Revelan zero day de Apple utilizado para instalar Pegasus
Los usuarios de Apple deben actualizar de inmediato todos sus dispositivos iPhones, iPads, Mac y Apple Watches. La actualización es necesaria para instalar un parche de emergencia para un día cero zero-click explotado por NSO Group para instalar el spyware Pegasus.
Las actualizaciones de seguridad, lanzadas por Apple el lunes, incluyen iOS 14.8 para iPhones y iPads, así como nuevas actualizaciones para Apple Watch y macOS. Los parches solucionarán al menos una vulnerabilidad que, según el gigante tecnológico, “puede haber sido explotada activamente“.
Citizen Lab descubrió por primera vez el exploit de zero-click (cero clic) nunca antes visto, que detectó dirigido a iMessaging, el mes pasado. Supuestamente se ha utilizado para espiar ilegalmente a activistas de Bahrein con el spyware Pegasus de NSO Group.
ForcedEntry
Los investigadores han identificado al nuevo exploit de iMessaging como ForcedEntry.
Citizen Group dijo en agosto que habían identificado a nueve activistas de Bahrein cuyos iPhones fueron infligidos con Pegasus entre junio de 2020 y febrero de 2021. Algunos de los teléfonos de los activistas sufrieron ataques de iMessage cero clic que, además de ForcedEntry, también incluían el exploit 2020 KISMET.
Los activistas incluían a tres miembros de Waad (una sociedad política laica de Bahréin) y tres miembros del Centro de Derechos Humanos de Bahréin. Asimismo, dos disidentes de Bahréin exiliados y un miembro de Al Wefaq (una sociedad política chiíta de Bahréin).
Evasión de BlastDoor
El exploit ForcedEntry fue particularmente notable porque se implementó con éxito contra las últimas versiones de iOS, 14.4 y 14.6. Es decir, evadió la nueva función de sandboxing BlastDoor de Apple para instalar spyware en los iPhones de los activistas de Bahrein.
Citizen Lab observó por primera vez a NSO Group implementando ForcedEntry en febrero de 2021. Apple acababa de presentar BlastDoor, una mejora estructural en iOS 14 destinada a bloquear exploits basados en mensajes y zero-click, como estos ataques asociados con NSO Group, el mes anterior. Se suponía que BlastDoor evitaría este tipo de ataques de Pegasus actuando como lo que Samuel Groß de Google Project Zero llamó un servicio “estrictamente aislado”. BlastDoor es el responsable de “casi todo” el análisis de datos no confiables en iMessages.
Hace un par de días, los investigadores de Citizen Lab dijeron que, en marzo de 2021 examinaron el teléfono de un activista saudí que solicitó el anonimato. A partir de este análisis determinaron que el teléfono había sido infectado con el spyware Pegasus. El martes 7 de septiembre, Citizen Lab envió artefactos de dos tipos de fallas en otro teléfono que había sido infectado con Pegasus. Los investigadores sospechan que ambas infecciones mostraban partes de la cadena de exploits ForcedEntry.
Citizen Lab envió los artefactos a Apple el martes 7 de septiembre. El lunes 13 de septiembre, Apple confirmó que los archivos incluían un exploit de día cero contra iOS y MacOS. Apple ha identificado el exploit ForcedEntry como CVE-2021-30860. Una vulnerabilidad aún sin clasificar que Apple describe como “el procesamiento un PDF creado con fines malintencionados puede conducir a la ejecución de código arbitrario”.
Siguiendo las pistas de NSO Group
Citizen Lab describió varios elementos distintos que brindan a los investigadores una gran confianza en que el exploit puede vincularse al fabricante israelí de spyware NSO Group. Esto incluye un artefacto forense llamado CascadeFail.
CascadeFail es un error por el cual “la evidencia se elimina de forma incompleta del archivo DataUsage.sqlite del teléfono”. En CascadeFail, “se elimina una entrada de la tabla ZPROCESS del archivo, pero no las entradas en la tabla ZLIVEUSAGE. Estas hacen referencia a la entrada ZPROCESS eliminada”,
Todo eso tiene el fingerprints de NSO Group. Solo hemos visto este tipo de eliminación incompleta asociada con el spyware, y creemos que el error es lo suficientemente distintivo como para señalar a NSO.
Otro signo revelador: varios nombres de procesos instalados por el exploit ForcedEntry, incluido el nombre “setframed”. Ese nombre de proceso se usó en un ataque con Pegasus a un periodista de Al Jazeera en julio de 2020.
Las vulnerabilidades remotas de cero clics, como el método novedoso utilizado por Pegasus para infectar de forma invisible un dispositivo Apple sin el conocimiento de la víctima o la necesidad de que la víctima haga clic en cualquier cosa, se utilizaron para infectar a una víctima durante hasta seis meses. Son oro puro para gobiernos, mercenarios y criminales que quieren vigilar en secreto los dispositivos de los objetivos sin ser detectados.
Pegasus es un poderoso spyware: puede encender la cámara y el micrófono de un objetivo para grabar mensajes, textos, correos electrónicos y llamadas. Puede realizar estas acciones incluso si se envían a través de aplicaciones de mensajería cifradas como Signal.
Narrativa trillada de Pegasus
NSO ha sostenido durante mucho tiempo que solo vende su spyware a un grupo de comunidades de inteligencia dentro de países que investigan terroristas y peligrosos delincuentes. La compañía ha tratado repetidamente de mantener esa narrativa ante el cuestionamiento de la venta de su software para espionaje ilegal.
Empero, como señaló Hank Schless, gerente sénior de soluciones de seguridad en la empresa de seguridad Lookout, la narrativa ahora está bastante gastada. “La exposición reciente de 50,000 números de teléfono vinculados a objetivos de clientes de NSO Group era todo lo que la gente necesitaba para ver bien lo que afirma NSO”.
Desde que Lookout y The Citizen Lab descubrieron Pegasus por primera vez en 2016, ha seguido evolucionando y adquiriendo nuevas capacidades. “Ahora se puede implementar como un exploit cero clic. Esto significa que el usuario objetivo ni siquiera tiene que tocar un enlace malicioso para instalar el software de vigilancia.
Si bien el malware ha ajustado sus métodos de difusión, la cadena básica de exploits sigue siendo la misma. Pegasus se envía a través de un enlace malicioso que ha sido diseñado socialmente para el objetivo. Este explota la vulnerabilidad y el dispositivo se ve comprometido, luego el malware se comunica de vuelta a un servidor de comando y control (C2). El servidor le da al atacante el control total sobre el dispositivo. Muchas aplicaciones crearán automáticamente una vista previa o un caché de enlaces para mejorar la experiencia del usuario. Pegasus aprovecha esta funcionalidad para infectar silenciosamente el dispositivo.
Este es un ejemplo de lo importante que es para los individuos y las organizaciones tener visibilidad de los riesgos que presentan sus dispositivos móviles. Pegasus solo un “ejemplo extremo”, pero fácilmente comprensible.
Otro malware al acecho
Existen innumerables tipos de malware que pueden explotar fácilmente las vulnerabilidades conocidas de dispositivos y software para obtener acceso a sus datos más confidenciales.
“Desde una perspectiva empresarial, dejar los dispositivos móviles fuera de la estrategia de seguridad general puede representar una brecha importante en la capacidad de proteger toda la infraestructura de ciberdelincuentes. Una vez que el atacante tiene el control de un dispositivo móvil o incluso compromete las credenciales del usuario, tiene acceso total a toda la infraestructura. Una vez que ingresan a la nube o aplicaciones locales, pueden moverse lateralmente e identificar activos sensibles para cifrarlos para un ataque de ransomware. También pueden exfiltrarlos para venderlos al mejor postor.
Las infecciones de Pegasus apuntan a la necesidad de que las empresas vean más allá de proteger servidores y estaciones de trabajo como objetivos principales de ciberataques y espionaje. Los dispositivos móviles ahora se utilizan ampliamente y contienen información confidencial que debe protegerse.
Para protegerse contra el spyware, las empresas deberían considerar la estrategia de seguridad de sus dispositivos móviles. Especialmente cuando las amenazas se presentan en formas mucho más insidiosas que los mensajes SMS sospechosos o los enlaces de suplantación de identidad.
Los atacantes de spyware ahora han diseñado ataques zero-click que pueden obtener acceso completo a los datos y el micrófono/cámara de un teléfono. Los atacantes logran su objetivo mediante el uso de vulnerabilidades en aplicaciones de terceros o incluso aplicaciones integradas.
En conclusión, las organizaciones deben asegurarse de tener control sobre las aplicaciones que los usuarios descargan en sus teléfonos. Y, además, deben asegurarse de que estén actualizadas para que se corrijan las vulnerabilidades.