Investigadores de Citizen Lab, informaron que al menos 36 empleados de Al Jazeera fueron blanco de una campaña de ciberespionaje aprovechando una vulnerabilidad de día cero de iOS para piratear sus iPhones.
Los atacantes utilizaron una cadena de explotación llamada Kismet que formaba parte del arsenal del polémico spyware de Pegasus que vende la empresa de vigilancia NSO Group.
“En julio y agosto de 2020, los operativos del gobierno utilizaron el spyware Pegasus de NSO Group para hackear 36 teléfonos personales pertenecientes a periodistas, productores, presentadores y ejecutivos de Al Jazeera. El teléfono personal de un periodista de Al Araby TV con sede en Londres también fue hackeado”, dice el informe publicado por los expertos.
“Los teléfonos fueron comprometidos usando una cadena de explotación que llamamos KISMET, que parece implicar una explotación invisible de cero clic en iMessage. En julio de 2020, KISMET era un día cero contra al menos iOS 13.5.1 y podía hackear el entonces último iPhone 11 de Apple. Basándonos en los registros de los teléfonos comprometidos, creemos que los clientes del Grupo NSO también desplegaron con éxito KISMET o un exploit de día cero relacionado con el clic cero entre octubre y diciembre de 2019.”
La cadena de explotación de KISMET, no funciona contra el iOS 14 y superior porque el nuevo iOS móvil implementa protecciones de seguridad adicionales.
Los expertos creen que el número de individuos objetivo es mucho mayor dado el alcance global de la base de clientes del Grupo NSO. La campaña dirigida a los empleados de Al Jazeera está motivada políticamente, la agencia de noticias con sede en Qatar es un objetivo privilegiado de los hackers que trabajan para los países vecinos debido a las tensiones entre los gobiernos locales.
La infraestructura utilizada en estos ataques incluyó servidores en Alemania, Francia, Reino Unido e Italia utilizando proveedores de nubes Aruba, Choopa, CloudSigma y DigitalOcean.
Según el informe del Citizen Lab, la herramienta de hacking Kismet fue vendida al menos a cuatro organizaciones que la utilizaron contra los empleados de Al Jazeera de todo el mundo. Estos ataques quirúrgicos tuvieron lugar entre julio y agosto de 2020, pero los expertos especulan que el ataque se está produciendo desde al menos octubre de 2019.
Dos de los clientes del Grupo NSO están en Arabia Saudita y los Emiratos Árabes Unidos, Citizen Lab asoció los ataques a las operaciones de los grupos APT rastreados como Monarchy y Sneaky Kestrel.
Citizen Lab ya ha publicado varios informes desenmascarando operaciones que implicaban el uso del software de vigilancia de la NSO. -La empresa siempre señaló que su software sólo se vendía a agencias gubernamentales y de inteligencia y nunca se vendía a organizaciones gubernamentales que los utilizaban para rastrear rivales políticos, disidentes y periodistas.
Lamentablemente, Citizen Lab encontró pruebas de que el software de la ONG se utilizaba en múltiples campañas contra periodistas, activistas y disidentes en varios países, entre ellos Marruecos, México, Arabia Saudita y los Emiratos Árabes Unidos.
Con información de: Gente de la Safor.