Facebook baneó a 7 empresas de ‘cibermercenarios’ que espiaron a 50,000 usuarios
La plataforma Meta reveló recientemente que tomó medidas para eliminar a siete mercenarios cibernéticos. Estas empresas llevaron a cabo ataques “indiscriminados” contra periodistas, disidentes, críticos de regímenes autoritarios, familias de la oposición y activistas de derechos humanos ubicados en más de 100 países.Este incidente ocurre en medio de un creciente escrutinio de las tecnologías de vigilancia.
Con ese fin, la compañía dijo que alertó a 50,000 usuarios de Facebook e Instagram cuyas cuentas fueron espiadas por las empresas. Las empresas ofrecen una variedad de servicios. Estos abarcan toda la gama de spyware, desde herramientas de hacking para infiltrarse en teléfonos móviles hasta la creación de cuentas falsas de redes sociales para monitorear objetivos. También eliminó 1,500 cuentas de Facebook e Instagram vinculadas a estas empresas.
“La industria global de la vigilancia por contrato se dirige a las personas a través de Internet. El obejtivo es recopilar datos, manipularlos para que revelen información y comprometer sus dispositivos y cuentas. “Estas empresas son parte de una industria en expansión que proporciona herramientas de software intrusivas y servicios de vigilancia de forma indiscriminada a cualquier cliente”.
David Agranovich y Mike Dvilyanski de Meta.
Empresas baneadas
Cuatro de las empresas de mercenarios cibernéticos (Cobwebs Technologies, Cognyte, Black Cube y Bluehawk CI) tienen su sede en Israel. También están incluidas en la lista una empresa india conocida como BellTroX. Asimsimo, una de Macedonia del Norte llamada Cytrox, y una entidad desconocida que opera fuera de China. Esta última se cree que llevó a cabo campañas de vigilancia centradas en grupos minoritarios en la región de Asia y el Pacífico.
El gigante de las redes sociales dijo que observó a estos actores comerciales participar en actividades de reconocimiento y explotación para promover sus objetivos de vigilancia. Las empresas operaban una vasta red de herramientas y personas ficticias para perfilar sus objetivos y establecer contacto utilizando tácticas de ingeniería social. Y, en última instancia, enviar software malicioso a través de campañas de phishing y otras técnicas que les permitían acceder o tomar el control de los dispositivos.
Spyware Predator
Citizen Lab, en un informe independiente , reveló que dos egipcios que vivían en el exilio vieron comprometidos sus iPhones en junio de 2021 utilizando un nuevo spyware llamado Predator. Predator fue desarrollado por Cytrox. En ambos casos, los ataques se facilitaron mediante el envío de enlaces de un solo clic a los objetivos a través de WhatsApp. Específicamente, los enlaces fueron enviados como imágenes que contenían URLs.
Mientras que la variante de Predator para iOS funciona ejecutando una automatización de accesos directos maliciosos recuperada de un servidor remoto, las muestras de Android encontradas por Citizen Lab cuentan con capacidades para grabar conversaciones de audio y obtener payloads adicionales de un dominio remoto controlado por un atacante. Los dispositivos Apple ejecutaban iOS 14.6, la última versión del sistema operativo móvil en el momento de los ataques. Esto sugiere la utilización de un exploit nunca antes visto para atacar a los iPhones. No está claro si la empresa reparó inmediatamente la vulnerabilidad.
“El hecho de apuntar a un solo individuo con Pegasus y Predator subraya que la práctica de hackear a la sociedad civil trasciende a cualquier empresa de spyware mercenario específico. En cambio, es un patrón que esperamos que persista mientras los gobiernos autocráticos puedan obtener tecnología de hacking sofisticado. En ausencia de regulaciones y protecciones nacionales e internacionales, los periodistas, los defensores de los derechos humanos y los activistas continuarán siendo hackeados en el futuro.”
Investigadores de Citizen Lab
Acciones similares
En una acción relacionada, el Departamento del Tesoro de Estados Unidos agregó ocho compañías chinas más, incluido el fabricante de drones DJI Technology, Megvii y Yitu Limited, entre otros, a una lista de bloqueo de inversiones. Las empresas son acusadas de “cooperar activamente con los esfuerzos del gobierno [chino] para reprimir a miembros de etnias y grupos minoritarios religiosos”, incluidas las minorías musulmanas en la provincia de Xinjiang.
La amplia represión de Meta también se produce poco después de un análisis técnico detallado de FORCEDENTRY. FORCEDENTRY es un exploit para iMessage ya parcheado que la empresa israelí NSO Group usó para vigilar a periodistas, activistas y disidentes de todo el mundo.
Sofisticado exploit
Los investigadores de Google Project Zero (GPZ), Ian Beer y Samuel Groß, lo llamaron “uno de los exploits más técnicamente sofisticados”. Este utiliza una serie de tácticas inteligentes para evadir las protecciones de BlastDoor agregadas para dificultar tales ataques. No obstante, el exploit permitía tomar el control de los dispositivos para instalar Pegasus.
Específicamente, los hallazgos de GPZ señalan cómo FORCEDENTRY aprovechó una peculiaridad en el manejo de imágenes GIF de iMessage. El exploit usó una vulnerabilidad en el estándar de compresión de imágenes JBIG2 que se usa para escanear documentos de texto desde una impresora multifunción. Esto les permitió engañar a los objetivos para que abrieran y cargaran un PDF malicioso sin requerir ninguna acción de su parte.
“NSO es sólo una pieza de una industria de mercenarios cibernéticos mucho más amplia”, agregaron Agranovich y Dvilyanski.
Tras las revelaciones, el gobierno de Estados Unidos sometió al proveedor de spyware a sanciones económicas. Estas sanciones ha llevado a la compañía a considerar el cierre de su unidad Pegasus y una posible venta.
“Hemos mantenido conversaciones con varios fondos de inversión sobre medidas que incluyen un refinanciamiento o una venta total”.
NSO Group en un informe publicado la semana pasada.