Google está instando a sus usuarios a “aplicar parches rápidamente” y “mantener el software completamente actualizado” después de descubrir un ciberataque que duró nueve meses y que ha vinculado a espías rusos.
Peor aún, esta campaña de espionaje rusa parece haber aprovechado el “software espía” comercial desarrollado por una empresa griega de ciberinteligencia, que había sido sancionada por el gobierno de Estados Unidos en marzo por “uso indebido de herramientas de vigilancia”.
El software espía fabricado por la empresa Intellexa, con sede en la isla de Chipre, ha estado implicado en ataques en todas partes, desde Irlanda hasta Vietnam y Estados Unidos.
Afortunadamente, según Google, la mayoría de las vulnerabilidades explotadas por esta operación de piratería específica han sido parcheadas para los usuarios que instalaron actualizaciones cruciales para Apple iOS y su navegador Safari y Google Chrome.
Google está instando a sus usuarios a “aplicar parches rápidamente” después de descubrir un ciberataque que ha durado nueve meses y que ha vinculado a espías rusos. El gigante tecnológico dijo que estas vulnerabilidades han sido reparadas para los usuarios que instalaron actualizaciones para Apple iOS, su navegador Safari y Google Chrome.
El Grupo de Análisis de Amenazas de Google evaluó con “confianza moderada” que las campañas de piratería que descubrió estaban vinculadas al Servicio de Inteligencia Exterior de Rusia (SVR). Arriba, Vladimir Putin visitando la sede del SVR en Moscú en el centenario de la agencia de espionaje.
En su informe, el Grupo de Análisis de Amenazas de Google señaló que las fallas que exponen a los usuarios de iPhone o iPad a estos ataques fueron corregidas en septiembre de 2023 para cualquiera que haya actualizado a Apple iOS 16.7 y Safari 16.6.1.
De manera similar, para los propietarios de teléfonos Android y usuarios del navegador Google Chrome, sus propias vulnerabilidades a estos ataques se solucionaron en mayo de 2024 con la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux.
“Notificamos tanto a Apple como a nuestros socios de Android y Google Chrome sobre las campañas en el momento del descubrimiento”, dijo el ingeniero de seguridad de Google, Clément Lecigne.
Lecigne, que reside en Suiza, añadió que el análisis de amenazas de Google evaluó con “confianza moderada” que las campañas de piratería descubiertas en la naturaleza estaban “vinculadas con el actor APT29, respaldado por el gobierno ruso”.
APT29, a veces conocido como Cozy Bear o Group 100, es un conjunto en evolución de herramientas de piratería y software espía que la inteligencia occidental ha acusado durante mucho tiempo de ser obra de un equipo de piratería que actúa en nombre de la agencia de espionaje extranjera de Rusia, SVR.
Las cargas útiles de piratería APT29 se descubrieron ocultas en sitios web gubernamentales para el gabinete y el Ministerio de Asuntos Exteriores de Mongolia, lo que sugiere objetivos de espionaje.
‘También notificamos al CERT de Mongolia [Cybersecurity Emergency Response Teams] para remediar los sitios web infectados”, señaló Lecigne en su informe.
Pero los investigadores de ciberseguridad de Google advirtieron que existe una preocupación más amplia de que esta forma de ataque pueda ser replicada, no sólo por piratas informáticos patrocinados por el estado ruso sino por cualquier equipo bien capacitado que utilice estas mismas herramientas de software espía.
En una cronología publicada con su nuevo informe sobre estos casos, el Grupo de Análisis de Amenazas de Google señaló que los ‘exploits’ principales solían convertir estos dos sitios web del gobierno de Mongolia en una trampa para visitantes desprevenidos de la web, probablemente funcionarios de esta central. El país asiático y quizás los diplomáticos y espías estadounidenses en la región procedían de empresas comerciales de software espía.
“En cada iteración de las campañas de abrevaderos”, El informe de Lecigne señaló‘los atacantes utilizaron exploits que eran idénticos o sorprendentemente similares a los exploits de archivos CSV [commercial surveillance vendors] Intellexa y NSO Group.’
Desde al menos noviembre de 2021, la Administración Biden ha incluido a la empresa mercenaria de software espía NSO Group en la lista de entidades del Departamento de Comercio de EE. UU., lo que prohíbe a las empresas estadounidenses hacer negocios con la empresa israelí.
En una cronología publicada con su nuevo informe, el Grupo de Análisis de Amenazas de Google señaló que los ‘exploits’ principales utilizados para convertir dos sitios web del gobierno de Mongolia en una trampa para visitantes desprevenidos de la web provinieron de dos compañías de software espía sancionadas por los EE. UU.
Una de esas empresas, Intellexa, fue sancionada en marzo por su herramienta Predator, mediante la cual los piratas informáticos pueden infiltrarse en dispositivos mediante impresionantes ataques de “clic cero” que no requieren interacción del usuario.
La Casa Blanca acusó a NSO de permitir que su software patentado Pegasus fuera “utilizado indebidamente en todo el mundo para permitir abusos contra los derechos humanos, incluso contra periodistas, activistas de derechos humanos u otras personas percibidas como disidentes y críticos”.
Intellexa fue sancionada de manera similar por su herramienta Predator, mediante la cual los piratas informáticos pueden infiltrarse en dispositivos mediante impresionantes ataques de “clic cero” que no requieren interacción del usuario.
El equipo de seguridad de Google señaló que es alarmante ver a presuntos actores estatales rusos beneficiándose de fallas de seguridad ya reparadas a través de paquetes comerciales de software espía.
La campaña implicaba claramente que los espías esperaban infiltrarse en un número máximo de funcionarios del gobierno mongol y diplomáticos extranjeros visitantes, confiando en que las personas no actualizaran su software personal de navegación web.
Las fallas de seguridad parcheadas más antiguas, llamadas exploits de día n, generalmente se consideraban menos preocupantes que las fallas nuevas sin parches, conocidas como exploits de día 0.
“No sabemos cómo los atacantes consiguieron estas hazañas”, advirtió Lecigne.
“Lo que está claro”, señaló, “es que los actores de APT están utilizando exploits de día n que originalmente los CSV usaban como de día 0”.
