Google insta a sus usuarios a «aplicar parches rápidamente» y «mantener el software totalmente actualizado» después de descubrir un ciberataque de nueve meses de duración que ha vinculado a espías rusos.
Peor aún, esta campaña de espionaje ruso parece haber aprovechado un «software espía» comercial desarrollado por una empresa griega de ciberinteligencia, que había sido sancionada por el gobierno estadounidense en marzo por «mal uso de herramientas de vigilancia».
El software espía creado por la empresa Intellexa, con sede en la isla de Chipre, ha sido implicado en ataques en todas partes, desde Irlanda hasta Vietnam y Estados Unidos.
Afortunadamente, según Google, la mayoría de las vulnerabilidades explotadas por esta operación de piratería específica han sido parcheadas para los usuarios que instalaron actualizaciones cruciales para Apple iOS y su navegador Safari y Google Chrome.
Google insta a sus usuarios a «aplicar parches rápidamente» tras descubrir un ciberataque que lleva nueve meses vinculado a espías rusos. El gigante tecnológico dijo que estas vulnerabilidades han sido corregidas para los usuarios que instalaron actualizaciones de Apple iOS, su navegador Safari y Google Chrome
El Grupo de Análisis de Amenazas de Google evaluó con «confianza moderada» que las campañas de piratería informática que descubrió estaban vinculadas al Servicio de Inteligencia Exterior de Rusia (SVR). Arriba, Vladimir Putin visitando la sede del SVR en Moscú con motivo del centenario de la agencia de espionaje
En su informe, el Grupo de Análisis de Amenazas de Google señaló que las fallas que exponen a los usuarios de iPhone o iPad a estos ataques fueron parcheadas en septiembre de 2023 para cualquiera que haya actualizado a Apple iOS 16.7 y Safari 16.6.1.
De manera similar, para los propietarios de teléfonos Android y los usuarios del navegador Google Chrome, sus propias vulnerabilidades a estos ataques se solucionaron en mayo de 2024 con la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux.
«Notificamos tanto a Apple como a nuestros socios de Android y Google Chrome sobre las campañas en el momento del descubrimiento», dijo el ingeniero de seguridad de Google, Clément Lecigne.
Lecigne, que tiene su base en Suiza, agregó que el análisis de amenazas de Google evaluó con «moderada confianza» que las campañas de piratería descubiertas estaban «vinculadas al actor APT29 respaldado por el gobierno ruso».
A veces conocido como Cozy Bear o Group 100, APT29 es un conjunto en evolución de herramientas de piratería y software espía que la inteligencia occidental ha acusado durante mucho tiempo de ser obra de un equipo de piratas informáticos que actúa en nombre de la agencia de espionaje exterior de Rusia, SVR.
Las cargas útiles de piratería APT29 fueron descubiertas ocultas en sitios web gubernamentales del gabinete y del Ministerio de Asuntos Exteriores de Mongolia, lo que sugiere objetivos de espionaje.
‘También notificamos al CERT de Mongolia [Cybersecurity Emergency Response Teams] para remediar los sitios web infectados’, señaló Lecigne en su informe.
Pero los investigadores de ciberseguridad de Google advirtieron que existe una preocupación más amplia de que es probable que esta forma de ataque sea replicada, no sólo por piratas informáticos patrocinados por el estado ruso, sino por cualquier equipo bien entrenado que utilice estas mismas herramientas de spyware.
En una cronología publicada con su nuevo informe sobre estos casos, el Grupo de Análisis de Amenazas de Google señaló que los principales «exploits» utilizados para convertir a estos dos sitios web del gobierno de Mongolia en una trampa «de abrevadero» para visitantes desprevenidos de la web (probablemente funcionarios de este país de Asia central y tal vez diplomáticos y espías estadounidenses en la región) provenían de empresas de software espía comerciales.
‘En cada iteración de las campañas de los abrevaderos’, El informe de Lecigne señaló‘los atacantes utilizaron exploits que eran idénticos o sorprendentemente similares a los exploits de CSV [commercial surveillance vendors] Intellexa y Grupo NSO.
Desde al menos noviembre de 2021, la Administración Biden ha incluido a la empresa de software espía mercenario NSO Group en la Lista de Entidades del Departamento de Comercio de EE. UU., prohibiendo a las empresas estadounidenses hacer negocios con el grupo israelí.
En una cronología publicada con su nuevo informe, el Grupo de Análisis de Amenazas de Google señaló que los principales «exploits» utilizados para convertir dos sitios web del gobierno de Mongolia en una trampa de «abrevadero» para visitantes desprevenidos en la web provenían de dos empresas de software espía sancionadas por los EE. UU.
Una de esas empresas, Intellexa, fue sancionada en marzo pasado por su herramienta Predator, mediante la cual los piratas informáticos pueden infiltrarse en los dispositivos mediante sorprendentes ataques de «cero clic» que no requieren interacción del usuario.
La Casa Blanca acusó a NSO de permitir que su software propietario Pegasus sea «mal utilizado en todo el mundo para permitir abusos de los derechos humanos, incluso para atacar a periodistas, activistas de derechos humanos u otras personas percibidas como disidentes y críticos».
Intellexa también fue sancionada por su herramienta Predator, mediante la cual los piratas informáticos pueden infiltrarse en los dispositivos mediante sorprendentes ataques de «cero clic» que no requieren interacción del usuario.
El equipo de seguridad de Google señaló que es alarmante ver a presuntos actores estatales rusos beneficiándose de fallas de seguridad ya parcheadas a través de paquetes de software espía comerciales.
La campaña implicaba claramente que los espías esperaban infiltrarse en el máximo número posible de funcionarios del gobierno mongol y diplomáticos extranjeros de visita, contando con que los individuos no actualizaran su software de navegación web personal.
Generalmente se ha considerado que las fallas de seguridad antiguas corregidas, llamadas exploits de día n, representan un problema de seguridad menor que las fallas nuevas sin parchear, conocidas como exploits de día 0.
«No sabemos cómo los atacantes adquirieron estos exploits», advirtió Lecigne.
«Lo que está claro», señaló, «es que los actores de APT están utilizando exploits de día n que originalmente fueron utilizados como días 0 por los CSV».
