El hallazgo de software espía destaca la profundidad de la industria de los piratas informáticos contratados

Investigadores de seguridad dijeron el jueves que encontraron dos tipos de software espía comercial en el teléfono de un destacado disidente egipcio exiliado, lo que proporciona una nueva evidencia de la profundidad y diversidad de la industria abusiva de piratas informáticos a sueldo.

Una pieza de malware encontrada recientemente en un iPhone perteneciente a Ayman Nour, un disidente y candidato presidencial egipcio en 2005 que posteriormente pasó tres años en la cárcel, se originó en el cada vez más asediado Grupo NSO de Israel. Esa empresa fue incluida recientemente en la lista negra por Washington. El otro era de una empresa llamada Cytrox, que también tiene vínculos con Israel. Esta fue la primera documentación de un ataque de Cytrox, un rival poco conocido de NSO Group.

El software espía fue descubierto por detectives digitales en el Citizen Lab de la Universidad de Toronto, quienes dijeron que dos gobiernos diferentes contrataron a los mercenarios rivales para piratear el teléfono de Nour. Ambas instancias de malware estaban activas simultáneamente en el teléfono, dijeron los investigadores después de examinar sus registros. Los investigadores dijeron que rastrearon el hack de Cytrox hasta Egipto, pero no sabían quién estaba detrás de la infección del Grupo NSO.

Los investigadores dijeron en un informe que las intrusiones ponen de relieve cómo «la piratería de la sociedad civil trasciende a cualquier empresa mercenaria específica de software espía».

Al detallar la infección por Cytrox, los investigadores dijeron que encontraron el teléfono de un segundo exiliado egipcio, que pidió no ser identificado, también pirateado con el malware Predator de Cytrox. Pero el descubrimiento más grande, en una investigación conjunta con Facebook, fue que Cytrox tiene clientes en países más allá de Egipto, incluidos Armenia, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.

El propietario de Facebook, Meta, anunció el jueves una serie de eliminaciones de cuentas afiliadas a siete empresas de vigilancia por contrato, incluida Cytrox, y notificó a unas 50.000 personas en más de 100 países, incluidos periodistas, disidentes y clérigos que pueden haber sido blanco de ellos. . Dijo que eliminó alrededor de 300 cuentas de Facebook e Instagram vinculadas a Cytrox, que parece operar en Macedonia del Norte.

El último CEO conocido de Cytrox, Ivo Malinkovski, no pudo ser localizado para hacer comentarios. Limpió su página de LinkedIn a principios de este mes para eliminar la mención de su afiliación a Cytrox, aunque en su foto de perfil había una taza de café con el nombre de la empresa. El sitio web de inteligencia empresarial Crunchbase dice que Cytrox se fundó en un suburbio de Tel Aviv en 2017.

El investigador de Citizen Lab, Bill Marzak, dijo que los investigadores encontraron el malware en el iPhone de Nour después de que «se estaba calentando» en junio. Dijo que el malware Cytrox parece utilizar los mismos trucos que el producto Pegasus de NSO Group, en particular, convertir un teléfono inteligente en un dispositivo de escucha y desviar sus datos vitales. Un módulo capturado registra todos los lados de una conversación en vivo, dijo.

Nour dijo en una entrevista desde Turquía que no le sorprendió el descubrimiento, ya que está seguro de que ha estado bajo vigilancia egipcia durante años. Nour dijo que sospechaba de la inteligencia militar egipcia en el ataque a Cytrox. Un portavoz del Ministerio de Relaciones Exteriores de Egipto no respondió a las llamadas y mensajes de texto solicitando comentarios.

Cytrox era parte de una oscura alianza de empresas de tecnología de vigilancia conocida como Intellexa que se formó para competir con NSO Group. Fundada en 2019 por un ex oficial militar israelí y empresario llamado Tal DilianIntellexa incluye empresas que se han enfrentado a las autoridades de varios países por presuntos abusos.

Cuatro ejecutivos de una de esas empresas, Nexa Technologies, fueron acusados ​​en Francia este año de «complicidad en torturas» en Libia, mientras que tres ejecutivos de la empresa fueron acusados ​​de «complicidad en torturas y desaparición forzada» en Egipto. La empresa supuestamente vendido tecnología espía a Libia en 2007 y a Egipto en 2014.

En su sitio web, Intellexa se describe a sí mismo como «con sede en la UE y regulado, con seis sitios y laboratorios de I + D en toda Europa», pero no incluye ninguna dirección. Su página web es vaga sobre sus ofertas, aunque tan recientemente como en octubre dijo que además de la «recolección masiva encubierta» proporciona sistemas «para acceder a dispositivos y redes de destino». a través de redes inalámbricas y Wi-Fi. Intellexa dijo que sus herramientas son utilizadas por las fuerzas del orden y las agencias de inteligencia contra terroristas y delitos, incluido el fraude financiero.

Associated Press dejó mensajes para Dilian y también trató de comunicarse con Intellexa a través de un formulario en su sitio web, pero no recibió respuesta.

Además de su participación en Intellexa, Dilian se enfrentó a las autoridades en Chipre en 2019 después de mostrar un «camioneta espía» allí a un reportero de Forbes. Según los informes, su empresa fue multada $ 1 millón como resultado. También fundó y luego vendió a NSO Group una empresa llamada Circle Technologies, que geolocalizaba teléfonos móviles.

La industria de los piratas informáticos contratados se enfrenta a un mayor escrutinio, así como a la presión regulatoria y legal. Eso incluye un llamado de un grupo de legisladores estadounidenses esta semana para sancionar a NSO Group, Nexa y sus principales ejecutivos.

El mes pasado, la administración Biden agregó NSO Group y otra firma israelí, Candiru, a una lista negra que prohíbe a las empresas estadounidenses proporcionarles tecnología. Y Apple anunció el mes pasado que estaba demandando a NSO Group, y el gigante tecnológico llamó a los empleados de la compañía «mercenarios amorales del siglo XXI». Facebook demandó a NSO Group en 2019 por presuntamente violar su aplicación de mensajería WhatsApp.

A principios de este mes, el Ministerio de Defensa de Israel dijo que estaba reforzando la supervisión de las exportaciones de ciberseguridad para evitar abusos.

Los investigadores de Citzen Lab, que han estado rastreando las vulnerabilidades de NSO Group desde 2015, se muestran escépticos. Si NSO Group desapareciera mañana, los competidores podrían intervenir sin perder el ritmo con el software espía de reemplazo listo para usar, dicen.

Las firmas objetivo de Facebook en los derribos anunciados el jueves incluyen cuatro compañías israelíes: Cobwebs, Cognyte, Black Cube y Bluehawk CI, así como BellTroX con sede en India y una organización desconocida en China. Proporcionan una variedad de diferentes tipos de actividades de vigilancia, que van desde la simple recopilación de inteligencia hasta las cuentas falsas hasta la intrusión al por mayor.

Nour instó a que se tomen medidas internacionales contra las empresas de piratería informática, «ya sea de Israel o de cualquier otro lugar. Al final, el mayor problema son aquellos que usan estos monstruos digitales para comer y matar a personas inocentes». Eso incluye a activistas y periodistas no violentos, incluido el difunto amigo de Nour, Jamal Khashoggi.

El periodista saudí fue asesinado en 2018 en el consulado de Estambul de su país y también se cree que fue atacado por un software de vigilancia telefónica.

---

---

© 2021 The Associated Press. Reservados todos los derechos. Este material no puede ser publicado, difundido, reescrito o redistribuido sin permiso.