Dos de los fallos de día cero de Windows rectificados por Microsoft como parte de su actualización del martes de parches a principios de esta semana fueron utilizados como armas por una empresa con sede en Israel llamada Candiru en una serie de «ataques de precisión» para hackear a más de 100 periodistas, académicos, activistas y disidentes políticos en todo el mundo.
El proveedor de software espía también fue identificado formalmente como la empresa de vigilancia comercial que el Grupo de Análisis de Amenazas (TAG) de Google reveló que explotaba múltiples vulnerabilidades de día cero en el navegador Chrome para atacar a víctimas ubicadas en Armenia, según un informe publicado por el Citizen Lab de la Universidad de Toronto.
«La aparente presencia generalizada de Candiru, y el uso de su tecnología de vigilancia contra la sociedad civil mundial, es un potente recordatorio de que la industria del software espía mercenario contiene muchos actores y es propensa al abuso generalizado», dijeron los investigadores de Citizen Lab. «Este caso demuestra, una vez más, que en ausencia de salvaguardias internacionales o de fuertes controles gubernamentales a la exportación, los vendedores de software espía venderán a clientes gubernamentales que abusarán habitualmente de sus servicios».
Fundado en 2014, el actor ofensivo del sector privado (PSOA) -denominado «Sourgum» por Microsoft- se dice que es el desarrollador de un kit de herramientas de espionaje apodado DevilsTongue que se vende exclusivamente a los gobiernos y es capaz de infectar y monitorear una amplia gama de dispositivos a través de diferentes plataformas, incluyendo iPhones, Androids, Macs, PCs y cuentas en la nube.
Citizen Lab dijo que pudo recuperar una copia del software espía de Candiru para Windows después de obtener un disco duro de «una víctima políticamente activa en Europa Occidental», que luego fue sometido a ingeniería inversa para identificar dos exploits de día cero de Windows nunca antes vistos para las vulnerabilidades rastreadas como CVE-2021-31979 y CVE-2021-33771 que se aprovecharon para instalar el malware en las cajas de las víctimas.
La cadena de infección se basaba en una combinación de exploits de navegador y de Windows, y los primeros se servían a través de URL de un solo uso enviadas a objetivos en aplicaciones de mensajería como WhatsApp. El 13 de julio, Microsoft solucionó los dos fallos de escalada de privilegios, que permiten a un adversario escapar de las cajas de arena del navegador y obtener la ejecución de código del kernel.
Las intrusiones culminaron con el despliegue de DevilsTongue, una puerta trasera modular basada en C/C++ y dotada de varias capacidades, entre ellas la exfiltración de archivos, la exportación de mensajes guardados en la aplicación de mensajería cifrada Signal y el robo de cookies y contraseñas de los navegadores Chrome, Internet Explorer, Firefox, Safari y Opera.
El análisis de Microsoft del arma digital también descubrió que podía abusar de las cookies robadas de las cuentas de correo electrónico y redes sociales en las que se había iniciado sesión, como Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki y Vkontakte, para recopilar información, leer los mensajes de la víctima, recuperar fotos e incluso enviar mensajes en su nombre, lo que permitía al actor de la amenaza enviar enlaces maliciosos directamente desde el ordenador de un usuario comprometido.
Por otra parte, el informe de Citizen Lab también relaciona las dos vulnerabilidades de Google Chrome reveladas por el gigante de las búsquedas el miércoles -CVE-2021-21166 y CVE-2021-30551- con la empresa de Tel Aviv, señalando coincidencias en los sitios web que se utilizaron para distribuir los exploits.
Además, se descubrieron 764 dominios vinculados a la infraestructura de software espía de Candiru, muchos de los cuales se hacían pasar por organizaciones de defensa de los derechos humanos, como Amnistía Internacional o el movimiento Black Lives Matter, así como por empresas de comunicación y otras entidades de la sociedad civil. Algunos de los sistemas bajo su control eran operados desde Arabia Saudí, Israel, Emiratos Árabes Unidos, Hungría e Indonesia.
Hasta la fecha se han identificado más de 100 víctimas del malware de SOURGUM, con objetivos situados en Palestina, Israel, Irán, Líbano, Yemen, España (Cataluña), Reino Unido, Turquía, Armenia y Singapur. «Estos ataques se han dirigido en gran medida a cuentas de consumidores, lo que indica que los clientes de Sourgum perseguían a personas concretas», declaró la directora general de la Unidad de Seguridad Digital de Microsoft, Cristin Goodwin.
El último informe llega en el momento en que los investigadores de TAG Maddie Stone y Clement Lecigne han observado un aumento de los atacantes que utilizan más exploits de día cero en sus ciberofensivas, en parte alimentado por un mayor número de proveedores comerciales que venden acceso a los días cero que a principios de la década de 2010.
«Los actores ofensivos del sector privado son empresas privadas que fabrican y venden ciberarmas en paquetes de hacking como servicio, a menudo a organismos gubernamentales de todo el mundo, para hackear los ordenadores, teléfonos, infraestructura de red y otros dispositivos de sus objetivos», dijo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) en un resumen técnico.
«Con estos paquetes de hackeo, normalmente las agencias gubernamentales eligen los objetivos y ejecutan las operaciones reales ellos mismos. Las herramientas, tácticas y procedimientos utilizados por estas empresas no hacen sino aumentar la complejidad, la escala y la sofisticación de los ataques», añadió el MSTIC.
Espero que les guste la noticia, no olviden de compartir.