Ακόμα ένας κυβερνητικός κατασκευαστής spyware συνελήφθη αφού οι πελάτες του χρησιμοποίησαν ψεύτικες εφαρμογές Android για να εγκαταστήσουν το λογισμικό παρακολούθησης σε στόχους, σύμφωνα με μια νέα έκθεση.
Την Πέμπτη, το Osservatorio Nessuno, μια ιταλική οργάνωση ψηφιακών δικαιωμάτων που ερευνά το spyware, δημοσίευσε έκθεση σε ένα νέο κακόβουλο λογισμικό που ονομάζει Morpheus. Το spyware, το οποίο μεταμφιέζεται ως εφαρμογή ενημέρωσης τηλεφώνου, είναι ικανό να υποκλέψει ένα ευρύ φάσμα δεδομένων από τη συσκευή ενός στόχου.
Τα ευρήματα των ερευνητών δείχνουν ότι η ζήτηση για spyware από τις υπηρεσίες επιβολής του νόμου και τις υπηρεσίες πληροφοριών είναι τόσο υψηλή που υπάρχει μεγάλος αριθμός εταιρειών που παρέχουν αυτήν την τεχνολογία, μερικές από τις οποίες λειτουργούν εκτός του δημοσίου προβολέα.
Σε αυτήν την περίπτωση, το Osservatorio Nessuno κατέληξε στο συμπέρασμα ότι το spyware κατασκευάζεται από την IPS, μια ιταλική εταιρεία που λειτουργεί για περισσότερα από 30 χρόνια παρέχοντας την παραδοσιακή λεγόμενη τεχνολογία νόμιμων υποκλοπών, δηλαδή εργαλεία που χρησιμοποιούνται από τις κυβερνήσεις για να καταγράφουν τις επικοινωνίες ενός ατόμου σε πραγματικό χρόνο που ρέουν μέσω των δικτύων παρόχων τηλεφώνου και διαδικτύου.
Σύμφωνα με την ιστοσελίδα της IPSη εταιρεία δραστηριοποιείται σε περισσότερες από 20 χώρες, αν και αυτό πιθανότατα δεν αναφέρεται στο προϊόν spyware της, το οποίο μέχρι σήμερα ήταν μυστικό. Η εταιρεία απαριθμεί αρκετές ιταλικές αστυνομικές δυνάμεις μεταξύ των πελατών της.
Η IPS δεν απάντησε στο αίτημα της TechCrunch για σχόλιο σχετικά με την αναφορά.
Οι ερευνητές ονόμασαν το Morpheus “χαμηλού κόστους” spyware επειδή βασίζεται στον υποτυπώδη μηχανισμό μόλυνσης που εξαπατάει τους στόχους ώστε να εγκαταστήσουν το spyware μόνοι τους.
Πιο προηγμένοι κατασκευαστές κρατικών spyware, όπως η NSO Group και η Paragon Solutions, επιτρέπουν στους κυβερνητικούς πελάτες τους να μολύνουν τους στόχους τους με αόρατες τεχνικές, γνωστές ως επιθέσεις μηδενικού κλικ, οι οποίες εγκαθιστούν το κακόβουλο λογισμικό με εντελώς κρυφό και αόρατο τρόπο, εκμεταλλευόμενοι ακριβά και δυσεύρετα τρωτά σημεία που διαπερνούν την άμυνα ασφαλείας μιας συσκευής.
Σε αυτή την περίπτωση, οι ερευνητές είπαν ότι οι αρχές είχαν βοήθεια από τον πάροχο κινητών τηλεφώνων του στόχου, ο οποίος άρχισε να μπλοκάρει σκόπιμα τα δεδομένα κινητής τηλεφωνίας του στόχου. Σε εκείνο το σημείο, ο πάροχος τηλεπικοινωνιών έστειλε στον στόχο ένα SMS, ζητώντας του να εγκαταστήσουν μια εφαρμογή που υποτίθεται ότι θα τον βοηθούσε να ενημερώσει το τηλέφωνο και να αποκτήσει ξανά πρόσβαση σε δεδομένα κινητής τηλεφωνίας. Αυτή είναι μια στρατηγική που έχει τεκμηριωθεί καλά σε άλλες περιπτώσεις που αφορούν άλλους Ιταλούς κατασκευαστές spyware.
Μόλις εγκατασταθεί το λογισμικό υποκλοπής, έκανε κατάχρηση των ενσωματωμένων λειτουργιών προσβασιμότητας του Android, οι οποίες επιτρέπουν στο λογισμικό υποκλοπής να διαβάζει τα δεδομένα στην οθόνη του θύματος και να αλληλεπιδρά με άλλες εφαρμογές. Το κακόβουλο λογισμικό σχεδιάστηκε για να έχει πρόσβαση σε όλα τα είδη πληροφοριών στη συσκευή, σύμφωνα με τους ερευνητές.
Το λογισμικό υποκλοπής υποκλοπής στη συνέχεια προκάλεσε μια ψεύτικη ενημέρωση, έδειξε στον στόχο μια οθόνη επανεκκίνησης και τελικά πλαστογράφησε την εφαρμογή WhatsApp ζητώντας από τον στόχο να παράσχει τα βιομετρικά στοιχεία του για να αποδείξει ότι είναι αυτός. Εν αγνοία του στόχου, το βιομετρικό άγγιγμα παραχώρησε στο spyware πλήρη πρόσβαση στον λογαριασμό του WhatsApp προσθέτοντας μια συσκευή στον λογαριασμό. Αυτή είναι μια γνωστή στρατηγική που χρησιμοποιείται από κυβερνητικούς χάκερ στην Ουκρανία, καθώς και σε μια πρόσφατη κατασκοπευτική εκστρατεία στην Ιταλία.
Μια παλιά εταιρεία με νέο λογισμικό υποκλοπής spyware
Οι ερευνητές του Osservatorio Nessuno, οι οποίοι ζήτησαν να αναφέρονται μόνο με τα μικρά τους ονόματα, Davide και Giulio, κατέληξαν στο συμπέρασμα ότι το spyware ανήκει στην IPS με βάση την υποδομή του spyware.
Συγκεκριμένα, μία από τις διευθύνσεις IP που χρησιμοποιήθηκαν στην καμπάνια καταχωρήθηκε στο “IPS Intelligence Public Security”.
Οι δυο τους βρήκαν επίσης πολλά κομμάτια κώδικα που περιείχαν ιταλικές φράσεις – κάτι που φαινομενικά έχει γίνει παράδοση μεταξύ της ιταλικής βιομηχανίας spyware. Ο κώδικας κακόβουλου λογισμικού περιελάμβανε λέξεις στα ιταλικά, συμπεριλαμβανομένων των αναφορών στο Gomorra, το διάσημο βιβλίο και τηλεοπτική εκπομπή για τον όχλο ναπολιτάνικο, και “μακαρόνια”.
Ο Davide και ο Giulio είπαν στο TechCrunch ότι δεν μπορούν να δώσουν λεπτομέρειες σχετικά με το ποιος ήταν ο στόχος, αλλά είπαν ότι πιστεύουν ότι η επίθεση “σχετίζεται με πολιτικό ακτιβισμό” στην Ιταλία, έναν κόσμο όπου “αυτός ο τύπος στοχευμένων επιθέσεων είναι πολύ συνηθισμένος στις μέρες μας”.
Ένας ερευνητής σε μια εταιρεία κυβερνοασφάλειας είπε στο TechCrunch ότι η εταιρεία τους παρακολουθούσε αυτό το συγκεκριμένο κακόβουλο λογισμικό. Αφού εξέτασε την έκθεση Osservatorio Nessuno, ο ερευνητής είπε ότι το κακόβουλο λογισμικό έχει αναπτυχθεί σίγουρα από έναν Ιταλό κατασκευαστή τεχνολογίας παρακολούθησης.
Το IPS είναι το πιο πρόσφατο σε μια μακρά λίστα Ιταλών κατασκευαστών spyware που έχουν καλύψει το κενό που άφησε η εδώ και καιρό ανενεργή ιταλική εταιρεία Hacking Team, ένας από τους πρώτους κατασκευαστές spyware στον κόσμο. Η εταιρεία έλεγχε ένα μεγάλο μερίδιο της τοπικής αγοράς εκτός από τις πωλήσεις στο εξωτερικό προτού παραβιαστεί, και αργότερα πουληθεί και μετονομαστεί. Τα τελευταία χρόνια, ερευνητές έχουν αποκαλύψει δημοσίως αρκετούς Ιταλούς κατασκευαστές spyware, μεταξύ των οποίων CY4GATE, GR Sistemi, Μοβία, Negg, Raxir, Εργαστήριο RCSκαι πιο πρόσφατα το SIO.
Νωρίτερα αυτό το μήνα το WhatsApp ειδοποίησε περίπου 200 χρήστες που εγκατέστησαν μια ψεύτικη έκδοση της εφαρμογής, η οποία ήταν στην πραγματικότητα λογισμικό κατασκοπείας κατασκευασμένο από τη SIO. Το 2021, Ιταλοί εισαγγελείς ανέστειλε τη χρήση τους του CY4GATE και του SIO spyware λόγω σοβαρών δυσλειτουργιών.
Όταν αγοράζετε μέσω συνδέσμων στα άρθρα μας, ενδέχεται να κερδίσουμε μια μικρή προμήθεια. Αυτό δεν επηρεάζει τη συντακτική μας ανεξαρτησία.
VIA: techcrunch.com
