Insikt 已发现至少 11 个国家的 商业Predator 黑客软件运营商使用的新基础设施。
通过分析可用于分发该程序的域名,专家们发现了安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯以及特立尼达和多巴哥的潜在 Predator 客户。
Predator 是由以色列财团Intellexa开发的复杂黑客软件,自 2019 年以来一直用于感染 Android 和 iPhone 设备。Predator 允许您访问设备的麦克风、摄像头以及所有存储或共享的数据,包括联系人、消息、照片和视频。该程序在目标设备上留下的痕迹极少,这使得调查变得困难。
在分析过程中,Insikt 团队发现了一个新的多层 Predator 交付网络,包括:
- 交付服务器(Delivery Server) ——用于目标设备初始感染的服务器。它通常托管恶意内容或漏洞利用工具。此类服务器通常托管一些域名,这些域名会欺骗目标可能感兴趣的特定组织的网站。有些域名将自己伪装成合法的新闻门户网站、气象网站或特定公司,以诱骗用户下载软件;
- VPS 服务器(位于交付服务器上方)是位于交付服务器和最终黑客软件运营商(在本例中为 Predator 客户端)之间的服务器。它们可用于匿名化流量,为运营商提供额外的保护层,并使追踪攻击源变得更加困难。VPS服务器可以管理受感染设备和运营商之间传输的数据,同时隐藏运营商的真实位置和身份;
- 推测与 Predator 客户端相关的基础设施。上游服务器与国内 ISP 的静态地址进行通信,这些地址可能与 Predator 客户端相关。
不仅仅是为了执法
Predator 和Pegasus 等黑客软件技术被吹捧为用于反恐和执法的工具。然而,它们经常被用来针对公民社会,包括记者、政治家和活动家。例如, 据公民实验室称,2021 年,埃及反对派政客的手机在埃及政府支持的一场活动中 感染了 Predator 。
Predator 客户通常针对知名人士,由于部署成本和每次感染付费,这些人士可能具有重要的情报价值。在犯罪调查和反恐背景之外使用商业间谍软件会给最终目标、其雇主以及进行此类活动的实体的隐私、法律保护或人身安全带来风险。
去年,研究小组 Cisco Talos 和 Citizen Lab 发布了对 Predator 及其 Alien 引导加载程序的技术分析 ,并透露了该软件工作原理的详细信息。
发表评论
您还未登录,请先登录。
登录