El Laboratori sobre Seguretat d'Amnistia Internacional ha denunciat una sofisticada campanya de hacking d'una empresa de programari espia mercenari contra el sistema operatiu Android de Google.
Les troballes tècniques van ser enviades al Grup d'Anàlisi d'Amenaces (TAG) de Google, dedicat a combatre els ciberatacs amb suport de governs. Com a conseqüència, Google, juntament amb altres proveïdors afectats —com Samsung—, va poder publicar actualitzacions de seguretat per a protegir milers de milions de persones usuàries d'Android, Chrome i Linux de les tècniques basades en vulnerabilitats emprades en aquest atac.
Amnistia Internacional ha preferit no revelar el nom de l'empresa mentre el Laboratori sobre Seguretat continuï fent el seguiment de la seva activitat i investigant-la. No obstant això, l'atac mostrava totes les característiques d'una campanya de programari espia avançat desenvolupat per una empresa comercial de cibervigilància i venut a hackers governamentals per a dur a terme atacs selectius.
“Les empreses de programari espia sense escrúpols representen un perill real per a la privacitat i la seguretat de totes les persones. Demanem a la ciutadania que s'asseguri de tenir instal·lades les actualitzacions de seguretat més recents en els seus dispositius”, ha afirmat Donncha O Cearbhaill, director del Laboratori sobre Seguretat d'Amnistia Internacional.
“Ens cal amb urgència una suspensió mundial de la venda, transferència i utilització de programes espia mentre no s'instaurin unes salvaguardes sòlideas dels drets humans”
És vital que se solucionin aquestes vulnerabilitats, però això no és més que un pedaç per a una crisi mundial de programari espia. Necessitem amb urgència una moratòria mundial de la venda, transferència i ús de programes espia mentre no s'instaurin unes salvaguardes sòlides dels drets humans; en cas contrari, es continuaran emprant els ciberatacs com a eina de repressió contra activistes i periodistes”.
El Laboratori sobre Seguretat d'Amnistia Internacional observa i investiga empreses i governs que multipliquen i fan un ús indegut de tecnologies de cibervigilancia que són una amenaça fonamental per a persones defensores dels drets humans, periodistes i la societat civil.
Dilluns, el president nord-americà, Joe Biden, va prendre una mesura significativa per a abordar la crisi de programes espia en firmar una ordre executiva que limita l'ús pel govern de tecnologia de programari espia comercial que representi una amenaça per als drets humans. Es tracta d'una iniciativa que transmet un missatge enèrgic a altres governs perquè adoptin mesures similars.
Atac de dia zero
Les troballes del Laboratori sobre Seguretat van permetre que Google, al desembre de 2022, capturés una nova cadena de explotadors de dia zero usada per a hackejar dispositius Android. Elsexplotadors de dia zero són especialment perillosos perquè permeten als atacants comprometre fins i tot telèfons actualitzats, perquè el desenvolupador encara no en coneix la vulnerabilitat.
La campanya de programes espia recentment descoberta porta activa des d'almenys 2020, i ha afectat dispositius mòbils i tauletes, així com persones usuàries del sistema operatiu Android de Google. Els explotadors de dia zero i programes espia es van enviar des d'una àmplia xarxa de més de mil dominis maliciosos, alguns dels quals simulaven ser llocs web de mitjans de comunicació de múltiples països.
Amnistia Internacional ha publicat detalls dels dominis i de la infraestructura que va identificar com a associats a l'atac per ajudar la societat civil en la investigació d'aquests atacs i respondre-hi.
El Grup d'Anàlisi d'Amenaces de Google va trobar que persones usuàries d'Android de la Unió dels Emirats Àrabs (EAU) van ser objecte d'enllaços d'atac d'una sola vegada enviats per SMS que, si es premien, instal·larien el programa espia en el seu telèfon. En els últims deu anys, els qui defensen els drets humans als EAU són víctimes de programes espia d'empreses de cibervigilancia com NSO Group i Hacking Team; un dels afectats és Ahmed Mansoor, que va ser atacat amb programes espia de les dues empreses i posteriorment empresonat per les autoritats del país pel seu activisme de drets humans.
El Laboratori sobre Seguretat d'Amnistia Internacional va identificar activitat addicional relacionada amb aquesta campanya de programes espia a Indonèsia, Bielorússia, EAU i Itàlia, països que probablement representen només una petita part de la campanya general d'atacs, per la magnitud de tota la infraestructura atacant.
El Grup d'Anàlisi d'Amenaces també va poder obtenir la càrrega útil del programa espia en Android enviada durant aquesta campanya d'atacs. La cadena de exploits emprava múltiples vulnerabilitats de dia zero i altres posades pegats recentment que podien comprometre un dispositiu Samsung Android totalment posat pegats. Aquestes vulnerabilitats inclouen un exploit de dia zero del processador de Chrome, una vulnerabilitat d'entorn de proves a Chrome i una vulnerabilitat d'escalada de privilegis en un controlador del nucli d'una GPU Mali. Arm havia posat pegats amb anterioritat la vulnerabilitat de la GPU Mali, però la solució no estava inclosa en el microprogramari més recent de Samsung disponible al desembre de 2022. La cadena d'explotadors també aprofitava una vulnerabilitat de dia zero en el nucli Linux per a obtenir privilegis de root (CVE-2023-0266) en el telèfon. La vulnerabilitat final també permetria als atacants atacar sistemes integrats i de sobretaula Linux.
Amnistia Internacional continua treballant amb una xarxa creixent d'entitats associades de la societat civil per detectar les excepcionals amenaces de la cibervigilancia que afronten els qui defensen els drets humans i poder respondre-hi. Aquest suport continu inclou compartir indicadors de compromís, metodologies forenses i el desenvolupament d'eines forenses com el kit d'eines de verificació mòbil (MVT) que pot utilitzar la societat civil per a detectar amenaces selectives de programes espia.
Nombrosos abusos descoberts per Amnistia Internacional i entitats associades de la societat civil en els últims anys han mostrat que la indústria del programari espia representa una amenaça crítica per als qui defensen els drets humans i la societat civil a tot el món. Els danys sistèmics d'una cibervigilància no regulada cada vegada més gran s'estenen molt més allà del ja conegut programa espia Pegasus, desenvolupat per NSO Group.