Los investigadores dijeron en un informe que las intrusiones ponen de relieve cómo “la piratería de la sociedad civil trasciende a cualquier empresa mercenaria específica de software espía”.
Investigadores de seguridad dijeron el jueves que encontraron dos tipos de software espía comercial en el teléfono de un destacado disidente egipcio exiliado, lo que proporciona una nueva evidencia de la profundidad y diversidad de la industria abusiva de piratas informáticos a sueldo.
(Suscríbase a nuestro boletín de tecnología, Today’s Cache, para obtener información sobre temas emergentes en la intersección de la tecnología, los negocios y las políticas. Haga clic aquí para suscribirse de forma gratuita).
Una pieza de malware encontrada recientemente en un iPhone perteneciente a Ayman Nour, un disidente y candidato presidencial egipcio en 2005 que posteriormente pasó tres años en la cárcel, se originó en el cada vez más asediado Grupo NSO de Israel. Esa empresa fue incluida recientemente en la lista negra por Washington. El otro era de una empresa llamada Cytrox, que también tiene vínculos con Israel. Esta fue la primera documentación de un ataque de Cytrox, un rival poco conocido de NSO Group.
El software espía fue descubierto por detectives digitales en el Citizen Lab de la Universidad de Toronto, quienes dijeron que dos gobiernos diferentes contrataron a los mercenarios rivales para piratear el teléfono de Nour. Ambas instancias de malware estaban activas simultáneamente en el teléfono, dijeron los investigadores después de examinar sus registros. Los investigadores dijeron que rastrearon el hack de Cytrox hasta Egipto, pero no sabían quién estaba detrás de la infección del Grupo NSO.
Los investigadores dijeron en un informe que las intrusiones ponen de relieve cómo “la piratería de la sociedad civil trasciende a cualquier empresa mercenaria específica de software espía”.
Leer también | Israel recorta la lista de países que pueden comprar tecnología cibernética
Al detallar la infección por Cytrox, los investigadores dijeron que encontraron el teléfono de un segundo exiliado egipcio, que pidió no ser identificado, también pirateado con el malware Predator de Cytrox. Pero el descubrimiento más grande, en una investigación conjunta con Facebook, fue que Cytrox tiene clientes en países más allá de Egipto, incluidos Armenia, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.
El propietario de Facebook, Meta, anunció el jueves una serie de eliminaciones de cuentas afiliadas a siete empresas de vigilancia por contrato, incluida Cytrox, y notificó a unas 50.000 personas en más de 100 países, incluidos periodistas, disidentes y clérigos que pueden haber sido blanco de ellos. . Dijo que eliminó alrededor de 300 cuentas de Facebook e Instagram vinculadas a Cytrox, que parece operar en Macedonia del Norte.
El último CEO conocido de Cytrox, Ivo Malinkovski, no pudo ser localizado para hacer comentarios. Limpió su página de LinkedIn a principios de este mes para eliminar la mención de su afiliación a Cytrox, aunque una taza de café con el nombre de la empresa estaba en su foto de perfil. El sitio web de inteligencia empresarial Crunchbase dice que Cytrox se fundó en un suburbio de Tel Aviv en 2017.
El investigador de Citizen Lab, Bill Marzak, dijo que los investigadores encontraron el malware en el iPhone de Nour después de que “se estaba calentando” en junio. Dijo que el malware Cytrox parece utilizar los mismos trucos que el producto Pegasus de NSO Group, en particular, convertir un teléfono inteligente en un dispositivo de escucha y desviar sus datos vitales. Un módulo capturado registra todos los lados de una conversación en vivo, dijo.
Leer también | NSO puso fin al contrato de Pegasus con los Emiratos Árabes Unidos por pirateo del líder de Dubai
Nour dijo en una entrevista desde Turquía que no le sorprendió el descubrimiento, ya que está seguro de que ha estado bajo vigilancia egipcia durante años. Nour dijo que sospechaba de la inteligencia militar egipcia en el ataque a Cytrox. Un portavoz del Ministerio de Relaciones Exteriores de Egipto no respondió a las llamadas y mensajes de texto solicitando comentarios.
Cytrox era parte de una oscura alianza de empresas de tecnología de vigilancia conocida como Intellexa que se formó para competir con NSO Group. Intellexa, fundada en 2019 por un exoficial militar y empresario israelí llamado Tal Dilian, incluye empresas que se han enfrentado a las autoridades en varios países por presuntos abusos.
Cuatro ejecutivos de una de esas firmas, Nexa Technologies, fueron acusados en Francia este año de “complicidad de tortura” en Libia, mientras que tres ejecutivos de la empresa fueron presentados por “complicidad de tortura y desaparición forzada” en Egipto. La compañía supuestamente vendió tecnología espía a Libia en 2007 y a Egipto en 2014.
En su sitio web, Intellexa se describe a sí mismo como “con sede en la UE y regulado, con seis sitios y laboratorios de I + D en toda Europa”, pero no incluye ninguna dirección. Su página web es vaga acerca de sus ofertas, aunque tan recientemente como en octubre dijo que, además de la “recolección masiva encubierta”, proporciona sistemas “para acceder a dispositivos y redes de destino” a través de Wi-Fi y redes inalámbricas. Intellexa dijo que sus herramientas se utilizan por las fuerzas del orden y las agencias de inteligencia contra terroristas y delitos, incluido el fraude financiero.
Associated Press dejó mensajes para Dilian y también trató de comunicarse con Intellexa a través de un formulario en su sitio web, pero no recibió respuesta.
Además de su participación en Intellexa, Dilian se enfrentó a las autoridades en Chipre en 2019 después de mostrar una “camioneta espía” allí a un reportero de Forbes. Según los informes, su empresa recibió una multa de $ 1 millón como resultado. También fundó y luego vendió a NSO Group una empresa llamada Circle Technologies, que geolocalizaba teléfonos móviles.
Leer también | Expertos de la ONU piden más reglas sobre el uso de software espía en los países
La industria de los piratas informáticos contratados se enfrenta a un mayor escrutinio, así como a la presión regulatoria y legal. Eso incluye un llamado de un grupo de legisladores estadounidenses esta semana para sancionar a NSO Group, Nexa y sus principales ejecutivos.
El mes pasado, la administración Biden agregó NSO Group y otra firma israelí, Candiru, a una lista negra que prohíbe a las empresas estadounidenses proporcionarles tecnología. Y Apple anunció el mes pasado que estaba demandando a NSO Group, y el gigante tecnológico llamó a los empleados de la compañía “mercenarios amorales del siglo XXI”. Facebook demandó a NSO Group en 2019 por presuntamente violar su aplicación de mensajería WhatsApp.
A principios de este mes, el Ministerio de Defensa de Israel dijo que estaba reforzando la supervisión de las exportaciones de ciberseguridad para evitar abusos.
Los investigadores de Citzen Lab, que han estado rastreando las vulnerabilidades de NSO Group desde 2015, se muestran escépticos. Si NSO Group desapareciera mañana, los competidores podrían intervenir sin perder el ritmo con el software espía de reemplazo listo para usar, dicen.
Las firmas objetivo de Facebook en los derribos anunciados el jueves incluyen cuatro compañías israelíes: Cobwebs, Cognyte, Black Cube y Bluehawk CI, así como BellTroX con sede en India y una organización desconocida en China. Proporcionan una variedad de diferentes tipos de actividades de vigilancia, que van desde la simple recopilación de inteligencia hasta las cuentas falsas hasta la intrusión al por mayor.
Nour instó a que se tomen medidas internacionales contra las empresas de hackers a sueldo, “ya sea de Israel o de cualquier otro lugar. Al final, el mayor problema son aquellos que usan estos monstruos digitales para comer y matar a personas inocentes “. Eso incluye a activistas y periodistas no violentos, incluido el difunto amigo de Nour, Jamal Khashoggi.
El periodista saudí fue asesinado en 2018 en el consulado de Estambul de su país y también se cree que fue atacado por un software de vigilancia telefónica.
.