Cómo funciona el exploit de piratería de iPhone de NSO Group

Imagen del artículo titulado Cómo funciona el exploit de piratería de iPhone de NSO Group

Foto: Amir Levy (imágenes falsas)

Durante años, el proveedor de software espía israelí NSO Group ha provocado miedo y fascinación en los corazones de la comunidad internacional con sus productos de piratería—Los gustos de los cuales han sido vendidos a gobiernos autoritarios en todo el mundo y utilizados contra periodistas, activistas, políticos y cualquier otra persona lo suficientemente desafortunada como para ser blanco de ataques. La empresa, que a menudo se ha visto envuelta en escándalos, con frecuencia parece operar como si fuera un encantamiento digital, con ataques de explotación comercial que no requieren phishing y malware que todo lo ve y puede llegar a los espacios digitales más privados.

Pero algunos de los oscuros de NSO los secretos fueron expuestos muy públicamente la semana pasada, cuando los investigadores lograron deconstruir técnicamente cómo funciona uno de los notorios ataques de «clic cero» de la compañía. El 15 de diciembre, los investigadores del Proyecto Zero de Google publicaron un desglose detallado de cómo funciona un exploit de NSO, denominado «FORCEDENTRY».

FORCEDENTRY tenía como objetivo comprometer los iPhones de Apple y se cree que tiene condujo a la piratería de dispositivos en varios países. Los detalles iniciales sobre el exploit fueron capturados por Laboratorio ciudadano, una unidad de investigación de la Universidad de Toronto que ha publicado con frecuencia investigaciones relacionadas con Hazañas y objetivos de NSO. Los investigadores de Citizen Lab lograron hacerse con teléfonos que habían sido sometidos a la Ataques de «clic cero» y, en septiembre, publicado investigación inicial sobre como trabajaron. No mucho después, Apple anunció que era demandando a NSO y también publicó un parche para la vulnerabilidad asociada con el exploit.

Citizen Lab finalmente compartió sus hallazgos con los investigadores de Google quienes, a partir de la semana pasada, finalmente publicaron su análisis de cómo la tecnología digital ataques trabajo. Como era de esperar, es algo bastante increíble y aterrador.

«Basándonos en nuestra investigación y hallazgos, evaluamos que este es uno de los exploits técnicamente más sofisticados que hayamos visto, lo que demuestra además que las capacidades que brinda NSO rivalizan con las que antes se pensaba que eran accesibles solo para un puñado de estados nacionales», escribe los investigadores Ian Beer y Samuel Groß.

Cómo funcionaba el exploit NSO: GIF troyanos y una computadora dentro de una computadora

Probablemente lo más aterrador de FORCEDENTRY es que, según los investigadores de Google, lo único necesario para hackear a una persona era su número de teléfono o su nombre de usuario de AppleID.

Usando uno de esos identificadores, el portador del exploit de NSO podría fácilmente comprometer cualquier dispositivo que quisiera. El proceso de ataque fue simple: lo que parecía ser un GIF se envió al teléfono de la víctima. Sin embargo, la imagen en cuestión no era en realidad un GIF; en cambio, era un PDF malicioso que se había disfrazado con una extensión .gif. Dentro del archivo había una carga útil maliciosa altamente sofisticada que podría secuestrar una vulnerabilidad en el software de procesamiento de imágenes de Apple y usarla para tomar rápidamente valiosos recursos dentro del dispositivo objetivo. El destinatario ni siquiera necesitó hacer clic en la imagen para activar sus funciones nocivas.

Técnicamente hablando, lo que hizo FORCEDENTRY fue explotar una vulnerabilidad de día cero dentro de la biblioteca de renderizado de imágenes de Apple. CoreGraphics: El software que usa iOS para procesar imágenes y medios en el dispositivo. Esa vulnerabilidad, registrada oficialmente como CVE-2021-30860, está asociado con una vieja pieza de código de fuente abierta gratuita que aparentemente iOS estaba aprovechando para codificar y decodificar archivos PDF.el Xpdf implementación de JBIG2.

Sin embargo, aquí es donde el ataque se vuelve realmente salvaje. Al explotar la vulnerabilidad de procesamiento de imágenes, FORCEDENTRY pudo ingresar al dispositivo objetivo y usar la propia memoria del teléfono para construir un rudimentary máquina virtual, básicamente una «computadora dentro de una computadora». A partir de ahí, la máquina podía «arrancar» el malware Pegasus de NSO desde dentro y, en última instancia, transmitir datos a quienquiera que hubiera implementado el exploit.

En un intercambio de correo electrónico con Gizmodo, Beer y Groß explicaron un poco cómo funciona todo esto. El ataque «proporciona un archivo comprimido JBIG2 que realiza miles de operaciones matemáticas básicas originalmente destinadas a descomprimir datos», dijeron los investigadores. «A través de esas operaciones, primero desencadena una vulnerabilidad de ‘corrupción de memoria’ en JBIG2, y con eso modifica la memoria de una manera que luego permite el acceso a contenidos de memoria no relacionados en operaciones posteriores».

A partir de ahí, el programa «esencialmente construye una pequeña computadora sobre estas operaciones matemáticas básicas, que utiliza para ejecutar código que ahora puede acceder a otra memoria del iPhone atacado», explicaron los investigadores. Una vez que la mini-computadora está en funcionamiento dentro del teléfono objetivo, NSO la usa para «ejecutar su propio código (en lugar del de Apple) y usarlo para iniciar el malware» desde el interior del dispositivo real, agregaron.

En pocas palabras, el exploit NSO es capaz de apoderarse del teléfono de una víctima desde adentro hacia afuera y usar los propios recursos del dispositivo para configurar y ejecutar sus operaciones de vigilancia.

Demanda de Apple y otros problemas

La vulnerabilidad relacionada con este exploit se solucionó en Actualización de iOS 14.8 de Apple (publicado en octubre), aunque algunos investigadores informáticos han advertido que si el teléfono de una persona fue comprometido por Pegasus antes de la actualización, es posible que un parche no haga mucho para mantener alejados a los intrusos.

El malware de NSO y sus misteriosos métodos de piratería han sido objeto de temor y especulación durante años, por lo que es sorprendente que Google finalmente abra la cortina con precisión cómo esta pieza de magia negra informática realmente funciona.

Sin embargo, aunque finalmente se ha revelado el funcionamiento interno de esta temible herramienta, los creadores de la herramienta actualmente luchan por sobrevivir. De hecho, NSO ha tenido un año increíblemente difícil, ya que la empresa pasa de un escándalo desastroso al siguiente. Las investigaciones periodísticas en curso sobre la aparente malversación de su base de clientes se han combinado con múltiples demandas de algunas de las empresas más grandes del mundo, investigaciones gubernamentales, poderosas sanciones de los EE. UU. E inversores y apoyo financiero que huyen.