Una coalición de docenas de países, incluidos Francia, el Reino Unido y Estados Unidos, junto con empresas tecnológicas como Google, MDSec, Meta y Microsoft, han firmado un acuerdo conjunto para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.
La iniciativa, denominada Proceso Pall Mall , tiene como objetivo abordar la proliferación y el uso irresponsable de herramientas comerciales de ciberintrusión estableciendo principios rectores y opciones de políticas para los Estados, la industria y la sociedad civil en relación con el desarrollo, la facilitación, la compra y el uso de tales herramientas.
La declaración afirma que la “diseminación incontrolada” de ofertas de software espía contribuye a una “escalada involuntaria en el ciberespacio”, y señala que plantea riesgos para la estabilidad cibernética, los derechos humanos, la seguridad nacional y la seguridad digital.
“Cuando estas herramientas se utilizan de forma maliciosa, los ataques pueden acceder a los dispositivos de las víctimas, escuchar llamadas, obtener fotografías y operar de forma remota una cámara y un micrófono mediante software espía de ‘clic cero’, lo que significa que no se necesita la interacción del usuario”, dijo el gobierno del Reino Unido en un presione soltar.
Según el Centro Nacional de Seguridad Cibernética (NCSC), se estima que cada año miles de personas han sido blanco de campañas de software espía en todo el mundo.
“Y a medida que crezca el mercado comercial de estas herramientas, también crecerá el número y la gravedad de los ataques cibernéticos que comprometen nuestros dispositivos y nuestros sistemas digitales, causando daños cada vez más costosos y haciendo que sea más difícil que nunca para nuestras defensas cibernéticas proteger las instituciones y servicios públicos. “, dijo el viceprimer ministro Oliver Dowden en la conferencia sobre proliferación cibernética entre el Reino Unido y Francia.
Cabe destacar que en la lista de países que participaron en el evento falta Israel, que alberga una serie de actores ofensivos del sector privado (PSOA) o proveedores de vigilancia comercial (CSV) como Candiru, Intellexa (Cytrox), NSO Group y QuaDream. .
Recorded Future News informó que Hungría, México, España y Tailandia (que han sido vinculados a abusos de software espía en el pasado) no firmaron el compromiso.
La acción de múltiples partes interesadas coincide con un anuncio del Departamento de Estado de EE. UU. de negar visas a personas que considere involucradas en el uso indebido de tecnología de software espía peligrosa.
Por un lado, los programas espía como Chrysaor y Pegasus tienen licencia para su uso en la aplicación de la ley y la lucha contra el terrorismo. Por otro lado, regímenes opresivos también han abusado de ellos de forma rutinaria para atacar a periodistas, activistas, abogados, defensores de derechos humanos, disidentes, opositores políticos y otros miembros de la sociedad civil.
Estas intrusiones generalmente aprovechan exploits sin hacer clic (o con un solo clic) para enviar subrepticiamente el software de vigilancia a los dispositivos Google Android y Apple iOS de los objetivos con el objetivo de recopilar información confidencial.
Dicho esto, los esfuerzos en curso para combatir y contener el ecosistema de software espía han sido una especie de golpe al topo, lo que subraya el desafío de defenderse de jugadores recurrentes y menos conocidos que proporcionan o crean armas cibernéticas similares.
Esto también se extiende al hecho de que los CSV continúan esforzándose en desarrollar nuevas cadenas de exploits a medida que empresas como Apple, Google y otras descubren y solucionan las vulnerabilidades de día cero.
“Mientras exista una demanda de capacidades de vigilancia, habrá incentivos para que los CSV continúen desarrollando y vendiendo herramientas, perpetrando una industria que perjudica a los usuarios de alto riesgo y a la sociedad en general”, dijo el Grupo de Análisis de Amenazas (TAG) de Google.
Un extenso informe publicado por TAG esta semana reveló que la compañía está rastreando aproximadamente 40 empresas comerciales de software espía que venden sus productos a agencias gubernamentales, 11 de ellas vinculadas a la explotación de 74 días cero en Google Chrome (24), Android (20 ), iOS (16), Windows (6), Adobe (2) y Mozilla Firefox (1).
Actores desconocidos patrocinados por el estado, por ejemplo, explotaron tres fallas en iOS ( CVE-2023-28205, CVE-2023-28206 y CVE-2023-32409 ) como día cero el año pasado para infectar a las víctimas con software espía desarrollado por Barcelona- basado en Variston . Apple solucionó los fallos en abril y mayo de 2023.
La campaña, descubierta en marzo de 2023, entregó un enlace a través de SMS y se dirigió a iPhones ubicados en Indonesia con las versiones de iOS 16.3.0 y 16.3.1 con el objetivo de implementar el implante de software espía BridgeHead a través del marco de explotación Heliconia . La utilización de armas por parte de Variston es una deficiencia de seguridad de alta gravedad en los chips Qualcomm ( CVE-2023-33063 ) que salió a la luz por primera vez en octubre de 2023.
La lista completa de vulnerabilidades de día cero en Apple iOS y Google Chrome que se descubrieron en 2023 y se han vinculado a proveedores de software espía específicos es la siguiente:
| Explotación de día cero | Proveedor de software espía asociado |
| CVE-2023-28205 y CVE-2023-28206 (Apple iOS) | Variston (cabeza de puente) |
| CVE-2023-2033 (Google Chrome) | Intellexa/Cytrox (Depredador) |
| CVE-2023-2136 (Google Chrome) | Intellexa/Cytrox (Depredador) |
| CVE-2023-32409 (Apple iOS) | Variston (cabeza de puente) |
| CVE-2023-3079 (Google Chrome) | Intellexa/Cytrox (Depredador) |
| CVE-2023-41061 y CVE-2023-41064 (Apple iOS) | Grupo NSO (Pegasus) |
| CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993 (Apple iOS) | Intellexa/Cytrox (Depredador) |
| CVE-2023-5217 (Google Chrome) | Candiru (Lengua del Diablo) |
| CVE-2023-4211 (GPU ARM Mali) | Cy4Gate (Epeius) |
| CVE-2023-33063 (GPU Qualcomm Adreno) | Variston (cabeza de puente) |
| CVE-2023-33106 y CVE-2023-33107 (GPU Qualcomm Adreno) | Cy4Gate (Epeius) |
| CVE-2023-42916 y CVE-2023-42917 (Apple iOS) | Defensa PARS |
| CVE-2023-7024 (Google Chrome) | Grupo NSO (Pegasus) |
“Las empresas del sector privado han estado involucradas en el descubrimiento y venta de exploits durante muchos años, pero el aumento de las soluciones de espionaje llave en mano es un fenómeno más reciente”, afirmó el gigante tecnológico.
“Los CSV operan con una profunda experiencia técnica para ofrecer herramientas de ‘pago por uso’ que agrupan una cadena de exploits diseñada para superar las defensas de un dispositivo seleccionado, el software espía y la infraestructura necesaria, todo para recopilar los datos deseados de la computadora de un individuo. dispositivo.”
FUENTE: THN