Arabia Saudita, es conocida por ayudar a liderar una campaña para poner fin a la prohibición de que las mujeres conduzcan en Arabia Saudita. Fue liberada de prisión en febrero de 2021 bajo sospecha de dañar la seguridad nacional.

Inmediatamente después de su liberación de prisión, la activista recibió un correo electrónico de Google advirtiéndole que piratas informáticos respaldados por el estado habían intentado ingresar a su cuenta de Gmail. Temiendo que su iPhone también hubiera sido pirateado, al-Hathloul se puso en contacto con el grupo canadiense de derechos de privacidad Citizen Lab y les pidió que probaran su dispositivo en busca de pruebas, dijeron a Reuters tres personas cercanas a al-Hathloul.

Después de seis meses de escarbar en los datos de su iPhone, el investigador de Citizen Lab, Bill Marczak, hizo lo que describió como un descubrimiento sin precedentes: un mal funcionamiento en el software de vigilancia implantado en su teléfono dejó una copia del archivo de imagen malicioso en lugar de darse de baja, después de robar su mensajes del objetivo.

Dijo que el descubrimiento, el código de computadora que quedó del ataque, proporcionó evidencia directa de que la NSO construyó la herramienta de espionaje.

“Fue un punto de inflexión”, dijo Marczak. “Capturamos algo que el club pensó que era imparable”.

El descubrimiento equivalía a un proyecto de piratería y llevó a Apple a notificar a miles de otras víctimas de piratería respaldadas por el estado en todo el mundo, según cuatro personas con conocimiento directo del incidente.

El descubrimiento de Citizen Lab y al-Hathloul proporcionó la base para la demanda de Apple de noviembre de 2021 contra la NSO y también se extendió a Washington, donde los funcionarios estadounidenses se enteraron de que el arma cibernética de la NSO se había utilizado para espiar a los diplomáticos estadounidenses.

En los últimos años, la industria del software espía ha experimentado un crecimiento explosivo a medida que los gobiernos de todo el mundo han comprado software para piratear teléfonos que permite el tipo de vigilancia digital que alguna vez estuvo al alcance de unas pocas agencias de inteligencia de élite.

Durante el año pasado, una serie de revelaciones de periodistas y activistas, incluida la colaboración periodística internacional Pegasus Project, vincularon la industria del spyware con violaciones de derechos humanos, lo que generó un mayor escrutinio sobre la NSO y sus pares.

Pero los investigadores de seguridad dicen que el descubrimiento de al-Hathloul fue el primero en proporcionar un plan para una nueva y poderosa forma de espionaje cibernético, una herramienta de piratería que penetra en los dispositivos sin ninguna interacción del usuario, proporcionando evidencia más concreta hasta la fecha que el alcance del arma.

En un comunicado, un portavoz de la NSO dijo que la compañía no usa las herramientas de piratería que vende: “las agencias gubernamentales, policiales y de inteligencia sí lo hacen”. El portavoz no respondió a las preguntas sobre si su software se usó para atacar a al-Hathloul u otros activistas.

Pero el portavoz dijo que las organizaciones que hacían las afirmaciones eran “opositores políticos de la inteligencia cibernética” y sugirió que algunas de las acusaciones eran “contractuales y tecnológicamente imposibles”. El vocero se negó a dar detalles, citando los acuerdos de confidencialidad del cliente.

Sin entrar en detalles, la compañía dijo que tiene un procedimiento establecido para investigar el supuesto mal uso de sus productos y cortar clientes por cuestiones de derechos humanos.

Descubriendo el proyecto

Al-Hathloul tenía buenas razones para sospechar: no era la primera vez que la observaban.

Una investigación de Reuters de 2019 reveló que en 2017 fue atacada por un equipo de mercenarios estadounidenses que monitoreaba a los disidentes en nombre de los Emiratos Árabes Unidos bajo un programa secreto llamado Project Raven, que la clasificó como una “amenaza a la seguridad nacional” y hackeó su iPhone.

Fue arrestada y encarcelada en Arabia Saudita durante casi tres años, donde su familia dice que fue torturada e interrogada usando información robada de su dispositivo. Al-Hathloul fue liberado en febrero de 2021 y actualmente tiene prohibido salir del país.

Reuters no tiene evidencia de que la NSO estuviera involucrada en ese ataque anterior.

La experiencia de vigilancia y detención de Al-Hathloul la determinó a recopilar pruebas que pudieran usarse contra quienes manejan estas herramientas, dijo su hermana Lina al-Hathloul. “Siente que tiene la responsabilidad de continuar esta lucha porque sabe que puede cambiar las cosas”.

El tipo de spyware que Citizen Lab descubrió en el iPhone de al-Hathloul se conoce como “cero clics”, lo que significa que el usuario puede infectarse sin siquiera hacer clic en un enlace malicioso.

El malware de clic cero generalmente se elimina solo después de infectar a un usuario, lo que deja a los investigadores y las empresas tecnológicas sin una muestra del arma para estudiar. Esto puede hacer que sea casi imposible recopilar pruebas sólidas de los hackeos de iPhone, dicen los investigadores de seguridad.

Pero esta vez fue diferente.

La falla del software dejó una copia del spyware oculta en el iPhone de al-Hathloul, lo que permitió a Marczak y su equipo obtener un plano virtual del ataque y una prueba de quién lo creó.

“Teníamos el caso de la escena del crimen aquí”, dijo.

Marczak y su equipo descubrieron que el software espía funcionaba en parte al enviar archivos de imágenes a al-Hathloul a través de un mensaje de texto invisible.

Los archivos de imagen engañaron al iPhone para que diera acceso a toda su memoria, eludiendo la seguridad y permitiendo la instalación de software espía que robaría los mensajes de un usuario.

El descubrimiento de Citizen Lab proporcionó evidencia sólida de que el arma cibernética fue construida por la NSO, dijo Marczak, cuyo análisis fue confirmado por investigadores de Amnistía Internacional y Apple, según tres personas con conocimiento de primera mano de la situación.

El software espía encontrado en el dispositivo de al-Hathloul contenía un código que mostraba que se estaba comunicando con los servidores de Citizen Lab previamente identificados como controlados por la NSO, dijo Marczak. Citizen Lab llamó a este nuevo método de pirateo de iPhone “ForcedEntry”. Luego, los investigadores proporcionaron la muestra a Apple en septiembre pasado.

Tener un plan de ataque en la mano permitió a Apple corregir la vulnerabilidad crítica y los llevó a notificar a miles de otros usuarios de iPhone que habían sido atacados por el software NSO, advirtiéndoles que estaban siendo atacados por “ataques patrocinados por el estado”. .

Era la primera vez que Apple daba este paso.

Si bien Apple determinó que la gran mayoría había sido atacada a través de la herramienta NSO, los investigadores de seguridad también descubrieron que el software espía de un segundo proveedor israelí, QuaDream, explotaba la misma vulnerabilidad que el iPhone, según Reuters a principios de este mes. QuaDream no respondió a las repetidas solicitudes de comentarios.

Las víctimas iban desde disidentes críticos con el gobierno tailandés hasta activistas de derechos humanos en El Salvador.

Citando los resultados obtenidos del teléfono de al-Hathloul, Apple demandó a NSO en un tribunal federal en noviembre alegando que el fabricante de software espía había violado las leyes estadounidenses al crear productos diseñados “para atacar, atacar y dañar a los usuarios de Apple. Apple y los productos de Apple”. Apple le dio crédito a Citizen Lab por proporcionar “información técnica” utilizada como prueba para la demanda, pero no reveló que se obtuvo originalmente del iPhone de al-Hathloul.

NSO dijo que sus herramientas ayudaron a las fuerzas del orden público y salvaron “miles de vidas”. La empresa dijo que algunas de las acusaciones atribuidas al software NSO no eran creíbles, pero se negó a elaborar afirmaciones específicas citando acuerdos de confidencialidad con sus clientes.

Entre los que Apple advirtió había al menos nueve empleados del Departamento de Estado de EE. UU. en Uganda que fueron atacados con el software NSO, según personas familiarizadas con el asunto, lo que provocó una nueva ola de críticas contra la compañía Washington.

En noviembre, el Departamento de Comercio de EE. UU. colocó a NSO en una lista negra comercial, impidiendo que las empresas estadounidenses vendieran los productos de software de la empresa israelí, amenazando su cadena de suministro.

El Departamento de Comercio dijo que la acción se basó en la evidencia de que el software espía de NSO se usó para atacar a “periodistas, empresarios, activistas, académicos y trabajadores de embajadas”.

En diciembre, el senador demócrata Ron Wyden y otros 17 legisladores pidieron al Departamento del Tesoro que sancionara al grupo NSO y a otras tres empresas de vigilancia extranjeras que creen que han ayudado a gobiernos autoritarios a cometer abusos contra los derechos humanos.

“Cuando el público vio que se violaban las cifras del gobierno de Estados Unidos, claramente movió la aguja”, dijo Wyden a Reuters en una entrevista, refiriéndose a atacar a funcionarios estadounidenses en Uganda.

Lina al-Hathloul, la hermana de Loujain, dijo que los golpes financieros a NSO pueden ser lo único que puede desalentar a la industria del spyware. “Les pegó donde más duele”, dijo.

© Thomson Reuters 2022


Compruebe también

Nothing Phone 2, Nothing Phone 2a Obtenga la actualización Nothing OS 3.0 basada en Android 15

Nothing Phone 2 y Phone 2a están recibiendo una actualización de Nothing OS 3.0, basado …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *