Cómo funciona un exploit de NSO Group para hackear iPhones
Durante años, el spyware (Pegasus) israelí de NSO Group ha desatado el miedo y la fascinación por toda la comunidad internacional a través de su herramienta de hacking. Como todos sabemos, Pegasus se ha vendido a los gobiernos autoritarios en todo el mundo y se utiliza contra periodistas, activistas, políticos, y cualquier otra persona lo suficientemente desafortunada como para ser un objetivo.
La empresa, que a menudo se ha visto envuelta en escándalos, con frecuencia parece operar como si fuera un encantamiento digital. Constantemente realizan ataques de explotación comercial que no requieren phishing y malware y que pueden llegar a los espacios digitales más privados.
Pero algunos de los oscuros secretos de NSO se revelaron públicamente hace unos días, cuando los investigadores lograron deconstruir técnicamente cómo funciona uno de los notorios ataques de “cero clic” de la compañía. De hecho, los investigadores de Project Zero de Google publicaron un informe detallado sobre el funcionamiento de este. El informe muestra cómo un exploit de NSO, llamado “FORCEDENTRY“, puede apoderarse rápida y silenciosamente de un teléfono.
Exploit especialmente diseñado
Se cree que el exploit, que fue diseñado para atacar iPhones de Apple, provocó el hacking de dispositivos en varios países. Entre los usuarios afectados destacan varios funcionarios del Departamento de Estado de Estados Unidos que trabajan en Uganda.
Los detalles iniciales al respecto fueron encontrados por Citizen Lab, una unidad de investigación de la Universidad de Toronto que con frecuencia publica investigaciones relacionadas con NSO.
Los investigadores de Citizen Lab lograron revisar los teléfonos que habían sido sometidos a los ataques de “cero clic” de la compañía. Y, en septiembre, publicaron una investigación inicial sobre cómo funcionaban. Casi al mismo tiempo, Apple anunció que demandó a NSO y también publicó actualizaciones de seguridad para parchear los problemas asociados con el exploit.
Citizen Lab finalmente compartió sus hallazgos con los investigadores de Google. Finalmente, los investigadores de Google publicaron recientemente su análisis de los ataques. Como era de esperar, es algo bastante increíble y aterrador.
“Basándonos en nuestra investigación y hallazgos, evaluamos que este es uno de los exploits técnicamente más sofisticados que hayamos visto. Esto demuestra además que las capacidades que ofrece NSO rivalizan con las que antes se pensaba que eran accesibles sólo para un grupo de estados-nación”.
Ian Beer y Samuel Groß – Investigadores de Google
FORCEDENTRY: GIF troyanos y una computadora dentro de una computadora
Probablemente lo más aterrador de FORCEDENTRY es que, según los investigadores de Google, lo único necesario para hackear a una persona era su número de teléfono o su nombre de usuario de AppleID.
Usando uno de esos identificadores, el portador del exploit de NSO podría fácilmente comprometer cualquier dispositivo que quisiera. El proceso de ataque fue simple. Lo que parecía ser un GIF fue enviado por mensaje de texto al teléfono de la víctima a través de iMessage.
Sin embargo, la imagen en cuestión no era en realidad un GIF; en cambio, era un PDF malicioso que se había disfrazado con una extensión .gif. Dentro del archivo había un payload malicioso altamente sofisticado. El payload tenía la capacidad de explotar una vulnerabilidad en el software de procesamiento de imágenes de Apple y usarla para tomar rápidamente valiosos recursos dentro del dispositivo objetivo. El destinatario ni siquiera necesitó hacer clic en la imagen para activar sus funciones nocivas.
Técnicamente hablando, lo que hizo FORCEDENTRY fue explotar una vulnerabilidad de día cero dentro de la biblioteca de renderizado de imágenes de Apple, CoreGraphics. CoreGraphics es el software que usa iOS para procesar imágenes y archivos multimedia en el dispositivo. Esa vulnerabilidad, identificada oficialmente como CVE-2021-30860, está asociada con una vieja pieza de código abierto y gratuito que aparentemente iOS estaba aprovechando para codificar y decodificar archivos PDF. Específicamente, la implementación Xpdf de JBIG2.
Ataque aterrador
Sin embargo, aquí es donde el ataque se vuelve realmente aterrador. Al explotar la vulnerabilidad de procesamiento de imágenes, FORCEDENTRY pudo ingresar al dispositivo objetivo. El exploit usó la propia memoria del teléfono para construir una máquina virtual rudimentaria , básicamente una “computadora dentro de una computadora”. A partir de ahí, la máquina podía “iniciar” el malware Pegasus de NSO desde dentro y, en última instancia, transmitir datos a quienquiera que hubiera implementado el exploit.
Beer y Groß explicaron un poco cómo funciona todo esto:
El ataque proporciona un archivo comprimido JBIG2 que realiza miles de operaciones matemáticas básicas originalmente destinadas a descomprimir datos. A través de esas operaciones, primero desencadena una vulnerabilidad de ‘corrupción de memoria’ en JBIG2. Y, con eso modifica la memoria de una manera que luego permite el acceso a contenidos de memoria no relacionados en operaciones posteriores.
A partir de ahí, el programa “esencialmente construye una pequeña computadora sobre estas operaciones matemáticas básicas, que utiliza para ejecutar código que ahora puede acceder a otra memoria del iPhone atacado”, explicaron los investigadores. Una vez que la mini computadora está lista y funcionando dentro del teléfono objetivo, NSO la usa para “ejecutar su propio código (en lugar del de Apple) y para iniciar el malware” desde el interior del dispositivo real, agregaron.
En pocas palabras, el exploit de NSO es capaz de apoderarse del teléfono de una víctima desde adentro hacia afuera. Asimismo, puede usar los propios recursos del dispositivo para configurar y ejecutar sus operaciones de vigilancia.
Continúan los problemas de NSO
La vulnerabilidad relacionada con este exploit se solucionó en la actualización de iOS 14.8 de Apple (publicada en septiembre). Sin embargo, algunos investigadores han advertido que si el teléfono de una persona fue comprometido por Pegasus antes de la actualización, no está a salvo. Es decir, es posible que el parche no haga mucho para mantener alejados a los intrusos.
El malware de NSO y sus misteriosos métodos de hacking han sido objeto de miedo y especulación durante años. Por lo tanto, es sorprendente que Google finalmente muestre sobre cómo funciona realmente esta pieza de magia negra informática.
Sin embargo, aunque finalmente se ha revelado el funcionamiento interno de esta temible herramienta, los creadores de la herramienta actualmente luchan por sobrevivir. De hecho, NSO ha tenido un año increíblemente difícil, ya que la empresa pasó de un escándalo desastroso al siguiente.
Las investigaciones periodísticas en curso sobre la aparente malversación de su base de clientes se han combinado con múltiples demandas de algunas de las empresas más grandes del mundo. Pero eso no es todo, la empresa también está enfrentando investigaciones gubernamentales, poderosas sanciones de los Estados Unidos y la huida de inversores.