Tres docenas de periodistas que trabajaban para Al Jazeera vieron sus iPhones comprometidos sigilosamente a través de un exploit de clic cero para instalar spyware como parte de una campaña de ciberespionaje en Oriente Medio.
En un nuevo informe publicado ayer por Citizen Lab de la Universidad de Toronto, los investigadores dijeron que los teléfonos personales de 36 periodistas, productores, presentadores y ejecutivos de Al Jazeera, y un periodista de Al Araby TV, con sede en Londres, estaban infectados con el malware Pegasus a través de un ahora- falla corregida en el iMessage de Apple.
Pegasus es desarrollado por la firma de inteligencia privada israelí NSO Group y permite que un atacante acceda a datos confidenciales almacenados en un dispositivo objetivo, todo sin el conocimiento de la víctima.
«El cambio hacia los ataques de clic cero por parte de una industria y clientes que ya están sumergidos en el secreto aumenta la probabilidad de que el abuso pase desapercibido», dijeron los investigadores.
“Es más desafiante […] para rastrear estos ataques de clic cero porque los objetivos pueden no notar nada sospechoso en su teléfono. Incluso si observan algo como un comportamiento de llamada ‘raro’, el evento puede ser transitorio y no dejar ningún rastro en el dispositivo».
Los hallazgos salieron a la luz después de que una de las víctimas, el periodista de investigación de Al Jazeera, Tamer Almisshal, sospechara que su iPhone podría haber sido pirateado y consintió que los investigadores de Citizen Lab monitorearan su tráfico de red utilizando una aplicación VPN a principios de enero.
El organismo de control de Internet descubrió que los ataques ocurrieron entre julio y agosto de este año usando una cadena de exploits que llama KISMET, un presente de día cero en iOS 13.5.1 que podría usarse para romper las protecciones de seguridad de Apple.
Citizen Lab dijo que los 36 teléfonos en cuestión fueron pirateados por cuatro «grupos» distintos u operadores NSO con vínculos probables con los gobiernos de Arabia Saudita y los Emiratos Árabes Unidos.
Una revisión de los registros de VPN de Almisshal reveló un aumento repentino en las conexiones anómalas a los servidores iCloud de Apple, que los investigadores suponen que fue el vector de infección inicial para transmitir el código malicioso, seguido de conexiones a un servidor de instalación para obtener el software espía Pegasus.
El implante viene con la capacidad de grabar audio del micrófono y llamadas telefónicas, tomar fotos con la cámara del teléfono, acceder a las contraseñas de la víctima y rastrear la ubicación del dispositivo.
Si bien NSO Group ha sostenido constantemente que su software solo está destinado a ser utilizado por las fuerzas del orden para rastrear terroristas y delincuentes, esta no es la primera vez que varios gobiernos abusan de la herramienta para espiar a críticos, disidentes, políticos, y otras personas de interés.
Uno de esos casos involucró la entrega de la herramienta de piratería a través de una vulnerabilidad no revelada previamente en WhatsApp, que actualmente está iniciando acciones legales contra la empresa en un tribunal de EE. UU.
«La tendencia actual hacia vectores de infección sin clic y capacidades antiforenses más sofisticadas es parte de un cambio más amplio en toda la industria hacia medios de vigilancia más sofisticados y menos detectables», concluyeron los investigadores.
«El aumento de la focalización en los medios es especialmente preocupante dadas las prácticas y culturas de seguridad fragmentadas y, a menudo, ad-hoc entre los periodistas y los medios de comunicación, y la brecha entre la escala de las amenazas y los recursos de seguridad disponibles para los reporteros y las salas de redacción».