Hatékony kémprogramok új „Wating Hole” támadásokat tesznek lehetővé

A feltételezett orosz hackerek egy sor webhelyet kompromittáltak, hogy olyan kifinomult kémprogramokat alkalmazzanak, amelyek kísértetiesen hasonlítanak az NSO Group és az Intellexa által készítettekhez.

Az elmúlt években az elit kereskedelmi kémprogram-szállítók, mint például az Intellexa és az NSO Group, egy sor hatékony hackereszközt fejlesztettek ki, amelyek a ritka és javítatlan „zero-day” szoftverek sebezhetőségeit használják ki az áldozatok eszközeinek veszélyeztetésére. És egyre inkább a világ kormányai váltak ezen eszközök elsődleges vásárlóivá , veszélyeztetve az ellenzéki vezetők, újságírók, aktivisták, ügyvédek és mások okostelefonjait. Csütörtökön azonban a Google Fenyegetéselemző Csoportja egy sor újabb hackerkampányról tesz közzé megállapításokat – amelyeket látszólag a hírhedt orosz APT29 Cozy Bear banda hajt végre –, amelyekben az Intellexa és az NSO Group által kifejlesztettekhez nagyon hasonló támadásokat építenek be a folyamatban lévő kémtevékenységbe.

2023 novembere és 2024 júliusa között a támadók feltörték a mongol kormányzati webhelyeket, és a hozzáférést „Wating Hole” támadásokra használták fel , amelyek során mindenkit feltörnek, akinek sebezhető eszköze van, és megnéz egy feltört webhelyet. A támadók úgy hozták létre a rosszindulatú infrastruktúrát, hogy olyan exploitokat használjanak, amelyek „azonosak vagy feltűnően hasonlítottak az Intellexa és az NSO Group kereskedelmi felügyeleti szolgáltatók által korábban használt exploitokhoz” – írta csütörtökön a Google TAG. A kutatók azt mondják, hogy „mérsékelt magabiztossággal értékelik”, hogy a kampányokat az APT29 végezte.

Ezek a spyware-szerű hackereszközök kihasználták az Apple iOS és a Google Android rendszerének sebezhetőségeit, amelyeket nagyrészt már javítottak. Eredetileg a kémprogram-gyártók nem javított, „zero-day” exploitként telepítették őket, de ebben az iterációban a feltételezett orosz hackerek olyan eszközöket céloztak meg velük, amelyeken nem frissítettek ezekkel a javításokkal.

„Bár bizonytalanok vagyunk, hogy a feltételezett APT29 szereplők hogyan szerezték meg ezeket a eszközöket, kutatásunk rávilágít arra, hogy az elsőként a kereskedelmi megfigyelőipar által kifejlesztett szoftverek, milyen mértékben terjednek el a veszélyes körökben” – írták a TAG kutatói. „Ezen túlmenően a „Wating Hole” támadások továbbra is fenyegetést jelentenek, ahol kifinomult eszközökkel lehet célozni azokat, akik rendszeresen látogatnak webhelyekre, beleértve a mobileszközöket is. Az biztonsági rések továbbra is hatékony eszközt jelenthetnek… tömeges célzásra egy olyan populáció számára, amely még mindig nem javított böngészőket futtat.”

Lehetséges, hogy a hackerek megvásárolták és adaptálták a spyware exploitokat, vagy ellopták vagy kiszivárogtatás útján szerezték meg azokat. Az is lehetséges, hogy a hackereket kereskedelmi áldozatok adatai inspirálták, és a fertőzött eszközök vizsgálatával visszafejtették őket.

„Az NSO nem adja el termékeit Oroszországnak” – mondta Gil Lainer, az NSO-csoportok globális kommunikációért felelős alelnöke a WIRED-nek adott nyilatkozatában. „Technológiáinkat kizárólag ellenőrzött amerikai és izraeli szövetséges hírszerzési és bűnüldöző szervek részére értékesítjük. A technológiák rendkívül biztonságosak, és folyamatosan figyelik őket a külső fenyegetések észlelése és semlegesítése érdekében.”

2023 novembere és 2024 februárja között a hackerek olyan iOS és Safari exploitot használtak, amely technikailag megegyezett azzal az ajánlattal, amelyet az Intellexa néhány hónappal korábban, foltozatlan „zero-day” napon 2023 szeptemberében debütált. 2024 júliusában a hackerek is használtak egy Chrome-exploit, amelyet az NSO Group egyik eszközéből adaptáltak, amely először 2024 májusában jelent meg. Ez utóbbi hackereszközt egy olyan megoldással kombinálva használták, amely erős hasonlóságot mutatott egy 2021 szeptemberében debütált Intellexával.

Amikor a támadók kihasználják a már kijavított sebezhetőségeket, a tevékenységet „n-day exploitation” néven ismerik, mivel a sérülékenység továbbra is fennáll, és az idő múlásával visszaélhet vele a nem javított eszközökön. A feltételezett orosz hackerek a kereskedelmi kémprogramokat a szomszédos eszközökbe építették be, de általános kampányaikat – beleértve a rosszindulatú programok kézbesítését és a feltört eszközökön végzett tevékenységet is – másképpen építették fel, mint a tipikus kereskedelmi kémprogram-ügyfelek. Ez a folyékonyság és a technikai jártasság szintjét jelzi, amely egy megalapozott és jó forrásokkal rendelkező, államilag támogatott hackercsoportra jellemző.

„A támadók a támadások minden egyes iterációjában olyan exploitokat használtak, amelyek megegyeztek vagy feltűnően hasonlítottak a [kereskedelmi megfigyelési szállítók], az Intellexa és az NSO Group exploitjaihoz” – írta a TAG. „Nem tudjuk, hogyan szerezték meg a támadók ezeket a támadásokat. Egyértelmű, hogy az APT szereplői olyan n-napos exploitokat használnak, amelyeket a CSV-k eredetileg „zero-day” -ként használtak.”

Intellexa – Magyarországi szála is van a kémprogramos megfigyelési ügynek

A Facebook anyacége, a Meta és a Citizan Lab legújabb felmérése szerint legalább 50 ezer mobiltelefont törtek fel vagy gyűjtöttek azokról adatokat kémprogramokkal. Ebből az egyik érintett cég a Cytrox, amelyet észak-macedóniai hátterűnek írnak le, de az egyik központja Budapesten működik, mögötte egy Brit-Virgin-szigeteken bejegyzett társaságon keresztül izraeli befektetők tűnnek fel.

„Uniós székhelyű és szabályozott vállalat vagyunk, hat telephellyel és K+F-laboratóriummal Európa-szerte. Vezetői csapatunk több mint 40 éves tapasztalattal rendelkezik a hírszerzés területén, ami lehetővé teszi a vállalat számára, hogy a legkorszerűbb saját technológiákat fejlessze ki”

  • ez a szöveg fogadta azokat a látogatókat, akik felkeresték az Intellexa nevű társaság honlapját és egy hírszerzési eszköz iránt érdeklődtek. A szolgáltatást Nebula néven reklámozták, amelyet egy „holisztikus” kémkedési és elemzési platformként írnak le. Azonban minden bizonnyal ez egy másik program kezelőfelülete, a Predatoré lehetett, amely hasonlóan az izraeli NSO Group által fejlesztett Pegasushoz, képes volt a telefonokat lehallgatóeszközökké átalakítani.

A Facebook anyavállalata, a Meta és egy kanadai székhelyű kiberbiztonsági civil szervezet kutatása szerint ennek fejlesztője a Cytrox volt. A társaság – mint arra a fenti beköszönő szövegben utaltak – rendelkezik EU-s telephelyekkel is, ebből pedig egy Budapesten működött.

Noha a Facebook a jelentésében Észak-Macedóniába teszi a társaság székhelyét, egyáltalán nem biztos, hogy valóban ott is működött. Izraelben, Hollandiában, Franciaországban, Cipruson és Magyarországon is vannak kapcsolódási pontok. Több jel is arra utal, hogy a magyar telephely lehet az Intellexa nevű csoport egyik utolsó működő társasága, ahogy azt alább részletesen bemutatjuk.

Egy hóbortos zseni

„Ismerje meg Tal Diliant, a kibermegfigyelés gyakran homályos világának egyik legrégebbi szereplőjét. A volt izraeli hírszerző tiszt most megmutatja nekünk egyik új játékszerét, egy 9 millió dolláros furgont, amely tele van NSA-szintű megfigyelő felszereléssel, és állítása szerint képes feltörni egy okostelefont és az összes benne lévő üzenetet kikémlelni”

  • így kezdődik a Forbes magazin által 2019 augusztusában forgatott videó, amelyben bemutatják, hogyan lehet másodpercek alatt feltörni egy okostelefont, annak kameráját és mikrofonját úgy kezelni, hogy azt a felhasználó észre se vegye. Dilian ismert figurája volt a kiberkémkedési piacnak, egy időben ezredesi rangban szolgált az Izraeli Védelmi Erők rettegett informatikai osztagánál, a 81-eseknél. Majd visszavonulva az üzleti világ felé fordult.

Az általa bemutatott feltörési módszer és eszközök részben saját fejlesztésűek voltak, részben egy Cytrox nevű észak-macedón cég készítette őket. A társaság már majdnem bedőlt, amikor Dilian egyszer megjelent – több befektetőt képviselve -, hogy 5 millió dollárral beindítsa az üzletet.

A Forbes adásában Dilian cégére WiSpear néven hivatkoztak, de a Citizen Lab kutatása szerint ezt átnevezték Passitora Ltd.-re és a ciprusi Limassolban székel, a beszámolók szerint ez a társaság vásárolta fel az eredeti macedón Cytroxot. Dilian a Circles, egy kiemelkedő cellahálózati felügyeleti vállalat alapítójaként is ismert. A Citizen Lab 2020 decemberében közzétett egy vizsgálatot a Circles kormányzati ügyfeleiről, eszerint az egykori izraeli hírszerző az Intellexa alapítója és vezérigazgatója is.

A kusza háló
A cégnyilvántartások alapján létezik egy Intellexa Görögországban (Intellexa S.A.), valamint Írországban (Intellexa Limited) is. Mindegyiket Sara-Aleksandra Fayssal Hamou (vagy Sara Hamou) érdekeltségeként jegyezték be, aki Dilian második felesége.

Viszont a Cytrox és az Intellexa kapcsolata homályos: az izraeli cégnyilvántartásban létezik egy Cytrox EMEA Ltd., amelyet később Balinese Ltd.-re kereszteltek át (Izrael), ennek tulajdonosa pedig a Brit Virgin-szigeteken bejegyzett Aliada Group. Úgy tűnik, hogy a részvényátruházást megelőzően a Cytrox Holdings Zrt. volt a Cytrox EMEA Ltd./Balinese Ltd./Balinese egyedüli részvényese, és úgy tűnik, hogy a részvényátruházást követően is a Cytrox Software Ltd./Peterbald egyedüli részvényese maradt.

Egy izraeli bírósági ügy mutat rá a kapcsolatra a Cytrox és az Intellexa között: Avi Rubinstein, egy high-tech vállalkozó pert indított Dilian ellen a Tel Aviv-i Kerületi Bíróságon. A Haaretz szerint az Aliada Group Inc. a perben „kiberfegyverekkel foglalkozó cégcsoportként van leírva, amelynek termékeit Intellexa néven forgalmazzák.” A CitizenLab viszont a társaság tulajdonosait nem tudta beazonosítani.

A Napi.hu megtalálta az Aliada Group Inc. hiteles cégkivonatát, amelyből kiderül, hogy a cégnek több részvényese is van, és ezek valóban átfedéseket mutatnak az Intellexa tulajdonosaival.

A legnagyobb részvényes a Mivtah Shamir Technologies nevű izraeli cég, amelynek anyavállalatát még a tőzsdén is jegyzik, ezt követi a Shuki Ltd. nevű társaság, majd a Noleum Holdings Partners LP. Továbbá érintett benne még két magánszemély: Yaniv Rogers és Mushe Salhuv, akiket bizalmi vagyonkezelőként az Altshuler Shaham Trusts Ltd. képviseli.

A cég igazgatói között három szereplő van: Tal Jonathan Dilian, a Mivtah Shamir Technologies és a Castinental Ltd. nevű ciprusi cég.

A magyar cég még működik
Bár tavaly óta nem adott le beszámolót, több jel is arra utal, hogy a Cytrox Holding Zrt. magyar cég működik még: a Nemzeti Adó- és Vámhivatal 2020. március 26-án kezdeményezte a végelszámolását, idén szeptemberben mégis megváltoztatták a tulajdoni struktúrát, és 2021. március végi cégpapírokkal igazolták a változásokat. Valamint a számlaszámuk a mai napig aktív.

A fent említett Avraham Rubenstein 2020. február 18-ig tagja volt a magyar cégnek, tehát vélhetően, ha ő hivatkozott arra, hogy az Intellax nevén szolgáltatnak termékeket, akkor azzal pozíciójából adódóan tisztában volt.

Kapcsolódó
Komoly bajban a Pegasus gyártója, könnyen lehet, hogy eladják

A Pegasus kémszoftver után lebukott a Predator is, tízezreket figyeltek meg
A Citizen Lab szerint a legtöbb európai központja a csoportnak már nem működhet annak függvényében, hogy az Intellexa ismert társvállalatai közül többet már leállítottak az uniós országok hatóságai. Például 2021 júniusában az Amesys és a Nexa Technologies vezetői ellen vádat emeltek egy párizsi bíróságon emberiesség elleni bűncselekményekkel és háborús bűncselekményekkel foglalkozó részlegének vizsgálóbírói a líbiai és egyiptomi kormányoknak történő termékértékesítés révén elkövetett kínzásban való bűnrészesség miatt

Cipruson eljárás indult Dilian ellen, ami miatt el is hagyta az országot. Míg a holland Inpedio – amely egyszerre kapott befektetést a budapesti Cytrox Holdinggal az Israel Aerospace Industries (IAI) cégtől – nem mutat már életjeleket.

A kapcsolódó cégek közül így jó eséllyel csak a magyar, a görög és az ír részlegek működhetnek a hirdetésben szereplő 6 Európai Unióban lévő telephelyből. De a budapesti központ tényleges helye kérdéses: a jelenlegi címe egy székhelyszolgáltatóé a belvárosban.

Már a Pegasus-botrányban előkerült a nevük
Tompos Márton, a Momentum szóvivője és Korrupcióvadász munkacsoportjának vezetője már idén júliusban, amikor a Pegasus-ügy kirobbant, megnevezte az izraeli üzletembert, valamint egy másik szoftvert, a Candirut. Jelezte, hogy Dilian korábbi érdekeltsége bekerült az NSO Group alá.
A Predator űzött vad lett
A Citizen Lab elsőként egy olyan telefonon azonosította a Predatort, amelyen egyébként rajta volt a híresebb Pegasus is. Ajman Núr az Egyiptomi Nemzeti Erők Uniója nevű politikai ellenzéki csoport elnökének a készülékén pont úgy találták meg, hogy az NSO Group által gyártott program nyomait keresték, ekkor feltűnt két parancssor is az üldözött politikus iPhone-jának naplófájljában.

Az iPhone-naplók vizsgálata során megállapították, hogy 2021. június 30-án két „/Payload2” parancs futott a telefonon (PID 339 és 1272), és hogy ezeket a parancsokat egyetlen argumentummal indították el, egy URL-címmel a distedc[.]com-on. A parancsok root felhasználóként futottak, vagyis a felhasználó észre sem vette ezek futtatását. Ezeket visszakövetve megállapították, hogy a Predator egyébként bujkál: csak a célszemély eszközét engedi fel a megfigyelési felületre, ha más eszközről próbálkoznak, akkor a https://duckduckgo.com internetes keresőre irányít át.

A kutatók ezt kijátszva eljutottak 28 host-ig, amelyek közül az egyik egy észak-macedóniai IP-cím volt. Utóbbi pedig a Cytrox.com domainhez tartozott. Itt találták meg a cég vezérigazgatójához köthető emailcímet is. (A magyar cégadatbázisban egyébként egy ugyanilyen formátumú kapcsolattartási elérhetőséget adtak meg.)

A káros kód elindítását vagy az eredetihez hasonló linkeknek álcázták, vagy telefonszámként jelentek meg egy szöveges üzenetben. Bár ez fejletlenebb megoldás, mint a Pegasus technikája, ahol a felhasználó beavatkozására egyáltalán nincs szükség, a Predator esetében sem kizárható, hogy van érzékelhetetlen indítási folyamata, ha már arra figyeltek a fejlesztők, hogy például csak 9 százalékos akkumulátor töltöttség felett töltsön be.

A Facebook több mint 300 olyan Instagram-, Facebook- és WhatsApp-fiókot tiltott le, ahol azonosították az áldomaineket, vagy érzékelték a káros kódokra mutató linkeket. A Meta által közzétett lista szerint nem használták magyar célpontok ellen.