Así es como se descubrió por primera vez el spyware de NSO Group en un iPhone

Apple llevó al fabricante israelí de software espía NSO Group a los tribunales por atacar y vigilar a los usuarios de iPhone y Mac en todo el mundo. Curiosamente, la base de este caso se basó en un archivo residual dejado por el software espía en un iPhone perteneciente a la activista por los derechos de las mujeres sauditas Loujain al-Hathloul. Aquí está la historia del descubrimiento que cambió el rumbo contra NSO Group.

Se encontró el spyware Pegasus de NSO Group dirigido a varios periodistas, activistas y políticos en varias partes del mundo. La herramienta estaba destinada a la venta a los gobiernos para la vigilancia interna indetectable. Fue capturado por primera vez en la naturaleza cuando Al-Hathloul encontró un misterioso archivo de imagen falso dejado en su iPhone por el spyware. El activista estuvo preso hasta febrero de 2021 por “dañar la seguridad nacional”. Tras su liberación, Google le advirtió que entidades respaldadas por el estado intentaron acceder a su cuenta de Gmail. La activista temía que su iPhone también se hubiera visto comprometido. Entonces, solicitó al grupo canadiense de derechos de privacidad Citizen Lab que examinara los archivos de su iPhone en busca de evidencia de piratería.

Al-Hathloul dijo a Reuters que después de seis meses, el investigador de Citizen Lab, Bill Marczak, hizo un “descubrimiento sin precedentes” en forma de un archivo de imagen falso. El archivo contenía un código que vinculaba directamente a NSO Group con la herramienta de espionaje utilizada para hackear el iPhone de Al-Hathloul. El spyware se comunicaba con servidores que Citizen Lab había vinculado previamente a NSO Group. El informe afirma que el análisis de Marczak fue corroborado por investigadores de Amnistía Internacional y la propia Apple. Marczak dice que este descubrimiento fue un proverbial “casco de la escena del crimen”. Proporciona evidencia inquebrantable de que las herramientas de ciberespionaje pueden acceder a los dispositivos de la víctima sin ser detectados, sin ninguna intervención manual de ellos.

Los ataques de malware de clic cero, como el que se usó para atacar a Al-Hathloul, generalmente se eliminan solos después de infectar el dispositivo de la víctima. Esto deja a los investigadores de seguridad sin migas de pan que puedan conducir a los desarrolladores y atacantes del spyware. El método utilizado para comprometer el iPhone del activista saudí finalmente se denominó “ForcedEntry”. Apple recibió muestras del exploit en septiembre de 2021 y la actualización de iOS 14.8 corrigió esta vulnerabilidad. Posteriormente, se descubrió que otro proveedor israelí llamado QuaDream explotaba el exploit ForcedEntry.

¿Se habría descubierto Pegasus si no hubiera dejado ningún rastro en el iPhone de Al-Hathloul? ¡Cuéntanos lo que piensas en la sección de comentarios!

[Via
Reuters
]

Related Posts