Το spyware Predator από την Intellexa συγκεντρώνει πολύτιμα δεδομένα ακόμη και από τις αποτυχημένες επιθέσεις και στοχεύει ειδικά σε ερευνητές ασφάλειας IT.
Μια νέα έρευνα από την ομάδα Threat Labs της Jamf, ειδικός της Apple, σκιαγραφεί μια εικόνα κακόβουλου λογισμικού του οποίου το τεχνικό επίπεδο υπερβαίνει κατά πολύ όλα όσα πιστεύαμε. Οι προγραμματιστές του φέρονται να έχουν εφαρμόσει λειτουργίες που ξεπερνούν την απλή κατασκοπεία. Η κακόβουλη εφαρμογή αμύνεται ενεργά από την ανίχνευση και μαθαίνει από τα λάθη.
Μια κρίσιμη πτυχή των νέων ευρημάτων αφορά τη συμπεριφορά του Predator σε στιγμές αποτυχίας ή όταν εντοπίζει ανίχνευση. Σύμφωνα με τους ειδικούς της Jamf, έχει τεκμηριωθεί ένα εξαιρετικά εξειδικευμένο “kill switch” που ξεπερνά κατά πολύ τις απλές ρουτίνες αυτοδιαγραφής. Αυτή η λειτουργία, λένε, χρησιμεύει σαν μια απόλυτη ασπίδα ενάντια στους ερευνητές ασφάλειας.
Εάν το spyware ανιχνεύσει ότι τρέχει σε περιβάλλον ανάλυσης ή εάν ενεργοποιηθούν ορισμένοι μηχανισμοί ασφαλείας του iPhone, ο προγραμματισμός του υποδεικνύει να ενεργοποιήσει το “kill switch”. Αυτό δεν διαγράφει μόνο τα ίχνη. Το λογισμικό διακόπτει σκόπιμα τη λειτουργία του για να κρύψει τα πολύτιμα exploits και τα κανάλια επικοινωνίας του από τα μάτια των εγκληματολογικών αναλυτών.
Αυτή η αμυντική στρατηγική συμπληρώνεται από ένα ακριβές διαγνωστικό σύστημα. Η Jamf κατάφερε να τεκμηριώσει μια πλήρη ταξινόμηση κωδικών σφαλμάτων που κυμαίνονται από το 301 έως το 311. Αυτοί οι κωδικοί λειτουργούν σαν κανάλια ανατροφοδότησης για τους εισβολείς. Εάν μια προσπάθεια μόλυνσης αποτύχει ή ενεργοποιηθεί το kill switch, το spyware στέλνει αυτόματα ένα κρυπτογραφημένο μήνυμα κατάστασης πίσω στους διακομιστές ελέγχου.
Έτσι οι εισβολείς μαθαίνουν ποιο ακριβώς μέτρο ασφαλείας ή εργαλεία ερευνητών ενεργοποίησαν την ανίχνευση. Αυτό το σύστημα ανατροφοδότησης μετατρέπει κάθε επιτυχημένη αντίδραση άμυνας ενός λειτουργικού συστήματος σε πηγή πληροφοριών με την οποία οι εισβολείς μπορούν να βελτιώσουν τα εργαλεία τους για την επόμενη προσπάθεια.
Εκτός από αυτήν την ικανότητα μάθησης, το Predator έχει δημιουργήσει περαιτέρω άμυνες κατά της ανάλυσης από ερευνητές ασφαλείας. Οι ειδικοί ανακάλυψαν λειτουργίες για την ενεργή παρακολούθηση διεργασιών που αναζητούν ίχνη από kit εντοπισμού σφαλμάτων ή ύποπτων πιστοποιητικών root CA. Τα τελευταία χρησιμοποιούνται συχνά στην εγκληματολογία πληροφορικής για την αποκρυπτογράφηση της κίνησης δεδομένων.
Σύγκριση με το Pegasus του Ομίλου NSO
Τα ευρήματα υπογραμμίζουν τον επαγγελματισμό της Intellexa Alliance και σύμφωνα με τους ερευνητές, δείχνουν ότι η γραμμή μεταξύ κρατικών φορέων και εμπορικών παρόχων spyware είναι τεχνολογικά σχεδόν ανύπαρκτη. Το Predator δεν είναι ένα στατικό εργαλείο αλλά ένα δυναμικά προσαρμοζόμενο σύστημα.
Σε σύγκριση με το διαβόητο κρατικό trojan Pegasus του Ομίλου NSO, το οποίο συχνά μολύνει συσκευές μέσω zero-click exploits χωρίς καμία αλληλεπίδραση χρήστη, το Predator βασίζεται κυρίως σε επιθέσεις με ένα κλικ μέσω προετοιμασμένων συνδέσμων. Τεχνικά, και οι δύο πλατφόρμες θεωρούνται ισότιμες στο εύρος των λειτουργιών τους για την κατασκοπεία μικροφώνων, καμερών και κρυπτογραφημένων συνομιλιών. Ωστόσο, το Pegasus είναι κυρίως βελτιστοποιημένο για μέγιστη αορατότητα και σιωπηλή διείσδυση. Το Predator ξεχωρίζει για τις επιθετικές τεχνικές αντι-ανάλυσης. Το πρόγραμμα φαίνεται να έχει σχεδιαστεί για να καταπολεμά προληπτικά την κοινότητα ασφάλειας.
Το 2024, οι διαχειριστές της πλατφόρμας για την παράδοση και τον έλεγχο του ισχυρού Predator αναγκάστηκαν να θέσουν εκτός λειτουργίας αρκετούς διακομιστές. Η στρατηγική των οργανώσεων ανθρωπίνων δικαιωμάτων και των ερευνητών ασφάλειας να κατονομάσουν και να ξεσκεπάσουν τα μαύρα πρόβατα στη βιομηχανία των κρατικών trojan φαινόταν να είναι τουλάχιστον προσωρινά επιτυχημένη.
Η κυβέρνηση των ΗΠΑ αυστηροποίησε τις κυρώσεις κατά της ομάδας εκείνη την εποχή και προσωπικά τον ιδρυτή της Intellexa, Tal Dilian, και το δεξί του χέρι, Sara Hamou.
Η Intellexa Alliance θεωρείται μια κοινοπραξία αμφίβολων ευρωπαϊκών εταιρειών που προμηθεύει κυβερνοόπλα όχι μόνο τους δικτάτορες.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
