Apple ha lanzado una clara advertencia a los empleados del Departamento de Estado de EE.UU, de que sus iPhones han sido comprometidos por atacantes desconocidos que utilizan un exploit de iOS denominado cómo «ForcedEntry», el cual ha sido usado para el despliegue el spyware Pegasus, desarrollado por la empresa israelí NSO Group.
Los ataques fueron dirigidos a funcionarios estadounidenses (al menos 11 según el Washington Post) con sede en el país de África Oriental, Uganda, o centrados en asuntos relacionados con él, y tuvieron lugar en los últimos meses, según fuentes anónimas citadas por el medio Reuters.
Aunque la empresa NSO canceló aquellas cuentas de clientes que estaban detrás de estas intrusiones y prometió investigar los ataques, un portavoz dijo a Reuters (que fue quien informó primero de los ataques) que la empresa no sabe qué herramientas se utilizaron en el ataque. NSO también se negó a nombrar a los clientes suspendidos, debido a temas de privacidad. «Además de la investigaciones independientes que se estan realizando, NSO cooperará con cualquier autoridad gubernamental pertinente y presentará toda la información que tengamos«, dijo por separado un portavoz de NSO al medio Motherboard.
Según el portavoz, «Para aclarar, la instalación de nuestro software por parte del cliente se produce a través de números de teléfono. Como ya se ha dicho, las tecnologías de NSO están bloqueadas para funcionar en números estadounidenses. Una vez que el software se vende al cliente con nuestra licencia, NSO no tiene forma de saber quiénes son los destinatarios de los clientes, por lo que no estábamos ni podíamos estar al tanto de este caso.»
Here is NSO's full statement on the revelation its malware was used to target U.S. State Department employees https://t.co/Si0xkdVgoU pic.twitter.com/k0XTDFtQDA
— Joseph Cox (@josephfcox) December 3, 2021
La noticia de que los smarthphones de los empleados del Departamento de Estado fueron comprometidos para instalar Pegasus llega después de que Estados Unidos sancionara el mes pasado a NSO Group y a otras tres empresas de Israel, Rusia y Singapur por el desarrollo de software dedicados al espionaje y la venta de estas herramientas por grupos de actores de amenazas patrocinados por el Estado.
NSO y Candiru han sido incluidas en la lista negra de entidades de la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio, por suministrar el software utilizado por los actores de amenazas estatales para realizar campañas de espionaje a funcionarios del gobierno, periodistas y activistas de diferentes países.
Positive Technologies, de Rusia, y Computer Security Initiative Consultancy PTE. LTD. de Singapur fueron sancionadas por el tráfico de exploits y herramientas de hacking.
«En concreto, la información de la investigación ha demostrado que las empresas israelíes NSO y Candiru desarrollaron y suministraron programas espía a gobiernos extranjeros que utilizaron esta herramienta para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas«, reza la resolución final del Departamento de Comercio.
A principios de noviembre, Apple también interpuso una demanda contra NSO Group y su empresa matriz por haber dirigido y espiado a los usuarios de Apple usando vulnerabilidades de día cero. Apple añadió entonces que notificará a todos los usuarios afectados con el exploit ForcedEntry (alertas que también se enviaron a los empleados del Departamento de Estado) y a los que sean objeto de ataques de spyware patrocinados por algún Estado en el futuro.
Más información:
https://www.washingtonpost.com/technology/2021/12/03/israel-nso-pegasus-hack-us-diplomats/
https://www.vice.com/en/article/5dggxk/us-state-department-employees-targeted-with-nso-group-malware
https://public-inspection.federalregister.gov/2021-24123.pdf

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.