Predator casus yazılımlarındaki son dönemdeki artış, gözetim operasyonlarının “endüstriyel ölçekte” ticaretini yapan yaygın ve köklü bir gri alan ticari operasyonunun sonucudur.
Bu, Uluslararası Af Örgütü’nün Güvenlik Laboratuvarları tarafından, Avrupa Araştırmacı İşbirliği (EIC) medya ağı tarafından toplanan verilerin analizine göre, şaibeli Predator mobil gözetleme aracının arkasındaki aktörlerin bunu Android ve iOS cihazlarını hedeflemek için nasıl sunduğuna dair yeni bilgiler ortaya çıkardı.
Analiz, başlıklı yakın tarihli bir raporda yer almaktadır. Yırtıcı Dosyalarve büyük ölçüde ABD Ticaret Bakanlığı ve diğer pek çok kişinin Predator’ın ana tedarikçisi olarak tanımladığı istihbarat sistemleri sağlayıcılarından oluşan bir ittifak olan Intellexa’ya odaklanıyor. Intellexa’nın, mobil ağları ve Wi-Fi teknolojilerini engellemek ve altüst etmek için, bazen İnternet servis sağlayıcılarıyla (ISP’ler) işbirliği yaparak, ittifak ortaklarının geniş yelpazedeki destekleyici ürünlerini nasıl kullandığını açıklıyor.
Predator Casus Yazılımı: Yaygın ve Tehlikeli Bir Tehdit
Uluslararası Af Örgütü, “Intellexa ittifakının ürünleri Avrupa, Asya, Orta Doğu ve Afrika’da en az 25 ülkede bulundu ve dünya çapında insan haklarını, basın özgürlüğünü ve toplumsal hareketleri baltalamak için kullanıldı” dedi. “‘Predator Dosyaları’ araştırması, uzun zamandır korktuğumuz şeyi gösteriyor: son derece istilacı gözetleme ürünlerinin neredeyse endüstriyel ölçekte ticareti yapılıyor ve herhangi bir gözetim veya herhangi bir gerçek hesap verebilirlik olmadan gölgede faaliyet göstermekte özgür.”
Daha bu hafta Sekoia, Madagaskar hükümetinin, hedef cihazdaki hemen hemen her şeyi çıkarabilen ve her şeyi dinleyebilen bir araç olan Predator’ı ülkedeki hedef bireylere ait mobil cihazlara bıraktığını bildiren bir kampanyayı bildirdi. Google’ın Tehdit Analizi Grubu Eylül ayında, Intellexa’nın daha sonra Mısırlı kuruluşlara yönelik bir saldırıda kullanılan üç iOS sıfır gün güvenlik açığı için nasıl bir yararlanma zinciri geliştirdiğini açıklayan bir rapor yayınladı.
Mobil Ağları Ele Geçirmek ve Altüst Etmek için Çok Sayıda Siber Araç
Uluslararası Af Örgütü raporunda, Intellexa’nın hükümet ve kolluk kuvvetleri müşterilerinin Predator’ı ilgili kişilere ait mobil cihazlara sessizce yüklemelerine yardımcı olmak için yıllar boyunca kullandığı beş teknoloji öne çıkıyor ve birkaç başka teknoloji daha listeleniyor.
Listenin başında mobil ISP konumlarına kurulan bir ağ enjeksiyon sistemi olan Mars yer alıyor. Teknoloji, Intellexa müşterilerinin, herhangi bir HTTP Web sayfasına göz attıklarında hedef kullanıcıları sessizce bir Pegasus enfeksiyon sunucusuna yönlendirmelerine olanak tanıyor. Teknolojinin çalışması için, mobil İSS’lerin ağlarına Mars’ı yüklemeleri, hedef aboneye statik bir IP atamaları ve trafiği hedef IP adresinden Mars sistemine iletmek için kurallar oluşturmaları gerekiyor. Raporda, “Ağ enjeksiyon sistemi, orijinal HTTP isteğine, başka bir kullanıcı eylemi gerektirmeden cihaza bulaşan tek tıklamayla tarayıcı istismar bağlantısını içeren bir HTTP yönlendirmesiyle yanıt verebilir” denildi.
Intellexa, Mars’a, müşterilerinin şifrelenmiş HTTPS trafiğine benzer ağ enjeksiyonu yapmak için kullanabileceği Jüpiter adında bir eklenti ürünü sunuyor. Ancak bu durumda enjeksiyon yalnızca hedef kullanıcının ülkesinde barındırılan web sitelerinde çalışır. Mars ürününde olduğu gibi, müşterilerin mobil ISP’leri ağlarına Jüpiter donanımını yüklemeye ikna etmeleri gerekiyor. Teknoloji temel olarak Intellexa müşterilerinin kendilerini hedef kullanıcıdan yerel bir HTTPS web sitesine gönderilen HTTPS isteklerinin ortasına yerleştirmelerine ve Predator’ı enjekte etmelerine olanak tanıyor.
Uluslararası Af Örgütü’nün raporunda vurguladığı bir diğer araç ise Intellexa’nın müşterilerin Samsung cihazlarına virüs bulaştırmak için kullanabileceği bir ürün olarak konumlandırdığı Triton’dur; buna Android’in en yeni sürümlerini çalıştıran en yeni modeller de dahildir. “Sistem, Samsung cihazlarında kullanılan temel bant yazılımındaki güvenlik açıklarını hedef alıyor gibi görünüyor; bu güvenlik açıkları, ‘hedefle etkileşim olmadan’ veya hedefin bir tarayıcı veya başka bir uygulama kullanmasına ihtiyaç duymadan Predator casus yazılımının bulaşmasına izin veriyor.” Triton saldırı zinciri, kötü amaçlı yazılımın ilk olarak IMSI yakalayıcı adı verilen bir aracı kullanarak Samsung cihazlarını 5G, 4G ve 3G’den eski 2G protokolüne düşürmesini içeriyor. Uluslararası Af Örgütü raporuna göre, bu gerçekleştiğinde Triton, yükü iletmek için entegre, yazılım tanımlı bir baz istasyonu gibi görünen bir sistemi kullanıyor.
Uluslararası Af Örgütü raporunun öne çıkardığı diğer Intellexa araçları arasında, operatörlerin James Bond benzeri bir evrak çantası üzerinde, bir gözetleme aracında ve drone üzerinde taşıyabilecekleri bir dizi Wi-Fi müdahale ve enfeksiyon ürünü olan SpearHead yer alıyor. Intellexa ittifak ortağı WiSpear’ın teknolojisi, hedef tanımlama, coğrafi konum izleme, trafik müdahalesi ve yük dağıtımına olanak tanıyor. Diğer araçlar arasında Nexa grubundan Alpha-Max adı verilen 3G/4G GSM müdahale ve enfeksiyon ürünü ve meta veri analizi kullanarak şifrelenmiş WhatsApp ve Signal trafiğinin anonimleştirilmesine yönelik bir ürün olan Jasmine yer alıyor.
Uçtan Uca Gözetim Teklifi
Intellexa, hükümetler ve kolluk kuvvetleri için uçtan uca gözetim yeteneği sunmak amacıyla sıklıkla bu teknolojileri bir araya getiriyor. EIC araştırmacılarının elde ettiği Intellexa fiyat teklifi, şirketin 8 milyon Euro karşılığında Android ve iOS cihazlarından geniş kapsamlı uzaktan veri çıkarma hizmetleri sunduğunu gösterdi. Fiyata, Predator’ı Android ve iOS cihazlarda sunmak için tek tıklamayla yararlanma, aynı anda 10’a kadar hedefi izleme yeteneği, hedef sistemlerden alınan tüm verilerin analizi ve 12 aylık garanti dahildir.
Intellexa’nın operasyonlarına ilişkin endişeler, ABD Dışişleri Bakanlığı’nın Intellexa’yı, Predator’ın üreticisi Cytrox AD’yi ve diğer iki ittifak üyesini görevlendirmesine yol açtı. varlıkların listesi ABD’nin ulusal güvenliğine risk teşkil eden şeyler. Bakanlık, şirketleri “bilgi sistemlerine erişim sağlamak için kullanılan ve dünya çapında bireylerin ve kuruluşların mahremiyetini ve güvenliğini tehdit eden siber istismar kaçakçılığı” olarak tanımladı.[paniesas”traffickingincyberexploitsusedtogainaccesstoinformationsystemstherebythreateningtheprivacyandsecurityofindividualsandorganizationsworldwide
Bu hafta 128 sayfalık bir dijital savunma raporu yayınlayan Microsoft’un, siber paralı asker gruplarının oluşturduğu kuruluşlara yönelik ortaya çıkan tehditlerle ilgili bir bölümü var; Intellexa da bunlardan biri. Şirket onları özel sektörün saldırgan aktörleri olarak tanımlıyor.
Microsoft’un tehdit istihbaratı stratejisi direktörü Sherrod DeGrippo, “Siber paralı askerler, politika dünyasında bazen adlandırıldıkları şekliyle, manzarayı noktalıyor” diyor. “Sanırım bu izlemeye devam etmemiz gereken bir şey çünkü bunlar, ulus devletlere yıkıcı eylemler gerçekleştirmeleri için teknik yetenek sağlayan varlıklar.”
DeGrippo, önemli mali kazanç potansiyeli nedeniyle sektörü yalnızca gelişmeye ve büyümeye devam edecek olan gri bir alan olarak algılıyor. “Bu tehdit hakkında düşündüğümüzden, bunu bir tehdit olarak takip ettiğimizden, müşterilerimizi ve bireylerimizi bu tür tehditlerden koruduğumuzdan ve bazı açılardan tehdit ortamından bağımsız olduğumuzdan emin olduğumuzdan emin olmalıyız.”