lunes, 18 de abril de 2022

Desvelan informe de espionaje masivo a líderes y activistas independentistas entre 2017 y 2020

El presidente de Catalunya, Pere Aragonès sufrió un intento de infección de su móvil con el sistema Pegasus y más de sesenta políticos fueron espiados. Colaboradores de Puigdemont también fueron víctimas de este software malicioso de espionaje (spyware) a través de sus móviles.  Decenas de políticos como Aragonès, Quim Torra, Artur Mas o Carles Puigdemont fueron objeto de espionaje con un sistema, en teoría, solo al alcance de gobiernos.


  • Muchos objetivos políticos y de la sociedad civil se infectaron. Múltiples e incluso  Eurodiputados
  • Pegasus un spywware dirigido y hecho a medida para la víctima, y según el New York Times, hace ya unos años tenía un coste 500.000 dólares para infectar un móvil .
  • 14 jefes de estado entre los espiados por Pegasus y más de 600 funcionarios gubernamentales de 34 países incluido el Presidente Francés Macron entre los líderes mundiales seleccionados como posibles objetivos del software espía NSO
  • Arabia Saudí utilizó Pegasus para chantajear a Jeff Bezos y tratar de silenciar el asesinato del periodista disidente Jamal Khashoggi

La investigación ha descubierto al menos 65 catalanes cuyos dispositivos fueron infectados o atacados con spyware. La investigación requirió mucha mano de obra y hay muchas personas a las que no se les revisó el dispositivo. Por lo tanto, sospechan que el número total de víctimas y objetivos es mucho mayor.

Este número extraordinariamente alto de víctimas y objetivos confirmados de spyware mercenario en un solo caso es, con mucho, el más grande de todas las investigaciones anteriores de Citizen Lab, incluidos nuestros informes sobre Al Jazeera (36 víctimas) y (35 víctimas en el Salvador).

Esta es la historia de uno de los casos más grandes conocidos de espionaje telefónica estatal en Europa. Una trama con tres ingredientes: Un sofisticado spyware mercenario vendido a gobiernos de todo el mundo. Más de 65 personas… y *Todos los eurodiputados independentistas* fueron atacados directamente o con focalización relacional: Desde el liderazgo de importantes organizaciones cívicas como Òmnium Cultural y Assemblea International.. hasta incluso desarrolladores de código abierto. Principalmente por Pegasus, pero también software espía Candiru.


El Citizen Lab, en colaboración con grupos de la sociedad civil catalana, ha identificado al menos a 65 personas atacadas o infectadas con spyware mercenario, incluidos miembros del Parlamento Europeo, así  como todos los presidentes actuales/antiguos de Cataluña desde 2010.


¿Qué es Pegasus?


Pegasus es un spyware (software espía) para iOS, el sistema operativo de los iPhone, diseñado y desarrollado por una compañía privada de seguridad israelí llamada NSO Group. Un desarrollo que, en principio, solo se ofrece a gobiernos y a cuerpos y fuerzas de seguridad del estado. Existe una versión para Android bautizada por Google en 2017 como Chrysaor.

Pegasus tiene varios vectores de infección. Es capaz de tomar el control del iPhone con, simplemente, presionar en un enlace en una web visualizada desde Safari o a través de cualquier de las apps del sistema como FotosNotasApple Music o iMessage

Pegasus, curiosamente, no funciona en 5 países:

  • - Israel
  • - Irán
  • - Estados Unidos
  • - China
  • - Rusia
Pegasus es, además, un spyware modular. Puede escanear el dispositivo del objetivo e instalar solo los módulos necesarios. Por ejemplo para leer los mensajes y el correo electrónico del usuario. O solo para escuchar llamadas o hacer capturas de pantalla, entre muchos otros. Lo que hace incluso más complicado detectar su presencia.

Pegasus, un software espía creado en 2011

Pegaus es un spyware o software espía creado en 2011 por la firma tecnológica israelí NSO Group, que vende ese programa hasta a 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo. No obstante, saltó a las portadas de los medios de comunicación por primera vez en 2016, cuando el prestigioso Citizen Lab de la Universidad de Toronto descubrió vulnerabilidades en el sistema operativo móvil de Apple.


Pegasus en Catalunya


Dirigentes del Parlament de Catalunya, legisladores, etc. etc.. El hackeo con Pegasus se realizó a través de una combinación de vulnerabilidades de cero clic e intentos de infección por SMS.

Los atacantes estaban muy bien informados, ya por ejemplo una víctima recibió un enlace de tarjeta de embarque móvil... para un vuelo que realmente había reservado. 

Los objetivos de Candiru vinieron a través de correo electrónico. Nuevamente, a menudo súper personalizado. Se hicieron pasar por comunicaciones oficiales de COVID del gobierno español, notificaciones de registros de negocios, etc.

  • Logo Empresa Candiru




Ejemplos Phishing personalizado y avanzado

Antecedentes en España

Según el Confidencial, el CNI y la Policía Nacional pagaron al menos 209.000 euros a la empresa de software de vigilancia con sede en Milán Hacking Team por el uso de su software espía en 2010. La compra se reveló por primera vez en 2015 cuando WikiLeaks publicó correos electrónicos internos de Hacking Team. El País informó entonces que el contrato con el CNI tenía una “vigencia de 2010 a 2016, por valor de 3,4 millones de euros”. El CNI reconoció que compró el software espía en ese momento y dijo que lo hizo “de acuerdo con las leyes de contratación del sector público”. CNI se negó a dar más información sobre lo que hicieron con el software espía de Hacking Team. En 2015, Citizen Lab trazó un mapa de la proliferación de Finfisher, un sofisticado paquete de spyware informático que se vende exclusivamente a los gobiernos con fines de inteligencia y aplicación de la ley, e identificó a un presunto cliente español.

El último escándalo de espionaje dirigido en España surgió públicamente en 2020 cuando varios catalanes destacados anunciaron que WhatsApp y Citizen Lab les habían notificado que habían sido objeto de la filtración de WhatsApp Pegasus de 2019. El primero en hacerlo fue Roger Torrent, entonces presidente independentista del Parlamento catalán. WhatsApp confirmó la orientación de Torrent con el spyware de NSO Group. Ernest Maragall, líder del partido independentista Esquerra Republicana de Cataluña, con sede en Barcelona, ​​fue el segundo objetivo en presentarse, seguido de Anna Gabriel, ex diputada regional del partido de extrema izquierda, la Candidatura de la Unidad Popular ( CUP), el activista Jordi Domingo, y el colaborador de Puigdemont Sergi Miquel Gutiérrez. Gabriel fue atacado mientras vivía en Suiza. La oficina del presidente del gobierno español afirmó que "no estaba al tanto" de este espionaje. No obstante, en 2020, El País confirmó que el gobierno español era cliente del Grupo NSO y que el CNI usaba activamente el software espía Pegasus. Un exempleado de NSO comentó a Motherboard que "en realidad estaban muy orgullosos de ellos como clientes"... "Finalmente, un estado europeo".

En Catalunya, más de 60 teléfonos de políticos, abogados y activistas en España y en el resto de Europa han sido intervenidos mediante Pegasus. Se trata del mayor esfuerzo de espionaje sobre un colectivo hasta ahora documentado

El programa Pegasus, diseñado por la compañía israelí NSO, permite escuchar conversaciones, leer mensajes, acceder al almacenamiento, realizar capturas de pantalla, revisar el historial de navegación e incluso activar por control remoto la cámara y el micrófono de los móviles. Este es un programa que supuestamente solo pueden adquirir gobiernos y fuerzas y cuerpos de seguridad para combatir el crimen y el terrorismo.

Revelado el espionaje masivo a líderes y activistas independentistas entre 2017 y 2020

El teléfono del actual presidente de la Generalitat, Pere Aragonés, y los de más de 60 políticos y activistas independentistas catalanes y algunos vascos  fueron objetivo de espionaje en los últimos años a través de sus teléfonos móviles. El método utilizado fue principalmente un software de ciberespionaje denominado Pegasus, creado por la empresa israelí NSO Group, según se desprende de un informe del laboratorio The Citizen Lab, con sede en Canadá, que investiga el control de la información y la vigilancia a través de la red, y recoge en un extenso reportaje la revista The New Yorker.




Según el informe titulado CatalanGate, Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru, más de sesenta teléfonos de políticos catalanes -y vascos- vinculados al procés han sido objeto de un intento de espionaje a través de la infección del terminal mediante los software maliciosos Pegasus y Candiru, o han espiados. Citizen Lab estima que se trata del objetivo político con un mayor contingente de víctimas detectado hasta ahora.

Declaraciones entrevista a Shalev Hulio (39 años), director ejecutivo CEO y cofundador de NSO responsable del spyware Pegasus 

- Si no eres un "Bin Laden del mundo", las herramientas de NSO no te afectan 
 "Si no eres un criminal, no tengas miedo"

Aspectos técnicos de la infección 


 Si el spyware no es capaz de comunicarse con su servidor de comando y control durante más de 60 días, o si detecta que se ha instalado en el dispositivo incorrecto o con la tarjeta SIM incorrecta, se borra.

Se usaron múltiples exploits de iMessage sin clic para hackear iPhones de objetivos catalanes con Pegasus entre 2017 y 2020.
 
  • Es posible que el exploit se haya corregido en iOS 13.2.
 
El exploit HOMAGE parece haber estado en uso durante los últimos meses de 2019 e involucró un componente de clic cero de iMessage que lanzó una instancia de WebKit en el proceso com.apple.mediastream.mstreamd
 
La instancia de WebKit en el proceso com.apple.mediastream.mstreamd obtuvo el andamiaje de JavaScript que recuperamos de un teléfono infectado. El andamiaje se obtuvo de /[uniqueid]/stadium/goblin. Después de realizar las pruebas, el andamiaje obtiene el exploit de WebKit de /[uniqueid]/stadium/eutopia si las pruebas tienen éxito.

kismet

Los clics cero utilizados también incluyeron el exploit KISMET, que fue un día cero en el verano de 2020 contra iOS 13.5.1 e iOS 13.7. Aunque el exploit nunca se capturó ni documentó, aparentemente se solucionó con los cambios introducidos en iOS14, incluido el marco BlastDoor.

El caso más reciente que hemos documentado de un iPhone de un objetivo catalán infectado con Pegasus fue en diciembre de 2020, a través del exploit KISMET.

El ataque usando WhatsApp en 2019


Se ha confirmado previamente que varios catalanes se encontraban entre los objetivos de Pegasus a través del ataque de WhatsApp de 2019, que se basó en la vulnerabilidad (ahora ya parcheada) CVE-2019-3568. Fue de la misma manera, utilizando la  grave vulnerabilidad de WhatsApp, que espiaron al dueño de Amazon, el Sr. Jeff Bezos.

Fuentes:

https://www.lavanguardia.com/politica/20220418/8204295/pere-aragones-espiado-software-israeli-pegasus-2020.html
https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

No hay comentarios:

Publicar un comentario