A tres docenas de periodistas que trabajaban para Al Jazeera se les comprometió sigilosamente sus iPhones mediante un exploit de cero clic para instalar software espía como parte de una campaña de ciberespionaje en Oriente Medio.
En un nuevo informe publicado ayer por el Citizen Lab de la Universidad de Toronto, los investigadores dijeron que los teléfonos personales de 36 periodistas, productores, presentadores y ejecutivos de Al Jazeera, y un periodista de Al Araby TV, con sede en Londres, estaban infectados con el malware Pegasus a través de un ahora- Fallo fijo en iMessage de Apple.
Pegasus es desarrollado por la firma de inteligencia privada israelí NSO Group y permite a un atacante acceder a datos confidenciales almacenados en un dispositivo objetivo, todo sin el conocimiento de la víctima.
«El cambio hacia los ataques de cero clics por parte de una industria y los clientes que ya están inmersos en el secreto aumenta la probabilidad de que el abuso no se detecte», dijeron los investigadores.
«Es más desafiante […] rastrear estos ataques de clic cero porque los objetivos pueden no notar nada sospechoso en su teléfono. Incluso si observan algo como un comportamiento de llamada ‘extraño’, el evento puede ser transitorio y no dejar ningún rastros en el dispositivo «.
Los hallazgos salieron a la luz después de que una de las víctimas, el periodista de investigación de Al Jazeera Tamer Almisshal, sospechara que su iPhone podría haber sido pirateado y aceptó que los investigadores de Citizen Lab monitorearan el tráfico de su red mediante una aplicación VPN a principios de enero.
El organismo de control de Internet descubrió que los ataques ocurrieron entre julio y agosto de este año utilizando una cadena de exploits que llama KISMET, un presente de día cero en iOS 13.5.1 que podría usarse para romper las protecciones de seguridad de Apple.
Citizen Lab dijo que los 36 teléfonos en cuestión fueron pirateados por cuatro «clústeres» distintos u operadores NSO con probables vínculos con los gobiernos de Arabia Saudita y Emiratos Árabes Unidos.
Una revisión de los registros de VPN de Almisshal reveló un aumento repentino en las conexiones anómalas a los servidores de iCloud de Apple, que los investigadores suponen fue el vector de infección inicial para transmitir el código malicioso, seguido de conexiones a un servidor de instalación para buscar el software espía Pegasus.
El implante viene con la capacidad de grabar audio desde el micrófono y las llamadas telefónicas, tomar fotos con la cámara del teléfono, acceder a las contraseñas de la víctima y rastrear la ubicación del dispositivo.
Si bien NSO Group ha sostenido constantemente que su software solo debe ser utilizado por las agencias de aplicación de la ley para rastrear a terroristas y delincuentes, esta no es la primera vez que varios gobiernos abusan de la herramienta para espiar a críticos, disidentes, políticos, etc. y otras personas de interés.
«La tendencia actual hacia los vectores de infección de clic cero y las capacidades anti-forenses más sofisticadas es parte de un cambio más amplio de toda la industria hacia medios de vigilancia más sofisticados y menos detectables», concluyeron los investigadores.
«El aumento de los ataques contra los medios es especialmente preocupante dadas las prácticas y culturas de seguridad fragmentadas a menudo ad-hoc entre los periodistas, los medios de comunicación, además de la brecha entre la escala de las amenazas así como los recursos de seguridad puestos a disposición de los periodistas y las salas de redacción».
Uno de esos casos involucró la entrega de la herramienta de piratería a través de una vulnerabilidad no revelada previamente en WhatsApp, que actualmente está llevando a cabo acciones legales contra la empresa en un tribunal de EE. UU.
Vía: The Hacker News