Predator adı verilen gelişmiş ticari casus yazılımın yeni bir analizi, yeniden başlatmalar arasında kalıcı olma yeteneğinin bir “eklenti özelliği” olarak sunulduğunu ve bunun müşterinin tercih ettiği lisanslama seçeneklerine bağlı olduğunu ortaya çıkardı.
Cisco Talos araştırmacıları Mike Gentile, Asheer Malhotra ve Vitor Ventura, The Hacker News ile paylaşılan bir raporda “2021’de Predator casus yazılımı, virüs bulaşmış Android sisteminde yeniden başlatıldığında hayatta kalamadı (iOS’ta vardı),” dedi. “Ancak Nisan 2022 itibarıyla bu özellik müşterilerine sunuluyordu.”
Predator, Cytrox (daha sonra WiSpear tarafından satın alındı), Nexa Technologies ve Senpai Technologies’i içeren Intellexa Alliance adlı bir konsorsiyumun ürünüdür. Hem Cytrox hem de Intellexa, Temmuz 2023’te ABD tarafından “bilgi sistemlerine erişim sağlamak için kullanılan siber istismarların kaçakçılığı” nedeniyle Varlık Listesine eklendi.
En son bulgular, siber güvenlik sağlayıcısının Predator’ın iç işleyişini ve Alien adlı başka bir yükleyici bileşeniyle uyumlu denklemini ayrıntılarıyla anlatmasından altı aydan fazla bir süre sonra geldi.
Malhotra o dönemde The Hacker News’e şunları söylemişti: “Alien, Predator tarafından talep üzerine yüklenen ek bileşenler de dahil olmak üzere, Predator’ın başarılı işleyişi için çok önemlidir.” “Alien ve Predator arasındaki ilişki son derece simbiyotiktir ve kurbanları gözetlemek için sürekli olarak birlikte çalışmalarını gerektirir.”
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Hem Android hem de iOS’u hedef alabilen Predator, ilk erişim için kullanılan istismara ve eş zamanlı enfeksiyon sayısına bağlı olarak milyonlarca dolara ulaşan bir lisanslama modeliyle satılan bir “uzaktan mobil çıkarma sistemi” olarak tanımlandı. Senaryo çocuklarının ve acemi suçluların ulaşamayacağı bir yerde.
NSO Group tarafından geliştirilen Predator ve Pegasus gibi casus yazılımlar, gizli izinsiz giriş vektörleri olarak genellikle Android, iOS ve web tarayıcılarındaki sıfır gün istismar zincirlerine dayanır. Apple ve Google güvenlik açıklarını kapatmaya devam ettikçe bu istismar zincirleri etkisiz hale gelebilir ve onları çizim tahtasına geri dönmeye zorlayabilir.
Bununla birlikte, paralı gözetleme araçlarının arkasındaki şirketlerin, istismar aracılarından tam veya kısmi istismar zincirleri temin edebileceğini ve bunları, hedef cihazları etkili bir şekilde ihlal etmek için kullanılabilecek operasyonel bir istismara dönüştürebileceğini belirtmekte fayda var.
Intellexa’nın iş modelinin bir diğer önemli yönü, saldırı altyapısını kurma işini müşterilerin kendilerine devretmesi ve kampanyaların ortaya çıkması durumunda (ki kaçınılmaz olarak olduğu gibi) makul inkar edilebilirlik alanı bırakmasıdır.
Araştırmacılar, “Intellixa’nın destekleyici donanımının teslimatı bir terminalde veya havaalanında yapılıyor” dedi.
“Bu teslimat yöntemi, nakliye endüstrisi jargonunun (‘Incoterms’) bir parçası olan Maliyet Sigortası ve Navlun (CIF) olarak biliniyor. Bu mekanizma, Intellexa’nın, sistemlerin nereye konuşlandırıldığı ve nihai olarak nerede konumlandığı konusunda hiçbir görünürlüğe sahip olmadığını iddia etmesine olanak tanıyor. “
Üstelik Intellexa, operasyonların doğası gereği lisansa bağlı olması ve lisansın varsayılan olarak tek bir telefonla sınırlı olması nedeniyle müşterilerinin kendi sınırları dışında gözetim operasyonları gerçekleştirip gerçekleştirmediğine dair “ilk elden bilgiye” sahip. ülke kodu öneki.
Ancak bu coğrafi sınırlama ek bir ücret karşılığında gevşetilebilir.
Cisco Talos, özel sektör saldırgan aktörlerinin ve kampanyalarının kamuya ifşa edilmesinin ilişkilendirme çabalarında başarılı olmasına rağmen, müşterilerini etkileyebilse bile, dünya çapında işlerini yürütme ve büyütme yetenekleri üzerinde çok az etkisi olduğunu belirtti. hükümetler olarak.
“Yeni istismar zincirleri satın almalarını veya oluşturmalarını sağlayarak maliyetleri artırabilir, ancak bu satıcılar sorunsuz bir şekilde yeni istismar zincirleri edinmiş gibi görünüyor, bu da onların ilk erişim aracı olarak bir istismar kümesinden diğerine atlayarak işlerinde kalmalarını sağlıyor.” araştırmacılar söyledi.
“İhtiyaç duyulan şey, mobil casus yazılımın teknik analizlerinin ve kötü amaçlı yazılımın kamu tarafından incelenmesine olanak tanıyan somut örneklerin kamuya açıklanmasıdır. Bu tür kamuya açıklanmalar, yalnızca daha büyük analizlere olanak sağlamak ve tespit çabalarını teşvik etmekle kalmayacak, aynı zamanda implantlarını sürekli geliştirmeleri için satıcılara geliştirme maliyetleri de yükleyecektir. “