导 读
极度危险、臭名昭著的以色列 Predator(捕食者) 商业间谍软件套件带着最新的升级版回归了。
网络安全公司 Recorded Future 的威胁研究部门 Insikt Group上周报告称,新的Predator基础设施出现在刚果民主共和国和安哥拉等国家,这表明美国对Predator 背后的间谍软件公司Intellexa实施的制裁并未完全成功。
Insikt Group 在其关于 Predator 的报告中写道:“在 Intellexa 受到制裁和曝光后,Predator 的活动明显减少。然而,根据我们最近的分析,Predator 还远未消失。”
2023年3月,美国政府发布行政命令,禁止美国政府使用对国家安全构成风险的商业间谍软件。
2023年7月,美国商务部工业和安全局 (BIS) 将监控技术供应商 Intellexa 和 Cytrox 列入实体清单,原因是其贩卖用于获取信息系统访问权限的网络漏洞。
2024年3月,美国财政部宣布对与 Intellexa Consortium有关的两名个人和五个实体进行制裁 ,原因是他们在开发和分发用于针对美国人的商业 Predator 间谍软件方面发挥了作用 。
该监视软件还用于监视美国政府官员、记者和政策专家。美国财政部警告称,商业间谍软件的扩散对美国构成了越来越大的风险。外国攻击者滥用监视软件对世界各地的异见人士和记者发动攻击。
Predator是由以色列间谍软件联盟Intellexa开发的复杂间谍软件,与NSO 集团的Pegasus和其他商业间谍软件一样,允许政府人员入侵设备并监视用户。允许操作员渗透到设备中,获取消息和联系人等敏感数据,甚至在用户不知情的情况下激活摄像头和麦克风。
基础设施和逃避策略的变化
Predator的运营商已显著增强其基础设施,增加了复杂性以逃避检测。新的基础设施在其多层交付系统中增加了一个附加层,可匿名处理客户操作,从而更难确定哪些国家正在使用该间谍软件。这一变化使研究人员和网络安全防御者更难追踪 Predator 的传播。
尽管发生了这些变化,但运作模式基本保持不变。间谍软件可能继续使用“一键”和“零点击”攻击媒介,利用浏览器漏洞和网络访问将自身安装在目标设备上。尽管没有关于完全远程零点击攻击(如与 Pegasus 相关的攻击)的报告,但 Predator 仍然是针对知名人士的危险工具。
备受瞩目的目标仍面临风险
Predator捕食者间谍软件重返战场最令人担忧的一点是,它很可能会继续以知名人士为目标。政客、高管、记者和活动人士面临的风险最高,因为他们掌握着政府或其他恶意行为者的情报价值。捕食者昂贵的授权费用进一步表明,运营商将其用于战略性、高价值目标。
这种雇佣间谍软件的广泛使用,尤其是针对政治反对派,已经引起欧盟等地区的担忧。希腊和波兰的调查已经揭露了间谍软件如何被用来对付反对派人士和记者,这引发了人们对此类监视的合法性和道德性的严重质疑。
防御最佳实践
鉴于 Predator 的再次出现及其基础设施的复杂性,个人和组织必须保持警惕。Insikt Group 概述了几种有助于减轻 Predator 间谍软件渗透风险的防御措施:
-
定期软件更新——让设备保持最新的安全补丁对于减少 Predator 等间谍软件利用的漏洞至关重要。
-
设备重启——定期重启设备可以破坏间谍软件的运行,但可能无法完全消除高级间谍软件。
-
锁定模式——在设备上激活锁定模式可以帮助阻止未经授权的访问和利用尝试。
-
移动设备管理 (MDM) –实施 MDM 系统允许组织管理和保护员工设备,确保他们遵守安全协议。
-
安全意识培训——对员工进行有关鱼叉式网络钓鱼和其他社会工程策略的教育可以降低成为间谍软件攻击受害者的可能性。
这些措施对于担任敏感职务的个人尤其重要,例如在政府、民间社会或企业领导职位任职的个人。
完整技术报告:https://go.recordedfuture.com/hubfs/reports/cta-2024-0905.pdf
链接:
https://www.theregister.com/2024/09/09/predator_spyware_trump_crypto/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):以色列 Predator 间谍软件更新,具有危险的新功能,更难追踪
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论