Cómo el iPhone de una mujer saudita expuso la piratería mundial
Un activista ayudó Cambiando el rumbo contra NSO Groupuna de las compañías de spyware más sofisticadas del mundo, enfrenta ahora una andanada de acciones legales y escrutinio en Washington por nuevas acusaciones dañinas de que su software se usó para piratear a funcionarios gubernamentales y disidentes en todo el mundo.
Todo comenzó con una falla de software en su iPhone.
un error inusual Software espía para NSO Permitió que la activista por los derechos de las mujeres sauditas Loujain al-Hathloul y los investigadores de privacidad descubrieran una gran cantidad de evidencia de que el fabricante israelí de software espía ayudó a descifrar su iPhone, según seis personas involucradas en el incidente. Un spyware dejó por error un misterioso archivo de imagen falso en su teléfono, lo que les dio una pista a los investigadores de seguridad.
El descubrimiento el año pasado en el teléfono de al-Hathloul provocó una tormenta de acciones legales y gubernamentales, poniendo a la NSO a la defensiva.
Aquí está el primer informe sobre cómo se descubrió por primera vez al hacker.
Al-Hathloul es una de las activistas más destacadas de Arabia Saudita, conocida por ayudar a liderar una campaña para poner fin a la prohibición de conducir mujeres en Arabia Saudita.ella Liberado de prisión en febrero de 2021 por poner en peligro la seguridad nacional.
Poco después de su liberación de prisión, la activista recibió un correo electrónico de Google advirtiéndole que piratas informáticos respaldados por el estado estaban tratando de ingresar a su cuenta de Gmail. Preocupada porque su iPhone también había sido pirateado, al-Hathloul se puso en contacto con el grupo canadiense de privacidad Citizen Lab y les pidió que investigaran su dispositivo en busca de pruebas, dijeron a Reuters tres personas cercanas a al-Hathloul.
Seis meses después de revisar los registros de su iPhone, el investigador de Citizen Lab, Bill Marczak, hizo lo que él describe como un descubrimiento sin precedentes: el software de vigilancia implantado en su teléfono no funcionó correctamente, dejando una copia del archivo de imagen malicioso en lugar de su propia eliminación, y luego robó su mensaje del objetivo.
Bill Marczak posa para un retrato en el campus de la Universidad de Berkeley el 26 de enero de 2022 en Berkeley, California, EE. (Reuters)
El descubrimiento del código de computadora dejado por el ataque proporcionó evidencia directa de que la NSO había construido una herramienta de espionaje, dijo. «Es un cambio de juego», dijo Marczak. «Estamos capturando cosas que la compañía pensó que no podía capturar».
El descubrimiento equivalía a un plan de piratería y llevó a Apple a notificar a miles de otras víctimas de piratería respaldadas por el estado en todo el mundo, según cuatro personas con conocimiento directo del incidente. Los hallazgos de Citizen Lab y al-Hathloul sirvieron de base para que Apple presentara una demanda contra la NSO en noviembre de 2021 y repercutió en Washington, donde los funcionarios estadounidenses se enteraron de que las armas cibernéticas de la NSO se usaban para espiar a los diplomáticos estadounidenses.
La industria del software espía se ha disparado en los últimos años a medida que los gobiernos de todo el mundo compran software de escucha telefónica, una vez que la vigilancia digital solo estaba disponible para un puñado de agencias de inteligencia de élite.Una serie de revelaciones de periodistas y activistas durante el último año, incluida la cooperación periodística internacional. Proyecto Pegasovinculando la industria del software espía con abusos de derechos humanos, alimentando el escrutinio de la NSO y sus pares.
Pero los investigadores de seguridad dicen que el descubrimiento de al-Hathloul proporciona por primera vez un modelo para una nueva y poderosa forma de espionaje cibernético, una herramienta de piratería que penetra en los dispositivos sin la interacción del usuario, brindando la evidencia más concreta hasta el momento del alcance del arma.
En un comunicado, un portavoz de NSO dijo que la compañía no opera las herramientas de piratería que vende: «las agencias gubernamentales, policiales y de inteligencia son responsables». problemas de la gente.
Pero el portavoz dijo que los grupos que hacían las acusaciones eran «opositores políticos de la ciberinteligencia» y sugirió que algunos de ellos eran «contractual y técnicamente imposibles». El portavoz se negó a proporcionar detalles, citando acuerdos de confidencialidad de los clientes.
La compañía no dio más detalles, pero dijo que tenía un proceso establecido para investigar el supuesto mal uso de sus productos y cortar los lazos con los clientes por cuestiones de derechos humanos.
Descubre el plano
Al-Hathloul tenía buenas razones para sospechar: esta no era la primera vez que la observaban.
Una investigación de Reuters en 2019 reveló que en 2017 fue atacada por un equipo de mercenarios estadounidenses que espiaron a los disidentes en nombre de los Emiratos Árabes Unidos bajo un programa encubierto llamado Project Raven, que la clasificó como «Amenaza a la seguridad nacional» y la hackeó. iPhone Fue arrestada y encarcelada durante casi tres años en Arabia Saudita, donde su familia dijo que fue torturada e interrogada por información robada de su dispositivo.
Al-Hathloul fue liberado en febrero de 2021 y actualmente tiene prohibido salir del país. Reuters no tiene evidencia de que NSO estuviera involucrada en el ataque anterior.
La experiencia de Al-Hathloul con la vigilancia y el encarcelamiento hizo que se decidiera a recopilar pruebas que pudieran usarse contra quienes usan estas herramientas, dijo su hermana Lina al-Hathloul. «Ella siente que tiene la responsabilidad de continuar esta lucha porque sabe que puede cambiarlo todo».
El tipo de software espía que Citizen Lab encontró en los iPhones de al-Hathloul se llama «clic cero», lo que significa que los usuarios no necesitan hacer clic en un enlace malicioso para infectarse. El malware de clic cero generalmente se elimina solo después de infectar a los usuarios, lo que deja a los investigadores y las empresas tecnológicas sin muestras de armas para estudiar. Los investigadores de seguridad dicen que es casi imposible reunir pruebas sólidas de que el iPhone fue pirateado.
Pero esta vez es diferente.
Una falla de software dejó una copia oculta del spyware en el iPhone de al-Hathloul, lo que le dio a Marczak y su equipo un plan virtual para el ataque y la prueba de sus creadores. «Aquí tenemos los cartuchos de la escena del crimen», dijo.
Marczak y su equipo descubrieron que el software espía funciona en parte al enviar un archivo de imagen a al-Hathloul a través de un mensaje de texto invisible. Los archivos de imagen engañan al iPhone para que acceda a toda su memoria, eludiendo la seguridad y permitiendo que se instale software espía para robar la información de los usuarios.
Los hallazgos de Citizen Lab brindan evidencia sólida de que las armas cibernéticas fueron fabricadas por NSO, dijo Marczak, y el análisis de Marczak fue corroborado por investigadores de Amnistía Internacional y Apple, según tres personas con conocimiento directo de la situación.
Marczak dijo que el software espía encontrado en el dispositivo de al-Hathloul contenía un código que mostraba que se estaba comunicando con un servidor que Citizen Lab había determinado previamente que estaba controlado por la NSO. Citizen Lab nombró a este nuevo hack de iPhone «ForcedEntry». Luego, los investigadores proporcionaron las muestras a Apple en septiembre pasado.
Armado con el plan de ataque, Apple puede reparar vulnerabilidades críticas y hacer que notifiquen a miles de otros usuarios de iPhone que han sido atacados por el software NSO, advirtiendo que han sido atacados por «ataques patrocinados por el estado». Esta es la primera vez que Apple da este paso.
La activista saudita Loujain al-Hathloul asiste a una audiencia de apelación en un tribunal penal especial en Riyadh, Arabia Saudita, el 10 de marzo de 2021. (Reuters)
Si bien Apple determinó que la gran mayoría fueron atacados a través de las herramientas de NSO, los investigadores de seguridad también descubrieron que el software espía de un segundo proveedor israelí, QuaDream, explotaba la misma vulnerabilidad del iPhone, informó Reuters a principios de este mes. QuaDream no respondió a múltiples solicitudes de comentarios.
Las víctimas incluyen disidentes críticos del gobierno tailandés y activistas de derechos humanos en El Salvador.
Citando hallazgos obtenidos del teléfono al-Hathloul, Apple demandó a la NSO en un tribunal federal en noviembre, alegando que el fabricante de spyware violó la ley de EE. UU. al crear productos diseñados para «atacar, atacar y dañar a los usuarios de Apple, los productos de Apple y el producto de Apple». Apple argumentó que Citizen Lab proporcionó «información técnica» utilizada como evidencia en la demanda, pero no reveló que inicialmente se obtuvo del iPhone de al-Hathloul.
La NSO dijo que sus herramientas han ayudado a las fuerzas del orden público y han salvado «miles de vidas». La compañía dijo que algunas de las acusaciones atribuidas al software NSO no eran creíbles, pero se negó a dar más detalles sobre acusaciones específicas, citando acuerdos de confidencialidad con los clientes.
De los que Apple advirtió, al menos nueve empleados del Departamento de Estado de EE. UU. en Uganda fueron atacados por el software NSO, según personas familiarizadas con el asunto, lo que provocó una nueva ronda de críticas a la compañía en Washington.
En noviembre, el Departamento de Comercio de EE. UU. colocó a NSO en una lista negra comercial que restringe a las empresas estadounidenses de vender productos de software de empresas israelíes y amenaza sus cadenas de suministro. El Departamento de Comercio dijo que la operación se basó en el uso del software espía NSO contra «periodistas, empresarios, activistas, académicos y personal de embajadas».
En diciembre, el senador demócrata Ron Wyden y otros 17 legisladores pidieron al Departamento del Tesoro que sancionara a NSO Group y otras tres empresas de vigilancia extranjeras que, según dijeron, ayudaron a gobiernos autoritarios a violar los derechos humanos.
«Cuando el público vio que los datos del gobierno de Estados Unidos habían sido pirateados, obviamente cambió de rumbo», dijo Wyden a Reuters en una entrevista, refiriéndose al ataque contra funcionarios estadounidenses en Uganda.
La hermana de Loujain, Lina al-Hathloul, dijo que el golpe financiero a la NSO podría ser lo único que podría detener la industria del spyware. «Llega a su punto sensible», dijo.
