El final del 2020 nos encontró a todos agobiados tras un año signado por la pandemia y con la esperanza que en 2021 las vacunas en desarrollo pongan fin al flagelo Covid-19. La empresa Apple, en cambio, celebraba su éxito tras el lanzamiento de su iPhone12. Y no era para menos, según el Informe Gartner de ventas de smartphones, a pesar que el mercado sufrió una caída del 5% hacia fines del 2020, Apple alcanzaba el primer lugar en ventas, algo que no sucedía desde 2016. La pole position de este ranking estuvo disputado por Samsung y Huawei en los últimos años; sin embargo durante el último trimestre del 2020, Apple superó a Huawei, Xiaomi y OPPO. Pero para los usuarios de los productos de la “manzanita”, no todo eran festejos. Estaba surgiendo un motivo de preocupación extra, o al menos para aquellos que permanecen atentos a los canales de información vinculados a la ciberseguridad.

En noviembre la empresa informó que había solucionado las vulnerabilidades zero-day alojadas en una actualización para dispositivos iOS, iPadOS, macOS y watchOS, descubiertas por el equipo de seguridad Project Zero de Google. Un mes más tarde se supo que un grupo de periodistas de Al-Jazeera habían sido víctimas de una campaña de ciberespionaje mediante otra vulnerabilidad zero-day que afectaba a la versión iOS 13.5.1. Este caso, informado por Citizen Lab de la Universidad de Toronto, Canadá, habría permitido la instalación del programa espía (spyware) Pegasus desarrollado por NSO Group de Israel. Según Hackernews, “Pegasus permitiría al atacante acceder a los datos almacenados en el dispositivo (mensajes de texto, eventos de calendario, correos electrónicos, mensajes de WhatsApp, geolocalización del usuario y cámara) sin que el usuario siquiera pudiera advertirlo”. Desde entonces, y en una sucesión que seguramente está muy lejos de concluir nuevas alertas continúan surgiendo sobre nuevas vulnerabilidades de los sistemas Mac. El último de ellos, no sólo está suscitando especial interés en la comunidad de ciberseguridad, sino también genera intriga sobre el verdadero propósito que se persigue con el código malicioso (malware) bautizado Silver Sparrow (Golondrina Plateada) por los investigadores de Red Canary.

A fines de enero, la empresa Apple emitió cinco boletines de seguridad donde daban cuenta del hallazgo de un total de ocho fallos de seguridad que afectaban a usuarios de productos con sistema operativo iOS, iPadOS, watchOS, tvOS, iCloud para Windows y Xcode. El comunicado en el cual recomendaba a los usuarios de Iphone y Ipad que mantuvieran sus dispositivos actualizados con la finalidad de remediar algunas vulnerabilidades de su sistema operativo iOS que podrían haber sido explotadas por la ciberdelincuencia. Lamentablemente la empresa relacionó el descubrimiento de estas vulnerabilidades a un investigador no identificado y tampoco brindó mayores detalles sobre la verdadera naturaleza de la amenaza. En concreto se trataba de tres vulnerabilidades: una (CVE-2021-1782) que afectaba el “kernel”, núcleo esencial del sistema operativo, y dos (CVE-2021-1870 y CVE-2021-1871) que afectaban el “WebKit”, el motor de búsqueda utilizado por Safari y otras aplicaciones. las mismas podrían haber permitido a un atacante elevar los privilegios y acceder a la ejecución de código remoto mediante la simple acción de visitar inadvertidamente un sitio web comprometido.

En Febrero, a tan sólo un mes del lanzamiento de nuevos productos Apple con el chip Silicon M1, el conocido especialista en vulnerabilidades Mac, Patrick Wardle, hizo público algunas muestras de lo que podría ser un nuevo código malicioso especialmente diseñado para el nuevo chip. La aplicación, denominada GoSearch22, sería una variante del adware Pirrit, una conocida amenaza destinada a los usuarios de Mac. Y como si con ello no bastara, alertó que probablemente “los autores del malware estén generando aplicaciones multi-estructura para que sus códigos sean ejecutados de forma nativa en los sistemas M1 y GoSearch22 puede ser el primero de ellos”. Según ESET, la mayoría de los casos se detectaron en Estados Unidos (25%), además de Japón (7,9%), Francia (5%), Reino Unido (4,4%) y España (3,6%).

Dos semanas más tarde, el grupo Red Canary hizo público un descubrimiento relacionado con una nueva versión de Silver Sparrow que desvela a la comunidad internacional de ciberseguridad:

Si bien no se observó que Silver Sparrow desplegara una carga útil maliciosa adicional, dada su compatibilidad con el procesador M1, su alcance global, su elevada tasa de infección y su madurez operativa podemos decir que estamos frente a una amenaza razonablemente grave, ya que se encuentra en una posición única para desplegar una carga útil de potencial impacto en cualquier momento.

Empresa de Ciberseguridad red canary

En efecto, este código se introduce a través de los adware y que se distribuye a través de los servidores de Amazon y los dominios de Akami CDN, razón por la cual la mayoría de las organizaciones no pueden permitirse bloquear el acceso a los recursos. Pero quizás la característica que más extraña a los expertos es que el código contiene un mecanismo de autoeliminación. Y, como si no resultara suficiente, hasta el momento los expertos no han podido determinar con certeza cuál es la carga útil que podría ser desplegada por el código, si ya ha sido desplegada una carga útil y fue eliminada o, si el atacante prevé desplegarla en un futuro próximo.

Según Malwarebytes Lab, Silver Sparrow infectó 29.139 macOS en 164 países desde el 17 de febrero:

Elaborado por MALWAREBYTES LAB

Esta situación trajo a la memoria la inquietante amenaza que posteó en 2011 el grupo AntiSec, una filial desprendida de LulZec y Anonymous, en su cuenta de Twitter. Daban cuenta de haber accedido a datos de usuarios y contraseñas de Ipad con el aparente único propósito de exponer la debilidad del sistema de seguridad de Apple, pero aclararon que no estaba entre sus planes atacar a los equipos Apple por el momento. ¿Habrá llegado ese momento?

Apple es un blanco al que nos dedicaremos en el futuro.

(Grupo ANTISEC, 2011)

Fuentes: