Teléfonos del Departamento de Estado de Estados Unidos fueron hackeados con Pegasus
Un atacante desconocido colocó el spyware Pegasus de NSO Group en los iPhones de al menos nueve empleados del Departamento de Estado de Estados Unidos. Esta información fue confirmada por cuatro fuentes de Reuters que están familiarizadas con el incidente.
Dos de las fuentes dijeron que los ataques tuvieron lugar durante los últimos meses. Según Reuters los ataques alcanzaron objetivos ubicados en Uganda o se centraron en asuntos relacionados con el país de África Oriental.
La compañía israelí de spyware ha dicho repetidamente que sus herramientas de vigilancia no funcionan contra teléfonos inteligentes con sede en Estados Unidos. Sin embargo, eso no necesariamente protege a los estadounidenses que viajan al extranjero o usan teléfonos extranjeros. Dos de las fuentes de Reuters dijeron que los empleados objetivo del Departamento de Estado estaban usando iPhones registrados con números de teléfono extranjeros, sin el código de país de Estados Unidos.
Una investigación realizada por el Washington Post junto con otras 16 organizaciones de noticias y publicada en julio reveló que Pegasus había sido implantado en los teléfonos de periodistas y activistas de todo el mundo. Estados Unidos no fue una excepción: los objetivos de vigilancia documentados incluían números de teléfono en el extranjero de una docena de estadounidenses. Esto incluía periodistas, trabajadores humanitarios, diplomáticos entre otros, según confirmaron las organizaciones de noticias.
Objetivos Estadounidenses
Uno de esos objetivos de Estados Unidos fue el periodista del New York Times Ben Hubbard, tal como concluyó Citizen Lab. Citizen Lab, es una empresa de ciberseguridad y ha sido la responsable de escrutar a Pegasus. Según la investigación, Hubbard fue “repetidamente atacado con el spyware Pegasus de NSO Group durante un período de tres años. Este periodo comprende desde junio de 2018 hasta junio de 2021. Esto ocurrió mientras el periodista estaba reportando sobre Arabia Saudita y escribiendo un libro sobre el príncipe heredero de Arabia Saudita, Mohammed bin Salman.
Los ciberataques móviles potencialmente patrocinados por estados han incluido el hackeo del teléfono de Jeff Bezos. Este incidente, según los informes, ocurrió después de que el CEO de Amazon abriera un video de WhatsApp aparentemente benigno en 2018 enviado desde la cuenta del Príncipe Heredero de Arabia Saudita. Del mismo modo, Hubbard ha dicho que alguien intentó hackear su teléfono enviándole un mensaje de texto en árabe con un enlace a un sitio web. Más allá de estos casos de alto perfil, varios periodistas y activistas de derechos humanos fueron atacados a nivel mundial. Esto fueron hackeados después de que atacantes explotaran una vulnerabilidad de día cero de WhatsApp que les permitió inyectar spyware en los teléfonos de las víctimas.
Apple alerta a las víctimas del Departamento de Estado
Apple envió notificaciones de amenazas a objetivos de vigilancia, incluida una que envió el mes pasado al presidente ugandés del Partido Demócrata, Norbert Mao. Mao compartió la notificación en Twitter:
“Cuando te despiertas con una notificación de amenaza de @Apple de que tu iPhone está siendo atacado, entonces sabes que el terrorismo cibernético patrocinado por el estados es real”.
Apple no emitió ningún comentario al respecto. No obstante, un portavoz señaló que la compañía demandó a NSO Group “para frenar el abuso del spyware patrocinado por estados”.
El mismo día que anunció su demanda, Apple también dijo que notificaría lo que llamó el “pequeño número” de usuarios que descubrió que podrían haber sido blanco de FORCEDENTRY.
FORCEDENTRY es un exploit de día cero implementado con éxito contra las versiones 14.4 y 14.6 de iOS que falló con la función de sandboxing BlastDoor de Apple. BlastDoor no pudo detener la instalacion de spyware en los iPhones de activistas de Bahrein, incluido uno que vivía en Londres en ese momento.
Fuentes de Reuters dijeron que en este caso con el Departamento de Estado, Apple notificó a las víctimas que incluían ciudadanos estadounidenses. Estos ciudadanos eran “fácilmente identificables como empleados del gobierno estadounidense”, dado que las direcciones de correo electrónico asociadas con sus IDs de Apple terminaban en “state.gov”.
La amenaza es ‘muy real’
JT Keating, vicepresidente senior de marketing de Zimperium, dijo que el incidente “debería tratarse como una llamada de atención en lugar de un ataque aislado”.
“Hemos estado detectando y deteniendo ataques como Pegasus durante más de diez años”, escribió.
La amenaza es “muy real”, sin importar cuán sofisticada sea la organización objetivo o cuánta fe pongan en las protecciones. “Incluso las organizaciones más sofisticadas son atacadas con éxito en dispositivos móviles. Si el Departamento de Estado de Estados Unidos puede verse comprometido, cualquier organización puede hacerlo.
El lunes, un portavoz del Departamento de Estado dijo que no puede confirmar el ataque a los teléfonos de los empleados del Departamento de Estado.
Sin embargo, el portavoz se refirió a la incorporación de NSO Group y Candiru a la lista de entidades del país el mes pasado. Estas empresas han sido agregadas basándose en evidencia de que desarrollaron y suministraron spyware a gobiernos extranjeros. Los gobiernos utilizaron las herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, etc. activistas y académicos.
En ese momento, NSO Group dijo que lucharía contra la prohibición comercial. NSO Group se aferra a su mantra, repetido a menudo, de que sus herramientas realmente ayudan a prevenir el terrorismo y el crimen.
El jueves, NSO Group dijo que no ha encontrado evidencia de que sus herramientas se hayan usado contra empleados del Departamento de Estado. La compañía planea investigar basándose en los hallazgos de Reuters. NSO Group realizó el siguiente comunicado:
“Si nuestra investigación muestra que estas acciones realmente sucedieron con las herramientas de NSO, dicho cliente será cancelado permanentemente y se llevarán a cabo acciones legales … [NSO Group] cooperará con cualquier autoridad gubernamental relevante y presentará la información completa que tendremos”
¿Cómo se infectaron los iPhones?
Un investigador de seguridad afirma que lo sorprendente de esta historia es que “(al menos nueve teléfonos se vieron comprometidos a la vez”.
O que muchos empleados fueron engañados para que hicieran clic en el enlace equivocado. O, más probablemente, el spyware se instaló mediante ataques de ‘cero clic’.
Hay una lección que aprender sobre cuántos teléfonos inteligentes vulnerables ingresan a los lugares de trabajo a diario y cuánto riesgo implica. Ahora cualquier teléfono inteligente puede ser hackeado de manera invisible. Un teléfono inteligente hackeado se puede utilizar como un portal a los secretos más importantes de una empresa: Por ejemplo; datos de ganancias, datos comerciales, datos de fusiones y adquisiciones.
Es un nuevo mundo de spyware para teléfonos inteligentes. Por lo tanto, es imperativo contar con protocolos de seguridad para administrar el uso seguro de los teléfonos inteligentes en el lugar de trabajo. Si los equipos de seguridad no pensaron que los teléfonos inteligentes eran una amenaza importante ayer, ciertamente deberían pensar que son una amenaza importante ahora.
Un investigador imaginó que “probablemente hay algunas habitaciones en la embajada de Estados Unidos en Uganda donde no se permiten teléfonos celulares. Con suerte, afirmó, esas son las únicas salas donde se llevaron a cabo conversaciones clasificadas.
Si las embajadas no tienen salas libres de teléfonos, deberían instalarlas “inmediatamente”, concluyó. Además, las organizaciones deben ser conscientes de que apagar los teléfonos no es suficiente para asegurarse de que el spyware no pueda atacar objetivos. Por si no lo saben, el spyware puede encender los teléfonos.
