Meta fjerner kontoer til spionvareselskapet Cytrox etter Citizen Lab-rapporten om statlige hacks

0
173

Jonathan GreigSkrevet av Jonathan Greig, Staff Writer Jonathan Greig Jonathan Greig Staff Writer

Jonathan Greig er en journalist basert i New York City.

Full Bio 16. desember 2021 | Emne: Sikkerhet

Citizen Lab har gitt ut en ny rapport som fremhever utstrakt bruk av myndighetene av “Predator”-spionprogrammet fra den nordmakedonske utvikleren Cytrox.

Forskere fant at Predator ble brukt til å angripe to personer i juni 2021. Spionprogrammet “kunne infisere den da nyeste versjonen (14.6) av Apples iOS-operativsystem ved å bruke enkeltklikk-lenker sendt via WhatsApp,” ifølge Citizen Lab.

Forskerne la til at Predator vedvarer etter omstart med iOS-automatiseringsfunksjonen. Apple svarte ikke på forespørsler om kommentarer om spyware, men Citizen Lab sa at de har blitt varslet og undersøker problemet.

Fordi WhatsApp er involvert, fortalte Citizen Lab også Meta om Predators handling. Meta kunngjorde at de tar håndhevelsestiltak mot Cytrox og fjerner omtrent 300 Facebook- og Instagram-kontoer knyttet til spionvareselskapet.

Sikkerhetsteamet hos Meta fant “en omfattende liste over domener som ligner på utseendet som brukes som en del av sosial ingeniørkunst og malware-angrep.”

“Meta-rapporten sier at de mener Cytrox-kunder inkluderer enheter i Egypt, Armenia, Hellas, Saudi-Arabia, Oman, Colombia, Elfenbenskysten, Vietnam, Filippinene og Tyskland, og at de identifiserte ytterligere misbrukende målretting initiert av Cytrox-kunder rundt verden,” forklarte Citizen Lab.

Meta tok også ned kontoer knyttet til seks andre cyberovervåkingsfirmaer, inkludert Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX og et navngitt selskap fra Kina. Metas rapport sa at selskapene opprettet mer enn 1500 falske kontoer som var målrettet mot 50 000 brukere i minst 100 land.

Den eksil egyptiske politikeren Ayman Nour var en av de to som hadde enheter infisert med Predator, og Citizen Lab bemerket at telefonen hans også var infisert med Pegasus, den overskriftsfengende spionvaren fra det urolige spionvareselskapet NSO Group. Citizen Lab sa at to forskjellige regjeringer spionerte på Nour samtidig i deler av 2021. 

Citizen Labs rapporter om Pegasus og NSO Group har skapt internasjonal forargelse og ført til globale samtaler om spredningen av kraftig spionvare. NSO Group ble svartelistet av den amerikanske regjeringen forrige måned og sto denne uken overfor krav om enda strengere sanksjoner.

Cytrox er ifølge rapporten en del av NSO Group-rivalen Intellexa, som er basert i EU. Selskapet ble kjøpt i 2018 av det israelske firmaet WiSpear, fant Citizen Lab.

Gjennom skanning etter Predator spyware-servere fant Citizen Lab-forskere “sannsynlige” kunder i Armenia, Egypt, Hellas, Indonesia, Madagaskar, Oman, Saudi-Arabia og Serbia.

“Vi bekreftet hackingen av enhetene til to personer med Cytrox's Predator-spyware: Ayman Nour, et medlem av den egyptiske politiske opposisjonen som bor i eksil i Tyrkia, og en egyptisk eksiljournalist som er vert for et populært nyhetsprogram og ønsker å være anonym.” Citizen Lab forklarte.

«Nour ble først mistenksom etter å ha observert at iPhonen hans «var i ferd med å bli varm». Vi fikk vite om Nours sak og gjennomgikk logger fra telefonen hans. Vi tilskriver angrepene på de to målene den egyptiske regjeringen med middels høy selvtillit. Vi gjennomførte skanning som identifiserte den egyptiske regjeringen som en Cytrox Predator-kunde, nettsteder som ble brukt i hackene til de to målene hadde egyptiske temaer, og meldingene som startet hacket ble sendt fra egyptiske WhatsApp-numre.”

Ytterligere undersøkelser av Nours telefon avslørte at han hadde blitt hacket med Pegasus i mars 2021 og det var et nytt forsøk å hacke telefonen sin i juni 2021 ved å bruke NSO Groups FORCEDENTRY-utnyttelse.

“Denne rapporten er den første etterforskningen som oppdager at Cytrox' leiesoldatsspyware blir misbrukt for å målrette mot sivilsamfunnet. NSO Group har fått overdimensjonert publisitet de siste årene, takket være en voksende kundeliste, stadig økende misbruksproblemer og banebrytende etterforskningsarbeid fra sivilsamfunnet,” Citizen sa Lab.

“Cytrox og dets Predator-spyware er i mellomtiden relativt ukjent. Målrettingen av et enkelt individ med både Pegasus og Predator understreker at praksisen med å hacke sivilsamfunnet overgår ethvert spesifikt leiesoldatspywareselskap. I stedet er det et mønster som vi forventer vil vedvare. så lenge autokratiske regjeringer er i stand til å skaffe sofistikert hackingteknologi. Fraværende internasjonale og nasjonale reguleringer og sikkerhetstiltak vil journalister, menneskerettighetsforkjempere og opposisjonsgrupper fortsette å bli hacket inn i overskuelig fremtid.”

må leses

Hvordan finne og fjerne spyware fra telefonen din

Hvordan finne og fjerne spionprogrammer fra telefonen din

Overvåking er ikke bare nasjonalstatenes ansvarsområde og offentlige etater — noen ganger er det nærmere hjemmet.

Les mer

Apple | Sikkerhets-TV | Databehandling | CXO | Datasentre