Política 18/04/2022

Així funciona el ciberespionatge del Catalangate contra l'independentisme

Els atacants han fet servir missatges de text trampa amb informació personal real i suplantant empreses, institucions i ONG

3 min
Laura Borràs i l'expresident de la Generalitat Artur Mas a la tribuna del parlament en una imatge d'arxiu

La investigació del grup Citizen Lab de la Universitat de Toronto que ha destapat el Catalangate ha detectat que com a mínim 63 polítics, activistes, advocats i periodistes catalans vinculats a l'independentisme han estat víctimes del programa espia de telèfons mòbils Pegasus . A alguns el programa israelià els va arribar a infectar el telèfon, d'altres van ser objectiu d'atacs però o no van reeixir o no s'ha pogut constatar que ho fessin. Els investigadors de Citizen Lab han documentat com s'ho han fet els ciberespies per atacar els telèfons mòbils i instal·lar-hi un programa que els dona accés total a l'aparell, a tot allò que s'hi guarda i que els permet fins i tot activar la càmera i el micròfon sense que el propietari se n'adoni. En concret, els investigadors han identificat dues tècniques d'atac: SMS maliciosos i zero-click exploits, que passen desapercebuts per a les víctimes.

Les tècniques Homage i Kismet haurien fet servir entre el 2019 i el 2020 vulnerabilitats de l'aplicació iMessage dels iPhone que en principi ja estan solucionades si es té el mòbil actualitzat (eren per a les versions 13 de l'iOS, l'actual és la 15.4.1). Així, enviant un missatge al telèfon de la víctima es donava una ordre a l'aparell perquè es connectés a un servidor en mans de NSO, es descarregués el programari espia i s'instal·lés al telèfon. El propietari del mòbil que pateix un atac així normalment ni tan sols se n'adona: funciona sense que hagi d'obrir el missatge ni cap enllaç, per això s'anomenen atacs zero-click. Una altra tècnica semblant centrada en Whatsapp –que és la que s'hauria fet servir contra Roger Torrent quan era president del Parlament– consisteix a inundar de dades la memòria buffer de l'aparell i aconsegueix així executar el codi maliciós de manera remota. Si l'aplicació de Whatsapp està adequadament actualitzada, ja no hauria de funcionar.

Missatges trampa

Moltes víctimes, però, van ser objectiu d'atacs amb SMS maliciosos. Citizen Lab ha recopilat 200 exemples de missatges de text trampa amb enllaços que, si s'hi clica, descarreguen el programari maliciós. Però sempre requereixen que la víctima hi cliqui. Els investigadors expliquen que la sofisticació i personalització d'alguns d'aquests missatges "reflecteix sovint una comprensió detallada dels hàbits, interessos, activitats i preocupacions de l'objectiu", fins al punt que això indica que ja se'ls vigilava d'alguna altra manera.

L'empresari tecnològic Jordi Baylina, vinculat a projectes de vot digital i governança descentralitzada, va rebre un missatge de text amb un remitent fals de Swiss Air Lines i un enllaç que en teoria era d'una targeta d'embarcament d'un vol que havia comprat de veritat però que en realitat descarregava el malware Pegasus. Això vol dir que l'atacant sabia quin vol concret havia comprat. Altres víctimes van rebre falsos missatges de l'Agència Tributària i de la Seguretat Social, sovint amb dades personals i fins i tot parts de números d'identificació autèntics. Moltes altres víctimes van rebre SMS que simulaven serveis d'enviament de paquets, i alguns incloïen el nom de la víctima.

Exemples de missatges trampa detectats per Citizen Lab.

També han detectat missatges que simulaven notificacions de Twitter o fins i tot enllaços a notícies que podien interessar a l'objectiu de l'atac, suplantant mitjans de comunicació estatals i internacionals. Alguns dels missatges que s'enviaven a catalans a l'exterior simulaven números de telèfon internacionals. Marta Rovira, per exemple, a Suïssa va rebre per SMS missatges des de presumptes números suïssos que suplantaven una ONG i una entitat del govern suís.

Matamala, el pacient zero de Candiru

L'empresari i president de la Fundació Llibreria Les Voltes de Girona, Joan Matamala, molt proper a Carles Puigdemont, ha estat batejat per Citizen Lab com el "pacient zero" de Candiru, un programa espia israelià amb què els investigadors van detectar que s'havien infectat els aparells de més de cent polítics, activistes pels drets humans, periodistes, acadèmics, treballadors d’ambaixades i dissidents de diferents països mitjançant dues vulnerabilitats de software de Microsoft. Segons l'informe, quan els investigadors feien la primera recerca sobre Candiru van detectar una infecció al campus de la Universitat de Girona. Van aconseguir concretar que l'ordinador afectat era el de Matamala, i que la infecció continuava activa.

Membres de Citizen Lab van contactar amb companys de Matamala a la universitat, que amb una excusa el van allunyar de l'ordinador –que continuava vigilat– per explicar-li què passava. Ell va acceptar que fessin una anàlisi forense de l'aparell i això va permetre que en poguessin analitzar el codi. Amb el consentiment de Matamala, van compartir la informació amb Microsoft, "que va descobrir més de 100 víctimes en 10 països".

Dels 63 infectats o objectius d'intents d'espionatge amb Pegasus que ha detectat Citizen Lab, dos havien estat infectats per Candiru, també. A més, els investigadors han detectat dues víctimes més a qui només s'havia atacat amb el programari espia Candiru.

stats