Istraživači kibernetičke sigurnosti identifikovali su novu infrastrukturu koju vjerovatno koriste operateri komercijalnog špijunskog softvera poznatog kao Predator u najmanje 11 zemalja.
Analizom domena koji se vjerovatno koriste za isporuku špijunskog softvera, analitičari Insikt grupe Recorded Future uspjeli su uočiti potencijalne kupce Predatora u Angoli, Armeniji, Bocvani, Egiptu, Indoneziji, Kazahstanu, Mongoliji, Omanu, Filipinima, Saudijskoj Arabiji i Trinidadu i Tobago.
Nijedan kupac Predatora u Bocvani i na Filipinima nije identifikovan prije analize Recorded Future. Record je uređivački nezavisna jedinica Recorded Future.
Predator je sofisticirani špijunski softver koji je razvio konzorcij za špijunski softver Intellexa u izraelskom vlasništvu. Primjenjuje se najmanje od 2019. godine, zarazivši i Android i iPhone uređaje. Konzorcij novinara, aktivista i sajber stručnjaka prethodno je ispitao špijunski softver u projektu pod nazivom Predator Files.
Predator može dobiti pristup mikrofonu, kameri uređaja i svim pohranjenim ili prenesenim podacima, uključujući kontakte, poruke, fotografije i video zapise. Veoma je invazivan i ostavlja vrlo ograničene tragove na ciljnom uređaju, što ga čini izazovnim za istraživanje.
Insikt Grupa nije identifikovala konkretne žrtve ili mete najnovije aktivnosti Predatora.
“Budući da se špijunski softver Predator obično isporučuje na pojedinačne uređaje žrtve putem eksploatacije ranjivosti, identifikacija meta je izazovna bez direktnog pristupa tim uređajima”, rekli su istraživači.
Počinje lažiranjem
Tokom najnovije analize, Insikt Grupa je identifikovala novu Predator mrežu za dostavu na više nivoa, koja se sastoji od servera za isporuku, uzvodnih servera i infrastrukture koja je vrlo verovatno povezana sa Predator kupcima.
Serveri za isporuku su vjerovatno korišteni za eksploataciju uređaja i početni pristup. Ovi serveri obično hostuju domene, lažiraju web stranice za određene entitete koji bi mogli biti od interesa za cilj. Neke od ovih domena predstavljale su se kao legitimne novinske kuće, web stranice za vremensku prognozu ili određene kompanije, kao što su nekretnine.
Na primjer, čini se da domeni krisha-kz.com i kollesa.com lažiraju kompaniju za nekretnine i platformu za prodaju automobila u Kazahstanu. Istorija korištenja dobavljača sajber nadzora kao što su NSO Group, FinFisher i RCS Lab za ciljanje aktivista i političara dalje sugeriše da je ova zemlja vjerovatno kupac Predatora. Više od polovine domena koje je identifikovala Insikt grupa povezana je sa Kazahstanom, što ukazuje na potencijalno povećan nivo aktivnosti špijunskog softvera, rekli su istraživači.
Ostali dijelovi mreže Predator koje su otkrili istraživači uključuju virtuelne privatne servere uzvodno od servera za isporuku. Vjerovatno su korišteni za anonimizovanje prometa i za smanjenje vjerovatnoće povezivanja servera za isporuku sa određenim Predator klijentima.
Mreža za anonimizaciju koja prikriva lokaciju i identitet operatera čini pripisivanje napada izazovnijim, navodi se u izvještaju.
Ovi uzvodni serveri komunicirali su sa statičnim adresama provajdera internet usluga u zemlji koje su vjerovatno bile povezane sa Predator korisnicima.
„Na osnovu naših nalaza i činjenice da su organizacije u ovim zemljama skoro sve istorijski prijavljivane kao Predator klijenti, velika je verovatnoća da će ove organizacije nastaviti da koriste Predator špijunski softver“, rekli su istraživači.
Ne samo za sprovođenje zakona
Tehnologije špijunskog softvera kao što su Predator i Pegasus se prodaju kao alati za borbu protiv terorizma i za provođenje zakona. Međutim, oni se kontinuirano zloupotrebljavaju za ciljanje civilnog društva, uključujući novinare, političare i aktiviste.
U septembru prošle godine, na primjer, telefon egipatskog opozicionog političara bio je na meti Predatora, u kampanji za koju istraživači digitalne forenzičke organizacije Citizen Lab vjeruju da je sprovedena uz znanje egipatske vlade.
Druge žrtve Predatora su grčki novinar Thanasis Koukasis, bivši zaposlenik Mete Artemis Seaford i član Evropskog parlamenta Nikos Androulakis.
Kupci Predatora obično ciljaju na osobe visokog profila od kojih se očekuje da imaju značajnu obavještajnu vrijednost. To je zbog visokih troškova implementacije sa naknadama po infekciji, navodi Insikt grupa.
„Domaća upotreba špijunskog softvera kao što je Predator izvan ozbiljnog kriminala i borbe protiv terorizma predstavlja rizik za privatnost, zakonsku ili fizičku sigurnost za krajnje mete, njihove poslodavce i subjekte koji sprovode ovu aktivnost“, rekli su istraživači.
Izvor: The Record