NSO Group utilizó otro día cero de WhatsApp después de ser demandado

Iniciado por AXCESS, Noviembre 16, 2024, 02:09:08 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 16, 2024, 02:09:08 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de vigilancia israelí NSO Group habría utilizado varios exploits de día cero, incluido uno desconocido llamado "Erised", que aprovechó las vulnerabilidades de WhatsApp para implementar el software espía Pegasus en ataques sin necesidad de hacer clic, incluso después de haber sido demandada.

Pegasus es la plataforma de software espía de NSO Group (comercializada como software de vigilancia para gobiernos de todo el mundo), con múltiples componentes de software que brindan a los clientes amplias capacidades de vigilancia sobre los dispositivos comprometidos de las víctimas. Por ejemplo, los clientes de NSO podrían monitorear la actividad de las víctimas y extraer información utilizando el agente Pegasus instalado en los teléfonos móviles de las víctimas.

Según los documentos judiciales presentados el jueves (descubiertos por primera vez por el investigador principal de Citizen Lab, John Scott Railton) como parte de la batalla legal de WhatsApp con el grupo israelí NSO, el fabricante de software espía desarrolló un exploit llamado "Heaven" antes de abril de 2018 que usaba un cliente de WhatsApp personalizado conocido como "WhatsApp Installation Server" (o "WIS") capaz de hacerse pasar por el cliente oficial para implementar el agente de software espía Pegasus en los dispositivos de los objetivos desde un servidor de terceros bajo el control de NSO.

Sin embargo, WhatsApp bloqueó el acceso de NSO a los dispositivos infectados y a sus servidores con actualizaciones de seguridad emitidas en septiembre y diciembre de 2018, lo que impidió que el exploit Heaven funcionara.

En febrero de 2019, el fabricante de software espía supuestamente desarrolló otro exploit conocido como 'Eden' para eludir las protecciones de WhatsApp implementadas en 2018. Como WhatsApp descubrió en mayo de 2019, los clientes de NSO utilizaron Eden en ataques contra aproximadamente 1.400 dispositivos.

"Como cuestión preliminar, NSO admite que desarrolló y vendió el software espía descrito en la denuncia, y que el software espía de NSO, específicamente su vector de instalación sin clic llamado 'Eden', que era parte de una familia de vectores basados en WhatsApp conocidos colectivamente como 'Hummingbird' (colectivamente, los 'Vectores de malware'), fue responsable de los ataques", revelan los documentos judiciales.

Tamir Gazneli, director de investigación y desarrollo de NSO, y los "acusados han admitido que desarrollaron esos exploits extrayendo y descompilando el código de WhatsApp, aplicando ingeniería inversa a WhatsApp" para crear el cliente WIS que podría usarse para "enviar mensajes malformados (que un cliente legítimo de WhatsApp no podría enviar) a través de los servidores de WhatsApp y, de ese modo, hacer que los dispositivos de destino instalen el agente de software espía Pegasus, todo ello en violación de la ley federal y estatal y del lenguaje sencillo de los Términos de servicio de WhatsApp".

Después de detectar los ataques, WhatsApp parcheó las vulnerabilidades de Eden y deshabilitó las cuentas de WhatsApp de NSO. Sin embargo, incluso después de que se bloqueara el exploit de Eden en mayo de 2019, los documentos judiciales dicen que NSO admitió que desarrolló otro vector de instalación (llamado 'Erised') que usaba los servidores de retransmisión de WhatsApp para instalar el software espía Pegasus.

Los usuarios de WhatsApp fueron objeto de ataques incluso después de que se presentara la demanda

Los nuevos documentos judiciales indican que NSO siguió utilizando y poniendo Erised a disposición de los clientes incluso después de que se presentara la demanda en octubre de 2019, hasta que cambios adicionales en WhatsApp bloquearon su acceso en algún momento después de mayo de 2020. Los testigos de NSO supuestamente se negaron a responder si el fabricante de software espía desarrolló más vectores de malware basados en WhatsApp.

También revelaron que el proveedor de software espía reconoció en el tribunal que su software espía Pegasus explotó el servicio de WhatsApp para instalar su agente de software de vigilancia "entre cientos y decenas de miles" de dispositivos objetivo. También admitió haber realizado ingeniería inversa de WhatsApp para desarrollar esa capacidad, instalando "la tecnología" para sus clientes y proporcionándoles las cuentas de WhatsApp que necesitaban usar en los ataques.

El proceso de instalación del software espía supuestamente se inició cuando un cliente de Pegasus ingresó el número de teléfono móvil de un objetivo en un campo de un programa que se ejecutaba en su computadora portátil, lo que desencadenó la implementación de Pegasus en los dispositivos de los objetivos de forma remota.

De esta forma, la participación de sus clientes en la operación fue limitada, ya que solo tuvieron que introducir el número de destino y seleccionar "Instalar". La instalación del software espía y la extracción de datos fueron gestionadas íntegramente por el sistema Pegasus de NSO, sin que fuera necesario que los clientes tuvieran conocimientos técnicos ni realizaran ninguna acción adicional.

Sin embargo, NSO sigue afirmando que no es responsable de las acciones de sus clientes ni tiene acceso a los datos recuperados durante la instalación del software espía Pegasus, lo que limita su papel en las operaciones de vigilancia.

Entre otros objetivos, el software espía Pegasus de NSO se utilizó para piratear los teléfonos de políticos, periodistas y activistas catalanes, funcionarios del gobierno del Reino Unido, diplomáticos finlandeses y empleados del Departamento de Estado de Estados Unidos.

En noviembre de 2021, Estados Unidos sancionó a NSO Group y Candiru por suministrar software utilizado para espiar a funcionarios gubernamentales, periodistas y activistas. A principios de noviembre de 2021, Apple también presentó una demanda contra NSO por piratear los dispositivos iOS de los clientes de Apple y espiarlos utilizando el software espía Pegasus.

Un portavoz de NSO Group no estaba inmediatamente disponible para hacer comentarios cuando fue contactado por BleepingComputer más temprano hoy.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario