La empresa rusa de ciberseguridad Kaspersky dijo que los piratas informáticos que trabajaban para un gobierno apuntaron a los iPhone de varias docenas de empleados con malware desconocido.
El jueves, Kaspersky anunció el supuesto ciberataque y publicó un informe técnico analizándolo, donde la empresa admitió que su análisis aún no está completo. La compañía dijo que los piratas informáticos, que en este momento son desconocidos, entregaron el malware con un exploit de cero clic a través de un archivo adjunto de iMessage, y que todos los eventos ocurrieron dentro de un período de tiempo de uno a tres minutos.
El portavoz de Kaspersky, Sawyer Van Horn, dijo en un correo electrónico a TechCrunch que la compañía determinó que una de las vulnerabilidades utilizadas en la operación es conocida y fue reparada por Apple en diciembre de 2022, pero puede haber sido explotada antes de que fuera reparada, junto con otras vulnerabilidades. “Aunque no hay una indicación clara de que se explotaron las mismas vulnerabilidades anteriormente, es muy posible”, dijo el portavoz.
Los investigadores de Kaspersky dijeron que descubrieron el ataque cuando notaron «actividad sospechosa que se originó en varios teléfonos basados en iOS», mientras monitoreaban su propia red Wi-Fi corporativa. Van Horn dijo que los ataques cibernéticos se descubrieron “a principios de este año”.
La compañía llamó a este presunto hackeo contra sus propios empleados “Operación Triangulación” y creó un logo para ello.
Los investigadores de Kaspersky dijeron que crearon copias de seguridad sin conexión de los iPhone seleccionados y los inspeccionaron con una herramienta desarrollada por Amnistía Internacional llamada Mobile Verification Toolkit, o MVT, que les permitió descubrir «rastros de compromiso». Los investigadores no dijeron cuándo descubrieron el ataque, y dijeron que encontraron rastros que se remontan a 2019 y que «el ataque está en curso, y la versión más reciente de los dispositivos atacados con éxito es iOS 15.7».
Si bien el malware se diseñó para limpiar los dispositivos infectados y eliminar los rastros de sí mismo, «es posible identificar de manera confiable si el dispositivo se vio comprometido», escribieron los investigadores.
En el informe, los investigadores explicaron paso a paso cómo analizaron los dispositivos comprometidos y describieron cómo otros pueden hacer lo mismo. Sin embargo, no incluyeron muchos detalles de lo que encontraron usando este proceso.
Los investigadores dijeron que la presencia de «líneas de uso de datos que mencionan el proceso llamado ‘BackupAgent'» era la señal más confiable de que un iPhone fue pirateado, y que otra de las señales era que los iPhones comprometidos no podían instalar actualizaciones de iOS.
“Observamos intentos de actualización que terminaban con un mensaje de error ‘Falló la actualización de software. Se produjo un error al descargar iOS’”, escribieron los investigadores.
La empresa también publicó una serie de URL que se utilizaron en la operación, incluidas algunas con nombres como Unlimited Teacup y Backup Rabbit.
El Equipo Ruso de Respuesta a Emergencias Informáticas (CERT), una organización gubernamental que comparte información sobre ciberataques, publicó un aviso sobre el ciberataque, junto con los mismos dominios mencionados por Kaspersky.
En una declaración separada, el Servicio Federal de Seguridad (FSB) de Rusia acusó a la inteligencia de EE. UU., mencionando específicamente a la NSA, de piratear «miles» de teléfonos Apple con el objetivo de espiar a los diplomáticos rusos, según una traducción en línea. El FSB también acusó a Apple de cooperar con la inteligencia estadounidense. El FSB no proporcionó pruebas para sus afirmaciones.
“Nunca hemos trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple y nunca lo haremos”, dijo el portavoz de Apple, Scott Radcliffe, en un correo electrónico.
La NSA no respondió de inmediato a una solicitud de comentarios.
La descripción del FSB de los ataques se hace eco de lo que escribió Kaspersky en su informe, pero no está claro si las dos operaciones están conectadas.
“Aunque no tenemos detalles técnicos sobre lo que ha informado el FSB hasta el momento, el Centro Nacional de Coordinación de Incidentes Informáticos de Rusia (NCCCI) ya ha declarado en su alerta pública que los indicadores de compromiso son los mismos”, Van Horn dicho.
Además, la empresa se negó a atribuir la operación a ningún gobierno o grupo de piratería y dijo que «Kaspersky no hace atribuciones políticas».
“No tenemos detalles técnicos sobre lo que ha informado el FSB hasta ahora, por lo que tampoco podemos hacer ninguna atribución técnica. A juzgar por las características del ciberataque, no podemos vincular esta campaña de ciberespionaje con ningún actor de amenazas existente”, escribió Van Horn.
El portavoz también dijo que la compañía se comunicó con Apple el jueves por la mañana, “antes de enviar el informe a los CERT nacionales”.
El fundador de la empresa, Eugene Kaspersky, escribió en Twitter que «tienen bastante confianza en que Kaspersky no fue el objetivo principal de este ciberataque», al tiempo que prometió «más claridad y más detalles» en los próximos días.
Esta no es la primera vez que los piratas informáticos apuntan a Kaspersky. En 2015, la empresa anunció que un grupo de hackers de un estado-nación había pirateado su red utilizando malware que se creía que había sido desarrollado por espías israelíes.
Actualizado con detalles adicionales de Kaspersky y para incluir la declaración de Apple.
Se corrigió la fecha en el segundo párrafo y el vigésimo párrafo.
¿Tienes más información sobre estos ciberataques? Nos encantaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.