16 nov 2024

NSO Group utiliza Zero-Days de WhatsApp para instalar Pegasus y espionaje

La empresa de vigilancia israelí NSO Group utilizó múltiples exploits Zero-Days, incluido uno desconocido llamado "Erised", que aprovechó las vulnerabilidades de WhatsApp para implementar el software espía Pegasus en ataques de Zero-Click.

Pegasus es la plataforma de software espía de NSO Group (comercializada como software de vigilancia para gobiernos de todo el mundo), con múltiples componentes de software que brindan a los clientes amplias capacidades de vigilancia de los dispositivos comprometidos de las víctimas. Por ejemplo, los clientes de NSO podrían monitorear la actividad de las víctimas y extraer información utilizando el agente Pegasus instalado en los teléfonos móviles de las víctimas.

Según documentos judiciales presentados el jueves (descubiertos por primera vez por el investigador senior de Citizen Lab, John Scott Railton) como parte de la batalla legal de WhatsApp con el grupo israelí NSO, el fabricante de software espía desarrolló un exploit llamado 'Heaven' antes de abril de 2018. Este componente utilizaba un cliente de WhatsApp personalizado, conocido como 'Servidor de instalación de WhatsApp' ('WIS'), capaz de hacerse pasar por el cliente oficial para implementar el agente de software espía Pegasus en los dispositivos de los objetivos y desde un servidor de terceros bajo el control de NSO.

Sin embargo, WhatsApp bloqueó el acceso de NSO a los dispositivos infectados y sus servidores con actualizaciones de seguridad publicadas en septiembre y diciembre de 2018, impidiendo que el exploit Heaven funcionara.

En febrero de 2019, el fabricante de software espía supuestamente desarrolló otro exploit conocido como 'Eden' para eludir las protecciones de WhatsApp implementadas en 2018. Como descubrió WhatsApp en mayo de 2019, los clientes de NSO utilizaron Eden en ataques contra aproximadamente 1.400 dispositivos.

"Como cuestión preliminar, NSO admite que desarrolló y vendió el software espía descrito en la denuncia, y que el software espía de NSO, específicamente su vector de instalación sin clic llamado 'Eden', que era parte de una familia de vectores basados ​​en WhatsApp conocidos colectivamente como 'Hummingbird'", revelan los documentos judiciales. Tamir Gazneli, jefe de investigación y desarrollo de NSO, y los acusados ​​han admitido que desarrollaron esos exploits extrayendo y descompilando el código de WhatsApp y aplicando ingeniería inversa" 

Después de detectar los ataques, WhatsApp parcheó las vulnerabilidades de Eden y deshabilitó las cuentas de WhatsApp de NSO. Sin embargo, incluso después de que el exploit Eden fuera bloqueado en mayo de 2019, los documentos judiciales dicen que NSO admitió que desarrolló otro vector de instalación (llamado 'Erised') que utilizó los servidores de retransmisión de WhatsApp para instalar el software espía Pegasus.

Los nuevos documentos judiciales dicen que NSO continuó usando y poniendo Erised a disposición de los clientes incluso después de que se presentó la demanda en octubre de 2019, hasta que cambios adicionales de WhatsApp bloquearon su acceso en algún momento después de mayo de 2020. Los testigos de NSO supuestamente se negaron a responder si el fabricante de software espía desarrolló más vectores de malware basados ​​en WhatsApp.

También revelaron que el proveedor de software espía reconoció ante el tribunal que su software espía Pegasus explotó el servicio de WhatsApp para instalar su agente de software de vigilancia en "entre cientos y decenas de miles" de dispositivos objetivo. También admitió aplicar ingeniería inversa a WhatsApp para desarrollar esa capacidad, instalando "la tecnología" para sus clientes y proporcionándoles las cuentas de WhatsApp que necesitaban usar en los ataques.

El proceso de instalación de software espía aparentemente se inició cuando un cliente de Pegasus ingresó el número de teléfono móvil de un objetivo en un campo de un programa que se ejecutaba en su computadora portátil, lo que desencadenó la implementación de Pegasus en los dispositivos de los objetivos de forma remota.

Así, la participación de sus clientes en la operación era limitada ya que sólo tenían que introducir el número de destino y seleccionar "Instalar". La instalación del software espía y la extracción de datos fueron manejadas íntegramente por el sistema Pegasus de NSO, sin requerir conocimientos técnicos ni acciones adicionales por parte de los clientes.

Sin embargo, NSO continúa afirmando que no son responsables de las acciones de sus clientes o que no tienen acceso a los datos recuperados durante la instalación del software espía Pegasus, lo que limita su papel en las operaciones de vigilancia.

Entre otros objetivos, el software espía Pegasus de NSO se utilizó para piratear los teléfonos de políticos, periodistas y activistas catalanes, funcionarios del gobierno del Reino Unido, diplomáticos finlandeses y empleados del Departamento de Estado de Estados Unidos.

En noviembre de 2021, Estados Unidos sancionó a NSO Group y Candiru (otra empresa Israelí, )por suministrar software utilizado para espiar a funcionarios gubernamentales, periodistas y activistas. A principios de noviembre de 2021, Apple también presentó una demanda contra NSO por piratear los dispositivos iOS de los clientes de Apple y espiarlos utilizando el software espía Pegasus.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!