El Grupo de Análisis de Amenazas de Google reveló hoy nuevos detalles sobre sus esfuerzos para identificar y ayudar a parchear un exploit de día cero que afecta a los dispositivos Android creados por un proveedor de vigilancia comercial y que se remonta al menos a 2016. La investigación, presentada en la conferencia de ciberseguridad Black Hat en Las Vegas, representa el último intento de Google de intensificar sus esfuerzos contra una creciente industria de vigilancia privada que está prosperando, según los investigadores.
La vulnerabilidad en cuestión, denominada CVE-2021-0920, fue un exploit de día cero “en la naturaleza” en un mecanismo de recolección de basura dentro del kernel de Linux, la pieza central del software que gobierna todo el sistema operativo Linux. Google dice que los atacantes, utilizando una cadena de explotación que incluía la vulnerabilidad y pudieron obtener de forma remota los controles de los dispositivos de los usuarios.
Google dice que anteriormente atribuyó una serie de vulnerabilidades de día cero de Android al desarrollador detrás de CVE-2021-0920. En este caso, un portavoz de Google le dijo que el proveedor de vigilancia usó “varias técnicas de explotación novedosas e invisibles para eludir las mitigaciones defensivas existentes”. Eso, dijo el portavoz, sugiere que el vendedor está bien financiado.
Aunque la vulnerabilidad CVE-2021-0920 se corrigió en septiembre pasado en respuesta a la investigación de Google, dicen que el exploit se identificó antes de 2016 y se informó en la lista de correo del kernel de Linux. En ese momento se ofreció un parche adecuado, pero los desarrolladores de Linux Foundation finalmente lo rechazaron. Google compartió el hilo de correo electrónico público del kernel de Linux desde el momento en que muestra desacuerdo sobre si implementar o no el parche.
Google ha intensificado sus esfuerzos para detectar e identificar públicamente los grupos de spyware en los últimos años, en parte como respuesta al gran aumento en el número de ataques. En un testimonio presentado ante el Comité de Inteligencia de la Cámara a principios de este año, el director del Grupo de Análisis de Amenazas de Google, Shane Huntley, dijo: “el crecimiento de los proveedores comerciales de spyware y los grupos de hacking ha requerido un crecimiento en TAG [grupos de análisis de amenazas] para contrarrestar estas amenazas. ”
Huntley dijo que los hallazgos recientes de su equipo sugieren que firmas comerciales avanzadas de spyware, cómo NSO Group , con sede en Israel, han logrado adquirir capacidades de hacking que antes estaban reservadas a las agencias de inteligencia patrocinadas por el estado más avanzadas del mundo. El uso de esas técnicas, que pueden incluir exploits sin clic que se apoderan de un dispositivo potencialmente sin que el usuario se involucre con contenido malicioso, parece estar aumentando y se está llevando a cabo a instancias de los gobiernos, sugirió Huntley. Según los informes, siete de los nueve exploits de día cero descubiertos por el equipo de Huntley el año pasado fueron desarrollados por proveedores comerciales y vendidos a actores patrocinados por el estado. Las técnicas de vigilancia altamente técnicas, que alguna vez estuvieron disponibles solo para un grupo selecto de países, ahora pueden ser compradas simplemente por el mejor postor.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.
