Buzz
Pegasus không phải là mối lo ngại duy nhất: Gặp gỡ phần mềm đánh cắp thông tin của Cytrox, Predator
Phần mềm đánh cắp thông tin Pegasus của NSO Group có lẽ là cái đầu tiên xuất hiện trong tâm trí khi nghĩ về cách nổi tiếng để nghe lén điện thoại của người khác.
Nhưng có một người chơi mới ở đây: Cytrox. Công ty ít người biết đến này đã được phát hiện tham gia giám sát trong cuộc điều tra chung của Citizen Lab đóng cùng Meta
Trong câu chuyện này, chúng tôi sẽ phân tích nguồn gốc của công ty và giới thiệu về phần mềm đánh cắp thông tin của nó.
Cytrox là gì?
Cytrox bắt đầu như một startup tại Bắc Macedonia, nhưng tài liệu được Citizen Lab xem xét cho thấy nó có mặt tại Israel và Hungary. Mô tả trên Crunchbase nói rằng nó cung cấp "một giải pháp cyber hoạt động cho các chính phủ" — khá mơ hồ.
Có thông tin cho biết công ty này là một phần của Intexella — một liên minh muốn cạnh tranh với Nhóm NSO.
Cytrox is a North Macedonia based security companyNgười sáng lập của công ty, Tal Dillian, đã tham gia vào một số hoạt động cung cấp phần mềm giám sát.
Cytrox cung cấp sản phẩm đối thủ của Pegasus của mình có tên là Predator (ai làm Alien v Predator poster nhỉ?) để giám sát điện thoại của nạn nhân. Công ty cũng cung cấp một số sản phẩm cho Sphinx, chiến dịch gián điệp trực tuyến nhắm vào người ở Ai Cập và các nước lân cận.
Citizen Lab đã phát hiện ra điều gì về phần mềm gián điệp Predator?
Một cuộc điều tra của công ty nghiên cứu đến từ Canada đã tiết lộ hai công dân Ai Cập là mục tiêu của Predator: Ayman Nour, lãnh đạo của một đảng đối lập ở đất nước, và một nhà báo lưu vong không tên, người làm dẫn chương trình trên một chương trình tin tức nổi tiếng.
Đáng chú ý, phần mềm gián điệp này hoạt động trên cả Android và iOS. Nhưng các mục tiêu đã bị hack thông qua lỗ hổng có mặt trong iOS 14.6 vào tháng 6. Chúng tôi đã hỏi Apple xem lỗ hổng đã được sửa chưa, và chúng tôi sẽ cập nhật câu chuyện nếu có phản hồi.
Kẻ tấn công đã đột nhập vào những chiếc điện thoại này bằng cách gửi các liên kết trên WhatsApp có vẻ vô hại; chỉ cần một cú nhấp chuột duy nhất là có thể kích hoạt phần mềm gián điệp cần thảo luận. Nour nghi ngờ rằng anh ta đã là nạn nhân của một cuộc tấn công gián điệp khi anh ta nhận ra điện thoại của mình đang chạy quá nóng. Hơn nữa, cuộc điều tra đã tiết lộ rằng trong một trường hợp duy nhất, điện thoại của anh ta đã bị tấn công cả bởi Predator và Pegasus.
An image accompanying a Cytrox Predator link sent to Nour purports to be a link to the legitimate website of the Al Masry Al Youm newspaper. The actual link goes to a fake lookalike domain, almasryelyuom[.]com. (Credit: Citizen Lab)Cuộc điều tra của Citizen Lab chỉ ra các miền bổ sung được quan sát trong cuộc tấn công của phần mềm gián điệp Predator. Bạn có thể tìm thấy danh sách đầy đủ các miền liên quan — được sử dụng cho lừa đảo hoặc tấn công — trong file GitHub này.
Một trong những khía cạnh quan trọng nhất của phần mềm gián điệp là nó có thể tồn tại sau khi khởi động lại iPhone, quy trình có thể làm sạch hầu hết phần mềm gián điệp khỏi bộ nhớ của nó.
Trong gói tin của Android, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các thành phần ghi âm có thể đăng ký cuộc trò chuyện của bạn.
Họ cũng liệt kê các chính phủ có thể là khách hàng của Cytrox: Armenia, Ai Cập, Hy Lạp, Indonesia, Madagascar, Oman, Ả Rập Saudi và Serbia.
Bạn có thể đọc thêm về cuộc điều tra của Citizen Lab tại đây.
Meta đang làm gì?
Meta đã phát hành một bản báo cáo mới về các hoạt động thuê bao tấn công. Công ty cho biết đã loại bỏ 300 tài khoản liên quan đến Cytrox khỏi Facebook và Instagram.
Trong cuộc điều tra, mạng xã hội lưu ý rằng Cytrox đã sử dụng một mạng lưới các miền "mô phỏng các cơ sở tin tức hợp pháp trong các quốc gia quan tâm của họ và bắt chước các dịch vụ rút gọn URL và mạng xã hội hợp pháp".
Meta cũng đã chặn các tài khoản của sáu đơn vị khác thuê bao tấn công có trụ sở tại Hoa Kỳ, Ấn Độ, Israel và Trung Quốc.
Bạn có thể đọc báo cáo đầy đủ của Meta tại đây.
Ở đâu, ở đó, phần mềm gián điệp đâu cũng
Tổ chức Quốc tế Amnesty, tập trung vào quyền con người, cho biết họ sẵn sàng giúp đỡ bất kỳ nhà hoạt động nào nếu họ nghĩ rằng họ đã bị mục tiêu. Họ cũng đã công bố một thư viện GitHub các chỉ số có thể giúp các nhà nghiên cứu phát hiện phần mềm gián điệp Predator trên điện thoại.
Sau khi báo cáo được công bố, phóng viên của Motherboard Lorenzo Franceschi-Bicchierai liên lạc với CEO và người sáng lập Cytrox, Ivo Malinkovski. Vài giờ sau, ông đã loại bỏ tất cả các tham chiếu đến công ty khỏi hồ sơ của mình — chỉ trừ một tham chiếu hiển thị trong hình dưới đây.
Cuộc điều tra này đã xuất hiện trong cùng một tuần khi có thông tin về Nhóm NSO đóng cửa Pegasus. Điều này ngụ ý rằng trong khi chúng ta đã biết nhiều về Pegasus, có các công ty phần mềm gián điệp khác có thể đang hoạt động mà không gây tiếng ồn. Câu chuyện vẫn chưa kết thúc.
