民主国家的执法实体一直在部署针对记者和援助工作者的顶级消息应用程序间谍软件
研究人员开始通过消息应用程序揭露针对记者、人道主义援助工作者和其他平民的全球监控行动。
1 月 31 日,WhatsApp 联系了 90 多人,它认为这些人是以色列“Paragon Solutions”开发的间谍软件的目标。通过与其中三名受害者合作,并得到合作者的提示,网络研究组织 Citizen Lab 此后发现了有关这些间谍软件作如何运作的更多细节,并追踪了至少一些客户的位置,这些客户至少分布在四大洲。
“真正的政府实际上正在使用 Android 和 iOS 间谍软件来对付他们的公民和外国公民,”参与调查的 Censys 高级安全研究员 Aidan Holland 警告说。“活着真是太疯狂了。”
什么是 Paragon Mobile 间谍软件组?
Paragon Solutions 由前以色列国防军 (IDF) 8200 部队指挥官和以色列前总理 Ehud Barak 于 2019 年共同创立。2021 年,它成立了一个美国分支机构,部分工作人员由前政府雇员组成,包括中央情报局和美国海军的退伍军人。
Paragon 的 Android 恶意软件“Graphite”的工作方式与典型的间谍软件略有不同。它不是将自身作为隐藏的应用程序或进程加载到设备上,而是锁定用户可能已经下载的现有合法消息应用程序。这种策略在设备本身留下的法医证据较少,但让应用程序开发人员也加入了进来。
在最近的案例中,攻击者会首先使用一种独特的、尚未公开的方式将其目标添加到特定的 WhatsApp 群组中。添加后,他们将向目标发送一个 PDF 文件。目标的设备将自动解析 PDF,允许有效负载利用 WhatsApp 本身的零日漏洞。无需用户交互,Graphite 就会加载到应用程序中,然后逃离其沙盒,从而使其也可以传播到其他应用程序。Citizen Lab 分析了一部手机,其中 Graphite 已经传播到另外两个应用程序,包括“一个流行的消息应用程序”。
WhatsApp 在去年年底发现并修复了这个零点击漏洞。WhatsApp 母公司 Meta 告诉 Bleeping Computer,该修复程序完全应用于服务器端——无需用户更新——因此该公司没有为其分配 CVE-ID。
虽然它的恶意软件同样有害,但 Paragon 将自己定位为比臭名昭著的 NSO Group 更合乎道德的替代品。它不会与疯狂的独裁者签订合同,所以,按照逻辑,你可以相信它的使命是合理的。然而,Meta 和 Citizen Lab 发现,Paragon 的恶意软件经常被部署用于对付无害的平民。
例如,在最新一轮确定的 90 个目标中,有 3 个来自意大利的目标现在已经被公开命名:一家调查新闻机构的主编和一个营救地中海移民的组织的联合创始人。
绘制间谍软件基础设施
意大利的间谍软件历史悠久。为了找出 Paragon 指纹的其他位置,Citizen Lab 与 Censys 合作,该公司在全球面向互联网的资产上维护着大约 4 PB (1000TB) 的数据。
从合作者的提示开始,研究人员推断出与 Paragon 的开发人员和客户相关的一系列基础设施。
Holland 解释说,当天真的客户在不知不觉中暴露他们的监控基础设施时,这项工作是最容易的。例如,“如果 NSO Group 出售给墨西哥政府,墨西哥政府就会部署该软件,”他说。“然后,部署软件的人员要以正确的方式部署它,并隐藏指向 NSO Group 的指标。因此,他们信任随机的政府雇员来妥善隐藏间谍软件。这不在他们的工作描述中。
总之,分析师设法确定了澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡的 Paragon 部署。
事实证明,加拿大特别有趣。研究人员推断,它在那里发现的联系导致了安大略省警察局,随着进一步的挖掘,他们在安大略省法院发现了其他间谍软件案件,涉及该省的约克地区警察局、汉密尔顿警察局和皮尔地区警察局。
Paragon 的 OpSec 失误
Paragon 本身并不总是那么小心地隐藏其在线存在。
“我们回到了 2021-2022 年的时间框架,当时他们还没有隐藏自己,”Holland 回忆道。有一次,当研究人员检查特定范围的可疑以色列 IP 地址时,他们遇到了标题为“Paragon”的网页。Holland 咯咯地笑着问道:“什么类型的间谍软件公司会像这样宣传他们的网站?
不过,他指出,“说实话,我们经常在恶意软件中看到这种情况。[服务器会向我们宣布],'嘿,我是 Cobalt Strike。你为什么要告诉我这个?现在我可以找到所有其他现存的 Cobalt 打击服务器。
近年来,Paragon 显然已经纠正了它的错误。“我寻找了 [Paragon 品牌域] 的其他实例,至少从我们的角度来看,目前的 Internet 扫描中没有。请注意,Paragon 阻止 Censys 是一种完全有效的技术,这样它的内容就不会被索引,也不会隐藏在 Web 应用程序防火墙 (WAF) 后面,“他说。
从好的方面来看,他补充说,“这确实为它们的发展留下了一点空间来进一步研究它们。
信息来源:https://www.darkreading.com/application-security/nation-state-paragon-spyware-infections
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局