Google ha emitido una advertencia urgente a todos sus usuarios tras descubrir una campaña de ciberespionaje que se prolongó durante nueve meses y que ha sido vinculada con espías rusos. Este ciberataque aprovechó vulnerabilidades en dispositivos iOS y navegadores populares como Safari y Google Chrome, poniendo en riesgo la seguridad de millones de usuarios a nivel mundial. Para mitigar el daño, Google insta a los usuarios a aplicar parches y mantener sus dispositivos actualizados para evitar ser víctimas de futuros ataques.
La campaña de ciberataques ha sido rastreada hasta APT29, un grupo de ciberdelincuentes respaldados por el gobierno ruso, también conocido como Cozy Bear o Group 100. Este grupo es responsable de varias operaciones de espionaje de alto perfil y ha sido acusado por Occidente de actuar en nombre del Servicio de Inteligencia Exterior de Rusia (SVR). En esta ocasión, los ciberdelincuentes explotaron vulnerabilidades en software ampliamente utilizado, como iOS, Safari y Google Chrome, para espiar a funcionarios gubernamentales y diplomáticos en múltiples países.
Uno de los aspectos más alarmantes de este ciberataque es el uso de un software espía comercial desarrollado por Intellexa, una empresa de ciberinteligencia con sede en Chipre. Intellexa fue sancionada por el gobierno de Estados Unidos en marzo de 2024 debido al «mal uso de herramientas de vigilancia», ya que su software ha sido utilizado para realizar espionaje en varias regiones, desde Estados Unidos hasta Vietnam e Irlanda. Esta herramienta, conocida como Predator, permitió a los ciberdelincuentes llevar a cabo ataques de “cero clic”, lo que significa que los dispositivos de las víctimas fueron comprometidos sin necesidad de que estas interactuaran con el ataque.
Vulnerabilidades ya corregidas, pero aún peligrosas
Afortunadamente, Google informó que las principales vulnerabilidades explotadas en esta campaña de espionaje ya han sido parcheadas. Los fallos en iOS y Safari fueron corregidas en septiembre de 2023, para los usuarios que actualizaron a las versiones 16.7 y 16.6.1, respectivamente. En cuanto a los usuarios de Android y Google Chrome, las vulnerabilidades fueron solucionadas en mayo de 2024 con la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux.
A pesar de las correcciones, Google sigue instando a los usuarios a aplicar las actualizaciones lo antes posible. La compañía advierte que, aunque las vulnerabilidades ya se han solucionado, el peligro no ha desaparecido completamente, ya que los ciberdelincuentes continúan buscando objetivos que no han actualizado su software. «Notificamos tanto a Apple como a nuestros socios de Android y Google Chrome sobre las campañas en el momento del descubrimiento», afirmó Clément Lecigne, ingeniero de seguridad de Google.
El modus operandi
El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google fue el encargado de rastrear y analizar el ciberataque. Según el TAG, los piratas informáticos rusos utilizaron sitios web gubernamentales infectados en Mongolia, específicamente en páginas del gabinete y del Ministerio de Asuntos Exteriores, para convertirlos en trampas de “abrevadero”. En este tipo de ataque, los ciberdelincuentes comprometen sitios web frecuentados por las víctimas para infectar sus dispositivos cuando acceden a ellos.
La táctica de los «abrevaderos» es particularmente efectiva en el ámbito del espionaje, ya que las víctimas suelen ser altos funcionarios gubernamentales o diplomáticos que visitan estos sitios. El objetivo de los atacantes era claro: obtener la mayor cantidad de información posible de estos funcionarios, tanto nacionales como internacionales, sin que ellos lo supieran.
El informe de Google también reveló que las herramientas y los exploits utilizados por APT29 en estos ataques eran sorprendentemente similares a los productos de vigilancia comercial desarrollados por Intellexa y el Grupo NSO, otra empresa conocida por su controvertido software espía Pegasus. NSO ha sido previamente sancionada por Estados Unidos por permitir que su software sea utilizado para violaciones de derechos humanos, incluido el espionaje a periodistas y activistas de derechos humanos.