Un potente arsenal para espiar iPhones, posiblemente pagado por el gobierno de EE UU, ahora está en manos de criminales
Una técnica de hackeo de iPhone utilizada para secuestrar indiscriminadamente los dispositivos de cualquier usuario de iOS que se limite a visitar un sitio web representa un hecho raro e impactante en el mundo de la ciberseguridad. Ahora, un potente kit de herramientas de pirateo en el centro de múltiples campañas de explotación masiva del iPhone ha tomado un camino aún más raro e inquietante. Parece haber pasado de manos de espías rusos que lo usaban para atacar a ucranianos a una operación cibercriminal diseñada para robar criptomonedas a víctimas de habla china. Algunas pistas sugieren que podría haber sido creado originalmente por un contratista estadounidense y vendido al gobierno estadounidense.
Investigadores de seguridad de Google publicaron el martes un informe en el que describen lo que denominan «Coruna», un kit de herramientas de pirateo de iPhone muy sofisticado que incluye cinco técnicas de pirateo completas capaces de saltarse todas las defensas de un iPhone para instalar silenciosamente malware en un dispositivo cuando este visita un sitio web que contiene el código de explotación. En total, Coruna aprovecha 23 vulnerabilidades distintas de iOS, una rara colección de componentes de pirateo que sugiere que ha sido creada por un grupo de hackers con buenos recursos, probablemente patrocinado por el Estado.
De hecho, Google rastrea componentes de Coruna a técnicas de hacking que detectó en uso en febrero del año pasado y atribuyó a lo que describe solo como un «cliente de una empresa de vigilancia.» Después, cinco meses más tarde, Google asegura que una versión más completa de Coruna reapareció en lo que parece haber sido una campaña de espionaje llevada a cabo por un supuesto grupo de espionaje ruso, que ocultó el código de pirateo en un componente común de recuento de visitas de sitios web ucranianos. Por último, Google volvió a detectar el uso de Coruna en lo que parece haber sido una campaña de pirateo con fines puramente lucrativos, en la que se infectaron sitios de criptomonedas y apuestas en chino para distribuir malware que robaba las criptomonedas de las víctimas.
En el informe de Google brilla por su ausencia cualquier mención a quién puede haber sido el «cliente» original de la empresa de vigilancia que desplegó Coruna. Sin embargo, la empresa de seguridad móvil iVerify, que también analizó una versión de Coruna obtenida de uno de los sitios chinos infectados, sugiere que el código podría haber nacido como un kit de pirateo creado o adquirido por el gobierno estadounidense. Tanto Google como iVerify señalan que Coruna contiene varios componentes utilizados anteriormente en una operación de pirateo informática conocida como «Triangulación «, que se descubrió en 2023 contra la empresa rusa de ciberseguridad Kaspersky y que, según el gobierno ruso, era obra de la NSA. (El gobierno estadounidense no respondió a la afirmación rusa).
El código de Coruna también parece haber sido escrito originalmente por codificadores de habla inglesa, señala el cofundador de iVerify, Rocky Cole. «Es muy sofisticado, costó millones de dólares desarrollarlo y tiene las características de otros módulos que se han atribuido públicamente al Gobierno de EE UU», explica Cole a WIRED. «Este es el primer ejemplo que hemos visto de herramientas muy probablemente del gobierno estadounidense, por lo que nos dice el código, que se descontrolan y son utilizadas tanto por nuestros adversarios como por grupos cibercriminales.»
Peligroso como en 2017
Independientemente del origen de Coruna, Google advierte que un kit de herramientas de hacking altamente valioso y poco común parece haber viajado a través de una serie de manos poco probables, y ahora existe en la naturaleza donde todavía podría ser adoptado, o adaptado, por cualquier grupo de hackers que busque atacar a los usuarios de iPhone.
No está claro cómo se ha producido esta proliferación, pero sugiere la existencia de un mercado activo de exploits de día cero «de segunda mano»», de acuerdo con el informe de Google, que utiliza el término «día cero» para referirse a técnicas secretas de pirateo informático que aprovechan vulnerabilidades sin parches. «Más allá de estos exploits identificados, múltiples actores de amenazas han adquirido ahora técnicas de explotación avanzadas que pueden reutilizarse y modificarse con vulnerabilidades recién identificadas».
Cole, de iVerify, señala que si Coruna realmente comenzó su vida como una herramienta destinada al gobierno de Estados Unidos, sin embargo, también plantea preguntas sobre la seguridad de los dispositivos móviles en un mundo donde las herramientas de hacking altamente sofisticadas creadas para o vendidas al gobierno estadounidense pueden filtrarse a los adversarios. «Este es el momento de EternalBlue para el malware móvil», indica Cole. EternalBlue es la herramienta de hackeo de Windows robada a la Agencia de Seguridad Nacional (NSA) y filtrada en 2017, lo que llevó a su uso en ciberataques catastróficos, incluido el gusano WannaCry de Corea del Norte y el ataque NotPetya de Rusia.
