Incidentes Asociados
Los investigadores están comenzando a desentrañar operaciones de vigilancia global dirigidas a periodistas, trabajadores humanitarios y otros civiles a través de aplicaciones de mensajería.
El 31 de enero, WhatsApp contactó a más de 90 personas que, según creía, habían sido blanco de un programa espía desarrollado por "Paragon Solutions", con sede en Israel. Trabajando con tres de esas víctimas y con la ayuda de un colaborador, la organización de investigación cibernética Citizen Lab ha descubierto más detalles sobre cómo funcionaban estas operaciones de espía y ha localizado la ubicación de al menos algunos de sus clientes, que se encuentran repartidos en al menos cuatro continentes.
"De hecho, gobiernos reales están utilizando software espía tanto para Android como para iOS contra sus ciudadanos y ciudadanos extranjeros", advierte Aidan Holland, investigador sénior de seguridad de Censys, quien participó en la investigación. "Es una época de locos".
¿Qué es Paragon Mobile Spyware Group? Paragon Solutions fue cofundada en 2019 por un excomandante de la Unidad 8200 de las Fuerzas de Defensa de Israel (FDI) y el exprimer ministro israelí, Ehud Barak. En 2021, estableció una filial estadounidense integrada en parte por exempleados del gobierno, incluyendo veteranos de la Agencia Central de Inteligencia (CIA) y la Armada de EE. UU.
El malware para Android de Paragon, "Graphite", funcionaba de forma ligeramente diferente al software espía habitual. En lugar de cargarse como una aplicación o proceso oculto en un dispositivo, se infiltró en aplicaciones de mensajería legítimas existentes que los usuarios probablemente ya habían descargado. Esta táctica dejó menos evidencia forense en el dispositivo, pero atrajo a los desarrolladores de aplicaciones.
En casos recientes, los atacantes primero utilizaban un método único, aún no revelado, para agregar a sus objetivos a un grupo específico de WhatsApp. Una vez agregados, le enviaban un archivo PDF. El dispositivo del objetivo analizaba automáticamente el PDF, lo que permitía que la carga útil explotara un exploit de día cero en el propio WhatsApp. Sin necesidad de interacción del usuario, Graphite se cargaba en la aplicación y luego escapaba de su entorno de pruebas, lo que le permitía propagarse también a otras aplicaciones. Citizen Lab analizó un teléfono en el que Graphite se había propagado a otras dos aplicaciones, incluyendo una popular aplicación de mensajería.
WhatsApp descubrió y solucionó este exploit de cero clics a finales del año pasado. Meta, la empresa matriz de WhatsApp, informó a Bleeping Computer que la corrección se aplicó completamente en el servidor (https://www.bleepingcomputer.com/news/security/whatsapp-patched-zero-day-flaw-used-in-paragon-spyware-attacks/), sin necesidad de que los usuarios actualizaran, por lo que no le asignó un CVE-ID.
Si bien su malware es igual de dañino, Paragon se presenta como una alternativa más ética al infame NSO Group (https://www.darkreading.com/endpoint-security/whatsapp-nso-group-operates-pegasus-spyware). No colabora con autócratas maníacos, así que, lógicamente, se puede confiar en su misión. Sin embargo, Meta y Citizen Lab han descubierto que el malware de Paragon se ha implementado regularmente contra civiles inofensivos.
Entre los últimos 90 objetivos identificados, por ejemplo, se han identificado públicamente tres italianos: un editor jefe de un medio de investigación y los cofundadores de una organización que rescata a migrantes que cruzan el Mediterráneo.
Mapeo de la infraestructura de spyware
Italia tiene un largo historial de spyware. Para descubrir dónde más se podían encontrar las huellas de Paragon, Citizen Lab colaboró con Censys, una empresa que gestiona alrededor de 4 petabytes (1000 terabytes) de datos sobre activos conectados a internet en todo el planeta.
Con la simple pista de un colaborador, los investigadores extrapolaron la información para descubrir una variedad de infraestructuras vinculadas a los desarrolladores y clientes de Paragon.
El trabajo es más fácil, explica Holland, cuando clientes ingenuos exponen sin querer su infraestructura de vigilancia. Por ejemplo, "Si NSO Group vendiera al gobierno mexicano, este implementaría el software", afirma. "Entonces, quienes implementan el software deben hacerlo correctamente y ocultar los indicadores que apuntarían a NSO Group. Así que confían en un empleado cualquiera del gobierno para que oculte el spyware correctamente. Eso no entra en su descripción de trabajo".
En total, los analistas lograron identificar implementaciones de Paragon en Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
Canadá resultó particularmente interesante. Los investigadores dedujeron que las conexiones que encontraron allí conducían a la Policía Provincial de Ontario, y tras investigar más a fondo, encontraron otros casos de spyware ante los tribunales de Ontario que involucraban al Servicio de Policía Regional de York, el Servicio de Policía de Hamilton y el Servicio de Policía Regional de Peel.
Deslices de Paragon en OpSec
Paragon no siempre ha sido tan cuidadoso al ocultar su presencia en línea. "Retrocedimos al periodo 2021-2022, cuando aún no se habían ocultado", recuerda Holland. En un momento dado, al examinar un rango específico de direcciones IP israelíes sospechosas, los investigadores se encontraron con páginas web tituladas simplemente "Paragon". Entre risas, Holland se pregunta: "¿Qué clase de empresa de software espía anuncia su sitio web de esa manera?".
Sin embargo, señala: "La verdad es que vemos esto constantemente con el malware. [Un servidor nos anuncia]: 'Hola, soy Cobalt Strike'. ¿Por qué me lo dicen? Ahora puedo encontrar todos los demás servidores de Cobalt Strike existentes".
En los últimos años, Paragon parece haber corregido sus errores. "Busqué otros casos de dominios de la marca Paragon y no hay ninguno en el análisis actual de Internet, al menos desde nuestra perspectiva. Cabe destacar que Paragon habría tenido una técnica perfectamente válida bloquear Censys para que su contenido no se indexara, o esconderse tras un firewall de aplicaciones web (WAF)", afirma.
Viéndolo por el lado positivo, añade: "Esto deja algo de margen para investigarlos más a medida que evolucionan".