در قسمت قبل گزارش گوگل در خصوص عرضه کنندگان جاسوس افزارهای تجاری (CSV) ، به تعریف جاسوس افزار و سه تن از قربانیان جاسوس افزار پگاسوس پرداختیم. در ادامه ی بررسی این گزارش، در قسمت دوم، نگاهی به خود عرضه کنندگان جاسوس افزار تجاری (CSV) میندازیم تا یه درکی از اونا داشته باشیم. برای مشاهده سایر قسمتها میتونید از لینکهای زیر استفاده کنید :
- قسمت اول : جاسوس افزارها و قربانیان
- قسمت دوم: درک CSVها
- قسمت سوم: محصولات و کمپین های CSVها
- قسمت چهارم: اقدامات امنیتی
قبل از اینکه ادامه گزارش رو بررسی کنیم ، یسری اصطلاح هست که نیازه برای خوندن ادامه گزارش اونارو بدونیم . این اصطلاحات موارد زیر هستن:
- آسیب پذیری : نقص در یه دستگاه یا برنامه که میتونه برای دسترسی یا اقدامات غیرمجاز در سیستم ، مورد سوء استفاده قرار بگیره.
- Common Vulnerabilities and Exposures (CVE) : یه دیتابیس عمومی از آسیب پذیری های شناخته شده. هر آسیب پذیری شناخته شده یه شناسه منحصر به فرد بصورت CVE-YEAR-NUMBER دریافت میکنه.
- اکسپلویت کردن: فرآیندی که از طریق اون یک آسیب پذیری برای دستیابی به دسترسی بیشتر در یه سیستم استفاده میشه.
- In-the-wild (ITW) : وقتی محققا مشاهده میکنن که یه اکسپلویتی علیه یه دستگاه یا برنامه برای اهداف مخرب ، برخلاف انتشار جزییات و POC، استفاده میشه، از این اصطلاح استفاده میکنن.
- اکسپلویت 0day: اکسپلویتی که از یه آسیب پذیری استفاده میکنه که مدافعان هنوز از وجود اون مطلع نیستن. هیچ اصلاحیه ای براش وجود نداره و آنتی ویروسها نمیتونن اونو تشخیص بدن.
- اکسپلویت Nday: اکسپلویتی که از یه آسیب پذیری شناخته شده، استفاده میکنه.
- اکسپلویت One-click: اکسپلویتی که حداقل به یک تعامل یا کلیک از طرف کاربر نیاز داره، مثلا کلیک روی یه لینک، باز کردن یه فایل مخرب
- اکسپلویت Zero-Click : اکسپلویتی که نیاز به هیچ تعاملی از سمت کاربر نداره.
- زنجیره اکسپلویت : یسری اکسپلویت که برای عبور از سیستم دفاعی یه فناوری ، برای دسترسی کامل به سیستم با هم زنجیر میشن. برای دسترسی کامل مورد نیاز برای نصب جاسوس افزار روی یه دستگاه، زنجیره اکسپلویتها معمولا از سه نوع اکسپلویت : Remote Code Execution (RCE) ، SandBox Escape (SBX) ، Local Privilege Escalation (LPE) استفاده میکنن.
- Remote Code Execution (RCE) : یه نوع اکسپلویت که معمولا در اولین مرحله از زنجیره اکسپلویت قرار میگیره و امکان اجرای کد به رو مهاجم میده. این اجرای کد اولیه ، برای اجرای مراحل بعدی زنجیره اکسپلویت استفاده میشه.
- SandBox Escape (SBX) : یه نوعی از اکسپلویت که دومین مرحله ی زنجیره اکسپلویت هست. اجرای کد اولیه که معمولا توسط یه اکسپلویت RCE بدست میاد، معمولا داخل سندباکس یا محیطی با دسترسی محدود به بقیه دستگاه اجرا میشه. SBX برای خارج شدن از سندباکس و دسترسی بیشتر به دستگاه استفاده میشه.
- Local Privilege Escalation (LPE) : یه نوعی از اکسپلویت که در آخرین مرحله زنجیره اکسپلویت اجرا میشه. بعد از اکسپلویت SBX ، مهاجم نسبت به قبل ، امتیاز بالایی داره اما هنوز امتیاز و دسترسی کامل به دستگاه نداره. LPE یه آسیب پذیری رو برای بدست آوردن امتیاز کامل در دستگاه اکسپلویت میکنه.
صنعت جاسوس افزار: درک عرضه کنندگان جاسوس افزار تجاری (CSV)
CSV ها برنامه های جاسوسی رو بهمراه زیرساخت ارتباطی (C2) و قابلیت مونیتور و جمع آوری داده ها از دستگاه قربانی رو ،به مشتریان دولتیشون میفروشن. برای اینکه بشه این برنامه های جاسوسی رو ، روی دستگاه هدف نصب کرد، CSVها باید یه روش تحویل هم توسعه بدن . یعنی توسعه ی اکسپلویت برای آسیب پذیری ها در دستگاه و برنامه های هدف ،تا امکان دسترسی اولیه به دستگاه رو داشته باشن.
هر مرحله نیاز به تخصص فنی ، درک خاصی از دستگاه و برنامه های کاربر و سرمایه گذاری در توسعه ی زیرساخت و ابزار داره.
CSVها به مشتریان دولتیشون دسترسی آسون به جاسوس افزارها، برای زیر نظر گرفتن یه فرد، در قبال دریافت هزینه رو ارائه میکنن. شرکتهای بخش خصوصی سالهاست که درگیر کشف و فروش اکسپلویتها هستن، اما ارائه جاسوس افزار ، یه پدیده جدیدی هستش. CSVها بصورت فنی و عمیق کار میکنن تا یه ابزار Pay-To-Play توسعه بدن که شامل زنجیره اکسپلویت برای دور زدن سیستم های دفاعی، جاسوس افزار و زیرساخت های لازم برای جمع آوری داده از دستگاه هدف هستش ،تا این کار رو یکجا و آسون در اختیار مشتریان دولتی قرار بدن. مشتریان دولتی که این ابزارهارو خریداری میکنن دوست دارن اطلاعات حساسی مانند پسورد، پیامک، ایمیل ، موقعیت مکانی، تماس های تلفنی و حتی ضبط صدا و تصویر رو داشته باشن. برای بدست آوردن این داده ها، CSVها اغلب این جاسوس افزارهارو برای دستگاههای موبایل ارائه میدن.
گروههای درگیر در صنعت جاسوس افزارهای تجاری:
توسعه ی جاسوس افزار اغلب با کشف یه اکسپلویت شروع میشه و با جمع آوری داده های یه مشتری دولتی از طریق جاسوس افزار نصب شده روی دستگاه هدف، تموم میشه. بطور کلی صنعت CSVها شامل 4 گروه هست:
- محققین کشف آسیب پذیری و توسعه ی اکسپلویت : یکی از منابعی که سیستم عامل ها ، مرورگرها و برنامه های پیام رسان رو برای اکسپلویت کردن ، هدف قرار میدن. این افراد هم میتونن از طریق برنامه باگ بانتی یا کار در قالب تیمهای تدافعی منجر به بهبود امنیت سیستمها بشن و درآمدزایی کنن و یا با فروش آسیب پذیری ها به واسط های 0day و همین CSVها ،منجر به فعال شدن حملات بشن و از این راه کسب درآمد کنن.
- واسطها و تامین کنندگان اکسپلویت : افراد یا شرکتهای که در سراسر جهان، بصورت تخصصی در کار فروش اکسپلویت هستن. اگرچه CSVها ممکنه بخش کشف و توسعه اکسپلویت خودشون رو داشته باشن اما ممکنه از طریق خرید باگ یا اکسپلویت از اشخاص شخص ثالث ، زنجیره اکسپلویتشون رو تکمیل کنن.
- CSVها که با عنوان Private Sector Offensive Actor (PSOA) هم شناخته میشن : این دسته جاسوس افزارهارو به عنوان یه محصول توسعه و می فروشن که شامل مکانیسم تحویل اولیه ، اکسپلویت ، زیرساخت C2 و ابزارهایی برای سازماندهی و مدیریت داده های جمع آوری شده هست.
- مشتریان دولتی : CSVها جاسوس افزارهاشون رو به مشتریان دولتی میفروشن. مشتریان دولتی اهداف خودشون رو انتخاب میکنن، کمپین هایی رو ایجاد میکنن تا این جاسوس افزارهارو تحویل بدن، بعدش جاسوس افزار نصب شده رو مونیتور میکنن و بهش دستور میدن تا داده های دلخواه رو جمع آوری و بهشون ارسال کنه.
در هر مرحله از این فرایند، واسط ها میتونن بعنوان واسط بین فروشندگان ، خریداران، CSVها و مشتریان دولتی عمل کنن.
رویکردهای توسعه ی جاسوس افزارها :
CSVها شرکت های خصوصی فناوری هستن که در سراسر دنیا توزیع شدن. خیلی از اونا بجای اینکه مانند گروه های باج افزاری یا اخاذی بصورت مخفیانه کار کنن، بصورت آشکار فعالیت میکنن. مانند هر شرکت تولید نرم افزاری دیگه، اونا وب سایت، بخش بازاریابی ، تیم های فروش و مهندسی ، بخش فرصت های شغلی ، انتشار مطلب دارن و حتی در کنفرانس ها هم شرکت میکنن.
ارائه تعداد دقیقی از این شرکت ها غیرممکنه ، چون هر ساله یسری شرکت جدید افتتاح میشن و شرکتهای قدیمی هم با نام های جدید ، مجدد راه اندازی میشن. محققای TAG گوگل ، تقریبا 40 شرکت CSV رو شناسایی کردن که در زمینه ی توسعه و فروش اکسپلویت و برنامه های جاسوسی در حال فعالیت هستن.
همانند شرکت نرم افزاری، CSVها رویکردهای متفاوتی برای رقابت در بازار جاسوس افزارها دارن. این شرکت ها برای فروش جاسوس افزارهاشون روابطی رو با مشتریان دولتی ایجاد میکنن و برای ارائه محصولات رقابتی تر روی تخصص ، همکاری یا خرید تکیه میکنن.
در ادامه گزارش، فعالیت های 5 تا از این CSVها رو بررسی کرده.
Cy4Gate و RCS Lab :
Cy4Gate در سال 2014 در ایتالیا تاسیس شد و نرم افزار جاسوسی Epeius رو برای هدف قرار دادن کاربران اندروید و iOS توسعه داد. در دسامبر 2020 ، در یه اطلاعیه ی رسمی، Cy4Gate خودش رو در زمینه ی پلتفرم های Intelligence ، امنیت سایبری و رهگیری قانونی ، برای هر دو مارکت ایتالیا و خارج از ایتالیا معرفی کرد. اطلاعیه همچنین شامل لیست محصولات این شرکت، از جمله جاسوس افزار Epeius بود. در فوریه 2021 ، آنالیز محققای Citizen Lab و Vice Motherboard ، اشاره به سندی داشتن که کاتالوگ محصول Epeius بود و ویژگی های اونو مشخص میکرد. محققای TAG هم جاسوس افزار Epeius رو از طریق 0dayهای اندرویدی (CVE-2023-4211, CVE-2023-33106, CVE-2023-33107) در یه دستگاه آلوده کشف کردن.
در مارس 2022، شرکت Cy4Gate ، شرکت ایتالیایی RCS Lab ،که در سال 1993 تاسیس شده بود، خریداری کرد. RCS Lab در وب سایت خودش اعلام کرده بود که یه راه حل نظارت مخفی قابل اعتماد رو ارائه میده. بعد از خرید، RCS Lab اقدام به فروش جاسوس افزار خودش بنام Hermit کرد که بارها علیه اهداف مختلف ، مورد استفاده قرار گرفت. محققای TAG کمپین های RCS Lab رو در ایتالیا و قزاقستان علیه کاربران اندروید و iOS مشاهده کردن.
با وجود این خرید، RCS Lab و Cy4Gate بصورت مستقل فعالیت میکنن. به نظر دامنه ی مشتری مختلفی دارن و محصولات مختلفی هم به مخاطباشون ارائه میدن.
Intellexa :
Intellexa Alliance که در اصل قبرسی هست اما الان در یونان مستقره، یه نمونه برجسته از همکاری بازیگران مختلف در صنعت CSVهاست. Intellexa مجموعه محصولات نفوذ و جاسوسی خودش رو با ترکیب قابلیت های شرکت های مختلف در یک محصول ارائه میده که منجر به افزایش قابلیت هاش شده. برخی از این شرکتها بعنوان شرکت تابعه توسط Intellexa خریداری شدن و برخی یه همکاری نزدیک در زمینه ی توسعه و ارائه های قابلیت های نظارتی داشتن . Intellexa بارها توسط محققین TAG و International Consortium of Investigative Journalists (ICIJ) گزارش شده.
مشتریان دولتی بجای اینکه با چندین شرکت کوچیک کار کنن، میتونن همه ی این موارد رو در یه بسته ،توسط Intellexa داشته باشن. Tal Dilian در سال 2019 ، Intellexa Alliance رو تاسیس کرد که ترکیبی از شرکتهای Nexa Technologies ، Cytrox ، WiSpear ، Senpai و یسری نهاد ناشناس دیگه بود. ایشون همچنین بنیانگذار شرکت نظارتی Circles Technologies هستن که در سال 2014 فروخته شد و با NSO Group ادغام و Q Cyber Technologies رو تشکیل دادن. Cytrox با محصول جاسوس افزار خودش، Predator ، که دستگاههای اندروید و iOS رو هدف قرار میداد، معروفه. تا آگوست 2020، Intellexa محصول جاسوس افزار خودش رو که اندروید و iOS رو هدف قرار میداد با نام Nova تبلیغ میکرد اما محققین امنیتی و گزارش های عمومی، همچنان دوست دارن این جاسوس افزار رو Predator عنوان کنن. علاوه بر جاسوس افزار Cytrox ، قابلیت هایی مانند رهگیری وای فای و ترافیک شبکه تلفن همراه توسط WiSpear ارائه میشه و قابلیت های OSINT برای جمع آوری اطلاعاتی در خصوص شماره تلفن همراه و نوع دستگاه توسط Senpai Technologies ارائه میشه.
شکل زیر تصویری از وب سایت Intellexa هست .
Negg Group :
Negg Group یه شرکت CSV کوچیک در ایتالیاست که در سال 2013 تاسیس شد. طبق چیزی که تو سایتشون نوشتن، یه شرکت مبتنی بر تحقیقات با تمرکز بر امنیت سایبریه که راه حل های پیشرفته ای رو براساس فناوری هایی که هم نیاز شرکتها رو برآورده میکنه و هم الزامات دولتها رو ، ارائه میکنه.
این شرکت اولین بار، وقتی محققای کسپرسکی یه گزارشی در خصوص جاسوس افزار این شرکت بنام Skygofree منتشر کردن، مورد توجه عموم قرار گرفت. اگرچه اونا در سال 2017، دارای امکانات ویندوزی بودن، جاسوس افزار اونا بنام VBiss عمدتا برای آلوده کردن دستگاههای تلفن همراه از طریق زنجیره اکسپلویتهای One-Click یا drive-by download استفاده میشد. محققای TAG ، لینک های آلوده مرتبط با این شرکت رو مشاهده کردن که برای کاربران ایتالیا، مالزی و قزاقستان ارسال شده.
در طول سالها، این شرکت، با حضور در کنفرانس های بین المللی و گسترش شبکه شرکاء و فروشندگان خودش در خارج از ایتالیا، حضور بین المللیش رو تقویت کرده.
NSO Group :
NSO Group یکی از معروفترین CSVهاست. یه شرکت عرضه کننده جاسوس افزار تجاری مستقر در اسرائیله که Access-as-a-Service رو ارائه میده و اولین بار Citizen Lab ، در سال 2016 جاسوس افزار اینا بنام Pegasus رو افشاء کرد.
در سال 2017 ، گوگل با همکاری شرکت Lookout ، تونست نسخه اندرویدی Pegasus که اون زمان با نام Chrysaor شناخته میشد رو افشاء کنه. هر دو نسخه اندرویدی و iOS الان با نام Pegasus شناخته میشن.
این شرکت ،هم ایمپلنت ها و هم اکسپلویت برای تحویل رو توسعه میده. یه زنجیره اکسپلویت زیروکلیک دارن که پیچیدگی بالایی داره و توسط Citizen Lab در 2021 افشاء شد.
از آغاز سال 2020 ، رسانه های مختلف ، گزارش های مختلفی رو از هدف قرار دادن افراد مختلف از جمله هک روزنامه نگار نیویورک تایمز ، Ben Hubbard ، مدافعان حقوق بشر در بحرین و مراکش ، کارکنان عفو بین الملل و … ، توسط این جاسوس افزار منتشر کردن .
در ژوئن 2023، Hanan Elatr Khashoggi همسر جمال خاشقچی ، روزنامه نگار کشته شده واشنگتن پست، از NSO Group بدلیل هک گوشی همسرش که منجر به قتل ایشون شد، شکایت کرد.
با وجود تحریم های آمریکا و اتحادیه اروپا در سال 2021، NSO Group همچنان فعاله و محصولاتش رو ارائه میده. در سپتامبر 2023 ، محققای Citizen Lab یه زنجیره اکسپلویت زیروکلیک بنام BLASTPASS در iOS کشف کردن که ازش برای تحویل جاسوس افزار Pegasus برای یه فردی که در یه سازمان مدنی کار میکرد، استفاده شده بود. در دسامبر 2023 هم محققای TAG یه اکسپلویت زیروکلیک در کروم با شناسه CVE-2023-7024 رو کشف کردن که توسط یکی از مشتریهای NSO Group استفاده شده بود.
Variston :
Variston یه CSV مستقر در اسپانیاست که به گفته خودشون ارائه دهنده راه حل های اطلاعات امنیتی سفارشی هستن. در سال 2018، این شرکت ، Truel IT که یه شرکت تحقیقات آسیب پذیری در ایتالیاست و در زمینه ی 0day فعالیت میکرد رو خریداری کرد. محققای TAG ، شرکت Variston رو مرتبط با فریمورک اکسپلویتینگ Heliconia میدونن که برای نصب جاسوس افزارها در دستگاه های مختلف استفاده میشه. فریمورک Heliconia اکسپلویت های 0day و Nday ، برای هدف قرار دادن کروم، فایرفاکس، اندروید ، iOS و دیفندر مایکروسافت داره.
Variston با چندین شرکت دیگه برای توسعه و ارائه ی جاسوس افزارها همکاری میکنه. Protected AE که با نام Protect Electronic Systems هم شناخته میشه، یه شرکت امنیت سایبری و فارنزیک هستش که جاسوس افزارهای توسعه داده خودش رو با فریمورک و زیرساخت Heliconia ادغام میکنه تا بعنوان یه بسته کامل بتونه در اختیار واسط محلی یا مشتری دولتی قرار بده.
Variston توسط Ralf Wegener و Ramanan Jayaraman که Protected AE رو هم مدیریت میکنن، تاسیس شده. در جولای 2023، Intelligence Online گزارش داد که Variston در ماه های اخیر، به تدریج با Beacon Red، زیرمجموعه سایبری شرکت دفاعی دولتی Edge Group، همکاری کرده و با موفقیت ایمپلنت های سایبری خودش رو در امارات متحده عربی ایجاد کرد.
برای اینکه حجم پست خیلی زیاد و حوصله سر بر نشه، ادامه گزارش رو میتونید از طریق لینک های زیر مطالعه کنید:
- قسمت اول : جاسوس افزارها و قربانیان
- قسمت دوم: درک CSVها
- قسمت سوم: محصولات و کمپین های CSVها
- قسمت چهارم: اقدامات امنیتی
گزارش 50 صفحه ای گوگل رو هم میتونید از این لینک یا از کانالمون دریافت کنید.