Software espía NSO Pegasus se dirigió indirectamente a los iPhone estadounidenses, a pesar de que la compañía prohibió a los clientes infectar teléfonos con SIM estadounidenses. También se infectaron dispositivos pertenecientes a políticos catalanes y otros, y se sospecha que el gobierno español es el responsable.
Además, se descubrió que un dispositivo conectado a la red en el número 10 de Downing Street -la oficina del primer ministro británico Boris Johnson- también estaba infectado…
Fondo
Grupo NSO fabrica software espía llamado Pegasus, que se vende al gobierno ya las fuerzas del orden. La empresa compra los llamados zero-day vulnerabilidades (unos que son desconocidos para Apple) de los piratas informáticos, y se dice que su software es capaz de montar exploits de cero clic, donde el objetivo no requiere la interacción del usuario.
En particular, se informa que simplemente recibir un iMessage en particular, sin abrirlo ni interactuar con él de ninguna manera, puede permitir que un iPhone se vea comprometido, con datos personales expuestos.
NSO impone algunas condiciones a quienes compran Pegasus, una de las cuales es que nunca debe usarse para piratear teléfonos con números de teléfono de EE. UU. Es probable que haga esto para evitar una respuesta contundente del gobierno estadounidense y sus agencias de inteligencia. Pegaso ya ha sido declarado riesgo a la seguridad nacionaly su uso está prohibido dentro de los EE. UU.
Pegasus apuntó indirectamente a los iPhone estadounidenses
Laboratorio ciudadano, una iniciativa de la Universidad de Toronto de Canadá, dice que encontró evidencia de que el poderoso software espía Pegasus se usó para apuntar indirectamente a los teléfonos estadounidenses. El enfoque utilizado se conoce como “objetivo descentrado”.
Apuntar a amigos, familiares y asociados cercanos es una práctica común para algunas operaciones de piratería. Esta técnica permite que un atacante recopile información sobre un objetivo principal sin mantener necesariamente el acceso al dispositivo de esa persona. En algunos casos, el objetivo principal también puede estar infectado, pero en otros esto puede no ser factible por varias razones.
Observamos varios casos de objetivos relacionales o “fuera del centro”: cónyuges, hermanos, padres, personal o asociados cercanos de los objetivos principales fueron atacados e infectados con Pegasus. En algunos casos, esas personas también pueden haber sido atacadas, pero la información forense no estaba disponible. En otros, no encontramos evidencia de que un objetivo principal estuviera infectado con Pegasus, pero encontramos un objetivo en sus íntimos.
Por ejemplo, una persona a la que se dirigió Candiru tenía una tarjeta SIM de EE. UU. en su dispositivo y residía en EE. UU. No pudimos encontrar evidencia de que este individuo estuviera infectado con Pegasus. Esto es consistente con los informes de que a la mayoría de los clientes de Pegasus no se les permite apuntar a números de EE. UU. Sin embargo, los dos padres del objetivo usan teléfonos con números en español y fueron atacados el día en que el objetivo principal voló de regreso a España desde los EE. UU. Ninguno de los padres es políticamente activo o es probable que haya sido atacado por quiénes son o por lo que hacen.
En otras palabras, los mensajes de texto y otros mensajes enviados por un teléfono de EE. UU. podrían ser interceptados al piratear teléfonos pertenecientes a la familia, amigos y otros contactos del objetivo en el extranjero.
La oficina del primer ministro británico fue atacada con éxito
Una pieza en una próxima edición del El neoyorquino revela que Pegasus también apuntó con éxito al número 10 de Downing Street, la oficina del primer ministro británico.
Pegasus se utilizó para infectar un dispositivo conectado a la red en el número 10 de Downing Street, la oficina de Boris Johnson, el Primer Ministro del Reino Unido. Un funcionario del gobierno me confirmó que la red estaba comprometida, sin especificar el spyware utilizado.
“Cuando encontramos el caso No. 10, me quedé boquiabierto”, recordó John Scott-Railton, investigador principal del Citizen Lab. “Sospechamos que esto incluyó la exfiltración de datos”, agregó Bill Marczak, otro investigador principal allí.
El funcionario me dijo que el Centro Nacional de Seguridad Cibernética, una rama de la inteligencia británica, probó varios teléfonos en Downing Street, incluido el de Johnson. Fue difícil realizar una búsqueda minuciosa de los teléfonos: “Es un trabajo muy duro”, dijo el funcionario, y la agencia no pudo localizar el dispositivo infectado. Nunca se determinó la naturaleza de los datos que pueden haber sido tomados.
Ataque extenso de Pegaso contra los catalanes
Citizen Lab también descubrió que al menos 63 personas en Cataluña tenían sus dispositivos atacados por Pegasus, siendo el gobierno español el principal sospechoso.
El hackeo cubre un espectro de la sociedad civil en Cataluña, desde académicos y activistas hasta organizaciones no gubernamentales (ONG). El gobierno de Cataluña y los funcionarios electos también fueron ampliamente atacados, desde los niveles más altos del gobierno catalán hasta miembros del Parlamento Europeo, legisladores y su personal y familiares. No atribuimos de manera concluyente el ataque a un gobierno específico, pero una amplia evidencia circunstancial apunta al gobierno español. […]
Con el consentimiento de los objetivos, obtuvimos artefactos forenses de sus dispositivos que examinamos en busca de evidencia de infecciones de Pegasus. Nuestro análisis forense nos permite concluir con gran confianza que, de las 63 personas objetivo de Pegasus, al menos 51 personas estaban infectadas.
La semana pasada se informó que Apple advirtió a altos funcionarios de la UE que sus iPhones habían sido hackeados por Pegasus. La compañía de Cupertino busca de manera proactiva señales de que los iPhones han sido comprometidos por Pegasus, y envía una alerta a las víctimas.
Tenga en cuenta que nada debe leerse en más informes de iPhones infectados que los dispositivos Android: iOS facilita la detección cuando un dispositivo ha sido infectado, por lo que los iPhone representan la mayoría de los casos confirmados, pero la cantidad de teléfonos Android infectados es probablemente mayor.
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
Visite 9to5Mac en YouTube para obtener más noticias de Apple: