جاسوس‌افزار جدید خطرناک آیفون «شکارچی» توسط Citizen Lab کشف شد ⋆

اگرچه اخیراً جاسوس‌افزار Pegasus گروه NSO بیشتر مورد توجه قرار گرفته است، همانطور که اخیراً محققان سایبری در دانشگاه تورنتو Citizen Lab کشف کرده‌اند، این تنها تهدید بزرگ نیست.

NSO Group، شرکت اسرائیلی پشتیبان Pegasus، اخیراً خود را هدف اقدام قانونی اپل در تلاش برای از بین بردن توانایی خود در انجام حملات علیه کاربران آیفون یافت. اپل حتی تا آنجا پیش رفته است که به افرادی که معتقد است توسط نرم افزارهای جاسوسی تحت حمایت دولتی مانند Pegasus هدف قرار گرفته اند، اطلاع داده است که منجر به افشای جالبی در مورد میزان فراگیر و موذی بودن این جاسوس افزار شده است.

مهم است که به خاطر داشته باشید، فقط به این دلیل که Pegasus همه توجه را به خود جلب می کند، به این معنی نیست که دیگر ابزارهای جاسوسی تحت حمایت دولت وجود ندارند که به همان اندازه بد نباشند – یا حتی بدتر از آن.

در واقع، تحقیقات جدید Citizen Lab نشان می‌دهد که نه تنها حداقل یک تهدید بزرگ دیگر وجود دارد – یک قطعه جاسوس‌افزار دیگر که به نام "Predator" شناخته می‌شود – بلکه برخی از آیفون‌ها واقعاً این تهدید را دارند. خود را "دوبرابر" توسط نسخه‌های Pegasus و Predator که توسط سازمان‌های دولتی مختلف مستقر شده بودند، آلوده کردند.

در یک گزارش تحقیقاتی جدید که دیروز منتشر شد، محققان Citizen Lab کشف خود را از جاسوس افزار جدید Predator به اشتراک گذاشتند که برای اولین بار در دو آیفون متعلق به دو مخالف مصری یافت شد.

برجسته ترین آنها ایمن نور بود، سیاستمداری که شهامت تلاش برای شرکت در انتخابات را در برابر رئیس جمهور فعلی مصر در سال 2005 داشت. نور چهار سال را به اتهامات مشکوک در زندان گذراند و بعداً در سال 2013 مجبور به تبعید شد. او اکنون در ترکیه زندگی می کند، جایی که همچنان منتقد سرسخت چیزی است که از آن به عنوان "رژیم نظامی سرکوبگر مصر" یاد می کند.

با این حال، هشت سال بعد، به نظر می‌رسد که نور همچنان تحت نظر است، زیرا Citizen Lab متوجه شد که او هر دو Pegasus و Predator را در آیفون خود دارد – که توسط دو مشتری مختلف دولتی اداره می‌شوند.

طبق گزارش Citizen Lab، نور و یک مصری دیگر – یک روزنامه‌نگار تبعیدی که خواستار ناشناس ماندن شده است – در ژوئن 2021 با Predator هک شدند. هر دو iOS 14.6 را اجرا می‌کردند که آخرین نسخه در دسترس عموم در آن زمان بود. این نرم افزار جاسوسی از طریق پیوندهای تک کلیکی ارسال شده از طریق واتس اپ تحویل داده شد.

نرم‌افزار جاسوسی Predator توسط Cytrox، یک توسعه‌دهنده نرم‌افزارهای جاسوسی مزدور کوچک ساخته و فروخته می‌شود که کمتر کسی حتی نامش را شنیده است. طبق گزارش ها، این بخشی از اتحاد Intellexa است که به عنوان یک فروشگاه یک مرحله ای برای نرم افزارهای جاسوسی دولتی توصیف شده است. Intellexa به عنوان رقیب اصلی NSO Group در نظر گرفته می‌شود و خود را «مستقر در اتحادیه اروپا و تحت نظارت، با شش سایت و آزمایشگاه تحقیق و توسعه در سراسر اروپا» توصیف می‌کند.

Cytrox در سال 2017 در مقدونیه شمالی به وجود آمد، اگرچه به نظر می رسد که از آن زمان به اسرائیل و مجارستان گسترش یافته است، جایی که Citizen Lab گزارش می دهد که تحت نام های مختلف برای پنهان کردن ارتباطات خود فعالیت می کند.

پس از اسکن سرورهای جاسوس‌افزار Predator، Citizen Lab مشتریان احتمالی را در ارمنستان، مصر، یونان، اندونزی، ماداگاسکار، عمان، عربستان سعودی و صربستان پیدا کرد.

Pegasus و Predator Living in Harmony

محققان موفق شدند گزارش هایی را از آیفون نور بدست آورند که نشان می داد در 22 ژوئن 2021، Pegasus و Predator به طور همزمان در حال اجرا بودند.

"گزارش های تلفن نشان می دهد که دستگاه در 22 ژوئن در ساعت 13:26 به وقت گرینویچ به Pegasus آلوده شده است. تعدادی از پوشه‌های Library/SMS/Atachments بین ساعت 13:17 تا 13:21 ایجاد شد و هیچ ورودی در جدول پیوست‌های فایل sms.db برای 22 ژوئن وجود نداشت، که نشان می‌دهد ممکن است یک سوء استفاده با کلیک صفر انجام شده باشد. وکتور نصب پگاسوس تقریباً یک ساعت بعد، یک لینک Predator که به نور در واتس‌اپ ارسال شده بود در ساعت 14:33 به وقت گرینویچ در همان روز در سافاری باز شد و Predator دو دقیقه بعد در ساعت 14:35 به وقت گرینویچ بر روی دستگاه نصب شد.

تنها خبر خوب در اینجا این است که به نظر نمی رسد Predator بتواند از یک سوء استفاده با کلیک صفر استفاده کند — حداقل هنوز. برای هر دو هدف پیوندهایی از طریق واتس اپ ارسال شد که احتمالاً برای باز کردن در سافاری روی آن ضربه زده اند.

این گزارش مشخص نمی‌کند که پیوند به نور از کجا می‌آمد، اما اشاره می‌کند که هدف دیگر – که به عنوان «یک روزنامه‌نگار مصری ساکن در تبعید و مجری یک برنامه خبری محبوب» توصیف می‌شود- فریب خورده است که معتقد است که آنها چیزی از دستیار سردبیر روزنامه المصری الیوم دریافت می کردند.

در مورد نور، یک شماره مصری در واتس اپ که ادعا می کند «دکتر. رانیا شهاب، چهار پیوند جداگانه به دامنه های پنهان شده تحت کنترل Predator به عنوان تصاویر حاوی URL ارسال کرد. به نظر می رسد متن در تصاویر حاوی عناوینی است که احتمالاً نور را تشویق می کند تا روی آنها کلیک کند. به عنوان مثال، در یکی از این تیترها آمده بود: «ترکیه از کانال‌های مخالف مصر می‌خواهد از انتقاد از مصر دست بردارند و قاهره در این مورد اظهار نظر می‌کند».

هدف دیگر – توصیف شده به عنوان "یک روزنامه نگار مصری که در تبعید زندگی می کند و مجری یک برنامه خبری محبوب است" – فریب خورده بود که آنها چیزی را از دستیار سردبیر در المصری الیوم دریافت می کنند. روزنامه.

تا کنون، به نظر می رسد Predator به طور قابل توجهی کمتر از Pegasus پیچیده است. هدف نه تنها برای آلوده شدن به پیوند نیاز به کلیک بر روی پیوند دارد، بلکه به برنامه میانبرهای iOS نیز متکی است تا پس از راه‌اندازی مجدد ادامه یابد.

Citizen Lab دریافت که لودر یک خودکار میانبرهای iOS را دانلود و نصب می‌کند که با باز شدن برنامه‌های خاص فعال می‌شود، از جمله App Store داخلی اپل، دوربین، ایمیل، نقشه‌ها، و سافاری، به علاوه سوم برنامه های مهمانی مانند Twitter، Instagram، Facebook Messenger، LinkedIn، Skype، Snapchat، Viber، Wire، TikTok، Line، OpenVPN، WhatsApp، Signal و Telegram.

جالب اینجاست که محموله دائمی در داخل به عنوان «ناهوم» نامیده می شود، که نام یک پیامبر کوچک کتاب مقدس در سنت یهودی و مسیحی است که نابودی شهر قلعه قدرتمند نینوا را پیشگویی کرده است.

Predator همچنین یک نمایه iOS را دانلود می‌کند که به طور خاص برای غیرفعال کردن اعلان‌ها در سطح جهانی هنگام اجرای میانبر طراحی شده است و به Predator اجازه می‌دهد بدون اینکه کاربر از آن آگاه باشد، خود را دوباره بارگیری کند.

البته، از آنجایی که Predator به یک میانبر متکی است، به خوبی پنهان نیست. تشخیص آن با یک سفر سریع به برنامه Shortcuts بسیار آسان است، اگرچه احتمالاً می توان گفت که بسیاری از کاربران آیفون حتی نمی دانند برنامه Shortcuts وجود دارد، حتی کمتر از اینکه با آن چه کاری انجام دهند.

هدف قرار دادن یک فرد با Pegasus و Predator نشان می دهد که عمل هک کردن جامعه مدنی فراتر از هر شرکت نرم افزار جاسوسی مزدور خاص است. در عوض، این الگویی است که ما انتظار داریم تا زمانی که دولت های مستبد قادر به دستیابی به فناوری پیشرفته هک باشند، ادامه خواهد داشت. فقدان مقررات و پادمان‌های بین‌المللی و داخلی، روزنامه‌نگاران، مدافعان حقوق بشر و گروه‌های مخالف تا آینده قابل پیش‌بینی هک خواهند شد.Citizen Lab

گزارش Citizen Lab نکته جالب دیگری را به اشتراک می‌گذارد که نشان می‌دهد چگونه خاموش کردن NSO Group و Pegasus نمی‌تواند مشکل بزرگ‌تر نرم‌افزارهای جاسوسی تحت حمایت دولت را حل کند.

محققان کشف کردند که یک آدرس IP در عربستان سعودی در اواخر ماه جولای شروع به تطبیق با اثر انگشت Predator کرد که نشان می‌دهد Cytrox مشتری جدیدی پیدا کرده است. احتمالاً تصادفی نیست که این اتفاق درست پس از آن رخ داد که گروه NSO بنا بر گزارش‌ها روابط خود را با دولت سعودی پس از کشف Citizen Lab در اواخر سال 2020 مبنی بر اینکه از پگاسوس برای جاسوسی از خبرنگاران الجزیره استفاده کرده بود، رخ داد.

Dealing with Cytrox and Predator

Citizen Lab خاطرنشان می کند که تمام یافته های خود را با اپل به اشتراک گذاشته است، که تأیید کرده بود در حال بررسی وضعیت است.

از آنجایی که واتس اپ نیز برای تحویل بارهای Predator استفاده می شد، Citizen Lab نیز جزئیات را با متا (به نام فیس بوک) به اشتراک گذاشت، که اعلام کرده است که اقدامات اجرایی علیه Cytrox انجام خواهد داد، از جمله حذف تقریباً 300 حساب فیس بوک و اینستاگرام به این شرکت مرتبط شده اند.