Son iki yılda sürekli uluslararası baskı, yaptırım ve kamu maruziyetine rağmen, sofistike Predator mobil casus yazılımları, birden fazla kıtadaki operasyonları sürdürürken algılamadan kaçınmaya ve uyarlamaya devam ederek dikkate değer bir esneklik göstermiştir.
Başlangıçta Cytrox tarafından geliştirilen ve şimdi Intellexa Alliance altında işletilen paralı casus yazılımları, en az 2019’dan beri aktif ve ticari gözetim manzarasındaki en kalıcı tehditlerden birini temsil ediyor.
Predator’un saldırı metodolojisi, hem “1 tıklama” hem de “sıfır-tıkaç” vektörlerini kapsar, bu da politikacılar, şirket yöneticileri ve sivil toplum aktivistleri de dahil olmak üzere yüksek değerli hedefler için özellikle tehlikeli hale getirir.
.png
)
1 tıklamalı saldırılar, minimum kullanıcı etkileşimi gerektiren kötü niyetli bağlantılar içeren sofistike sosyal mühendislik mesajlarına dayanırken, sıfır-gösteriş saldırıları ağ enjeksiyonunu veya hedeften hiçbir işlem gerektirmeyen yakınlık tabanlı yöntemleri kullanır.
Başarılı bir şekilde dağıtıldıktan sonra, Predator, bir cihazın mikrofonuna, kamerasına ve kurbanın farkındalığı olmadan çalışan kişiler, mesajlar, fotoğraflar ve videolar dahil olmak üzere tüm depolanmış verilere tam erişim sağlar.
Kaydedilen gelecek analistler, son zamanlarda yırtıcı ile ilgili faaliyetlerde önemli bir yeniden diriliş tespit ettiler ve Intellexa konsorsiyumunu hedefleyen ABD hükümet yaptırımlarının uygulanmasına rağmen sürekli operasyonları gösteren yeni altyapı ortaya koydu.
Araştırma, bir düzineden fazla ülkede aktif operasyonların kanıtlarını ortaya çıkardı, tanımlanmış müşterilerin yarısından fazlası Afrika’da bulundu ve Mozambik’te daha önce bildirilmemiş bir varlığı ortaya koydu.
Spyware’in modüler python tabanlı tasarım, operatörlerin cihazın yeniden donatılmasını gerektirmeden yeni özellikleri uzaktan tanıtmalarını sağlar, bu da onu son derece kalıcı ve uyarlanabilir hale getirir.
.webp)
Bu esneklik, güvenlik araştırmacıları ve teknoloji şirketleri, paralı casus yazılımların tipik olarak sömürdüğü tüm güvenlik açıklarını tanımlamak ve azaltmak için çalışmış olsa bile, Predator’un etkinliği korumasına izin vermiştir.
Araştırmacılar tarafından gözlemlenen dağıtım kalıpları, Predator’un pahalı lisans modelinin stratejik, yüksek değerli hedefler için kullanımını saklı tuttuğunu ve belgelenmiş istismar vakaları öncelikle sivil toplum aktörlerini, gazetecileri, aktivistleri ve siyasi figürleri hedeflediğini göstermektedir.
Sınır ötesi hedefleme yetenekleri, bir ülkeye bağlı operatörlerin diğer ülkelerdeki yetkilileri ve parlamenterleri başarıyla hedefledikleri belgelerle özellikle ilgili olmuştur.
Çok katmanlı altyapı evrimi ve tespit kaçağı
Predator’un operasyonel sofistikeindeki en önemli gelişme, üç katmanlı bir sistemden casus yazılımları konuşlandıran ülkelerin tanımlanmasını daha da gizlemek için tasarlanmış daha karmaşık dört katmanlı bir mimariye gelişen genişletilmiş çok katmanlı altyapı ağında yatmaktadır.
Bu gelişmiş altyapı, önceki güvenlik araştırmalarında belirtilen üst düzey mimariye yakından benzemektedir, ancak kamu maruziyetine ve güvenlik geliştirmelerine yanıt olarak sürekli evrimi göstermektedir.
Mevcut altyapı, farklı iletişim katmanları aracılığıyla çalışır, Tier 1 sunucuları, iletim kontrol protokolü bağlantı noktası 10514 kullanılarak özel Tier 2 yukarı akış sanal özel sunucu IP adresleriyle sürekli iletişim kurar.
Bu yukarı akış sunucuları, anonimleştirme hop noktaları olarak işlev görür, bu da Tier 1 sunucuları ve bireysel yırtıcı müşterileri arasında doğrudan ilişki kurması önemli ölçüde daha zor hale getirir.
İletişim modeli, aynı TCP bağlantı noktası 10514 kullanılarak Seviye 2 ila Seviye 3 sunucuları boyunca devam eder, Tier 3 sunucuları daha sonra trafiği, yırtıcı müşteri kontrolü altında olduğundan şüphelenilen statik, ülke içi İnternet servis sağlayıcısı IP adreslerine karşılık gelen Seviye 4 altyapısına aktarır.
.webp)
Bu altyapıya kayda değer bir ek, yırtıcı ile ilgili operasyonlarda merkezi bir rol oynadığı ve daha önce Intellexa ile ilişkili bir Çek varlığı olan Foxitech SRO ile bağlantılı görünen Seviye 5 olarak adlandırılan beşinci bir katmanın izlenmesidir.
Bu ek katman, operasyonel karmaşıklıkta önemli bir genişlemeyi temsil ederek altyapı gizleme yeteneklerine yapılan yatırımın arttığını düşündürmektedir.
Operatörler ayrıca dört ana kategoriye giren sahte web sitelerinin dağıtılması da dahil olmak üzere sofistike algılama kaçakçılığı stratejileri uyguladılar: sahte 404 hata sayfaları, hileli giriş veya kayıt sayfaları, inşaat durumunu gösteren siteler ve konferanslar gibi meşru varlıklarla ilişkilendirme web siteleri.
Bu aldatma taktikleri, daha önce kullanılmayan otonom sistem numaralarında çeşitli sunucu konfigürasyonlarının genişletilmiş kullanımı ile birleştiğinde, operatörlerin güvenlik araştırmacılarından ve kolluk kuvvetlerinden artan incelemeye rağmen operasyonel güvenliği koruma taahhüdünü göstermektedir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam Acces’i isteyin