imágenes falsas
Apple ha parcheado una potente cadena de días cero de iOS que se utilizaron para infectar el iPhone de un candidato presidencial egipcio con un sofisticado software espía desarrollado por un vendedor de exploits comerciales, dijeron el viernes Google e investigadores de Citizen Lab.
Las vulnerabilidades previamente desconocidas, que Apple parchó el jueves, fueron explotadas en ataques sin clic, lo que significa que no requerían que el objetivo tomara ninguna medida más que visitar un sitio web que utilizaba el protocolo HTTP en lugar de la alternativa más segura HTTPS. Un dispositivo de inspección de paquetes instalado en una red celular en Egipto estuvo atento a las conexiones del teléfono del candidato objetivo y, cuando lo detectó, lo redirigió a un sitio que entregaba la cadena de exploits, según Citizen Lab, un grupo de investigación del Escuela Munk de la Universidad de Toronto.
Un elenco de villanos, 30 días y una red celular comprometida
Citizen Lab dijo que el ataque fue posible gracias a la participación del gobierno egipcio, software espía conocido como Predator vendido por una compañía conocida como Cytrox y hardware vendido por Sandvine, con sede en Egipto. La campaña estaba dirigida a Ahmed Eltantawy, un ex miembro del Parlamento egipcio que anunció que se postularía para presidente en marzo. Citizen Lab dijo que los ataques recientes fueron al menos la tercera vez que el iPhone de Eltantawy ha sido atacado. Uno de ellos, en 2021, tuvo éxito y también instaló Predator.
“El uso de software espía mercenario para atacar a un miembro de alto rango de la oposición democrática de un país después de haber anunciado su intención de postularse para presidente es una clara interferencia en elecciones libres y justas y viola los derechos a la libertad de expresión, reunión y privacidad”. Los investigadores de Citizen Lab Bill Marczak, John Scott-Railton, Daniel Roethlisberger, Bahr Abdul Razzak, Siena Anstis y Ron Deibert escribieron en un informe de 4200 palabras. «También contradice directamente cómo las empresas mercenarias de software espía justifican públicamente sus ventas».
Las vulnerabilidades, que están parcheadas en las versiones de iOS 16.7 y iOS 17.0.1, se rastrean de la siguiente manera:
- CVE-2023-41993: Ejecución remota inicial de código en Safari
- CVE-2023-41991: derivación de PAC
- CVE-2023-41992: Escalada de privilegios locales en el kernel XNU
Según una investigación publicada el viernes por miembros del Grupo de Análisis de Amenazas de Google, los atacantes que explotaron las vulnerabilidades de iOS también tenían un exploit separado para instalar el mismo software espía Predator en dispositivos Android. Google corrigió las fallas el 5 de septiembre después de recibir un informe de un grupo de investigación que se hace llamar DarkNavy.
«TAG observó que estos exploits se entregaban de dos maneras diferentes: mediante inyección MITM y mediante enlaces únicos enviados directamente al objetivo», escribió Maddie Stone, investigadora del Grupo de Análisis de Amenazas de Google. «Solo pudimos obtener la vulnerabilidad de ejecución remota de código del renderizador inicial para Chrome, que explotaba CVE-2023-4762».
El ataque fue complejo. Además de aprovechar tres vulnerabilidades distintas de iOS, también se basó en hardware fabricado por un fabricante conocido como Sandvine. Vendido bajo la marca PacketLogic, el hardware se encontraba en la red celular a la que accedía el iPhone objetivo y monitoreaba el tráfico que pasaba por ella hacia su teléfono. A pesar de la precisión, Citizen Lab dijo que el ataque se bloquea cuando los usuarios activan una función conocida como Lockdown, que Apple agregó a iOS el año pasado. Más sobre eso más adelante.
Hay poca información sobre la cadena de exploits de iOS, aparte de que se activa automáticamente cuando un objetivo visita un sitio que aloja el código malicioso. Una vez allí, los exploits instalaron Predator sin necesidad de ninguna otra acción por parte del usuario.
Para dirigir subrepticiamente el iPhone al sitio del ataque, sólo necesitaba visitar cualquier sitio HTTP. En los últimos cinco años, HTTPS se ha convertido en el medio dominante para conectarse a sitios web porque el cifrado que utiliza evita que los atacantes intermedios monitoreen o manipulen los datos enviados entre el sitio y el visitante. Los sitios HTTP todavía existen y, a veces, las conexiones HTTPS se pueden degradar a HTTP no cifradas.
Una vez que Eltantawy visitó un sitio HTTP, el dispositivo PacketLogic inyectó datos en el tráfico que subrepticiamente conectó el dispositivo Apple a un sitio que desencadenó la cadena de exploits.
Predator, la carga útil instalada en el ataque, se vende a una amplia gama de gobiernos, incluidos los de Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia. Citizen Lab ha dicho que Predator fue utilizado para atacar a Ayman Nour, un miembro de la oposición política egipcia que vive exiliado en Turquía, y un periodista egipcio exiliado que presenta un popular programa de noticias y desea permanecer en el anonimato. El año pasado, investigadores del equipo de seguridad Talos de Cisco expusieron el funcionamiento interno del malware después de obtener un binario del mismo.