商业监控供应商已经从小众技术供应商发展成为一个价值数十亿美元的复杂生态系统,对全球记者、活动家和民间社会成员构成了前所未有的威胁。
Sekoia.io 威胁检测与研究团队的一份综合性新报告揭示了这些私营公司如何将间谍软件部署工业化,将有针对性的监视从孤立的技术组件转变为可与国家支持的网络能力相媲美的完全集成的解决方案。
商业间谍软件行业在 2010 年至 2013 年的阿拉伯之春抗议活动期间突出出现,当时专制政府拼命寻求快速监控工具来监控持不同政见者并镇压民众运动。
Gamma Group 的 FinFisher 和 Hacking Team 的 Remote Control System 等早期供应商利用了这一需求,将其产品销售给中东和北非的政权。
这一时期标志着一个利润丰厚的市场的开始,最终每次部署将产生数百万欧元的收入。
2016 年至 2021 年间,该行业经历了重大工业化,NSO Group、Candiru 和 Intellexa 等以色列公司引领了技术进步。
这些公司通常由以色列 8200 部队网络战部门的前成员创立,引入了零点击利用技术,消除了受害者互动的需要。
Sekoia 分析师发现,这一复杂的突破从根本上改变了威胁形势,通过消息应用程序中的漏洞实现远程设备入侵,而无需用户点击恶意链接。
感染机制
商业间谍软件采用的感染机制在多种攻击媒介中表现出卓越的技术复杂性。
零点击漏洞是最先进的类别,在收到消息后自动破坏设备,无需用户交互。
最近对 Paragon 的 Graphite 间谍软件的分析显示,WhatsApp 的自动内容预览功能被利用,其中恶意 PDF 在预览生成过程中触发零日漏洞。
当目标的电话号码被静默添加到 WhatsApp 群组中,然后传输特制的 PDF 文件时,攻击序列就开始了。
Attack Flow:
1. Target enumeration and phone number acquisition
2. Silent addition to attacker-controlled WhatsApp group
3. Malicious PDF transmission with embedded exploit
4. Automatic content preview triggers vulnerability
5. Payload execution and persistent implant installation一键式漏洞利用采用复杂的社会工程,利用时事和信任关系来引诱目标。
该技术通常涉及冒充与受害者的工作或活动相关的已知联系人或组织。
例如,在一名民权活动人士被捕后,对手可能会冒充另一位著名活动人士并发送提及该事件的恶意内容,利用紧迫性和情感背景来增加参与概率。
支持这些作的命令和控制基础设施变得越来越复杂,利用多层架构来掩盖归因。
Predator 间谍软件业务现在采用五个不同的基础设施层,最新的一层涉及捷克公司 FoxItech sro,其所有者与 Intellexa 财团支付接收者有联系。
这种架构演变展示了商业间谍软件供应商如何不断适应以逃避检测和监管监督。
物理访问媒介仍然很重要,特别是在过境点,当局可以在设备检查期间安装间谍软件。
据报道,塞尔维亚当局在安装 NoviPsy 间谍软件之前使用 Cellebrite 的通用法医提取设备来解锁设备,以持续监视活动人士和记者。
这种将合法取证工具与商业间谍软件相结合的混合方法体现了当前威胁形势的合法调查和未经授权的监视之间的模糊界限。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
