در شنیدن این هفته گذشته، گروه NSO فروشنده معروف نرم افزارهای جاسوسی به قانونگذاران اروپایی گفت که حداقل پنج کشور اتحادیه اروپا از بدافزار نظارتی قدرتمند Pegasus آن استفاده کرده اند. اما هرچه بیشتر در مورد واقعیت نحوه سوء استفاده از محصولات NSO در سراسر جهان آشکار می شود، محققان همچنین در تلاش هستند تا آگاهی را افزایش دهند که صنعت نظارت برای استخدام بسیار فراتر از یک شرکت است. روز پنجشنبه، گروه تحلیل تهدید گوگل و تیم تحلیل آسیبپذیری پروژه صفر یافتههایی را در مورد نسخه iOS یک محصول جاسوسافزار منتسب به توسعهدهنده ایتالیایی RCS Labs منتشر کردند.
محققان گوگل می گویند که قربانیان این نرم افزارهای جاسوسی را در ایتالیا و قزاقستان در هر دو دستگاه اندروید و iOS شناسایی کرده اند. هفته گذشته، شرکت امنیتی Lookout یافتههای مربوط به نسخه اندرویدی این نرمافزار جاسوسی را منتشر کرد که آن را “Hermit” مینامد و همچنین به آزمایشگاههای RCS نسبت میدهد. Lookout اشاره میکند که مقامات ایتالیایی از نسخهای از جاسوسافزار در تحقیقات ضد فساد در سال ۲۰۱۹ استفاده کردند. علاوه بر قربانیان مستقر در ایتالیا و قزاقستان، Lookout همچنین دادههایی را یافت که نشان میدهد یک نهاد ناشناس از این نرمافزار جاسوسی برای هدفگیری در شمال شرقی سوریه استفاده کرده است.
Clement Lecigne، مهندس امنیت TAG به WIRED میگوید: «گوگل سالها فعالیتهای فروشندگان نرمافزارهای جاسوسی تجاری را ردیابی میکرد و در آن زمان شاهد گسترش سریع صنعت از چند فروشنده به یک اکوسیستم کامل بودیم. «این فروشندگان امکان گسترش ابزارهای هک خطرناک را فراهم میکنند و دولتهایی را مسلح میکنند که قادر به توسعه این قابلیتها در داخل نیستند. اما شفافیت کمی در این صنعت وجود دارد یا اصلاً وجود ندارد، به همین دلیل است که به اشتراک گذاشتن اطلاعات در مورد این فروشندگان و توانایی های آنها بسیار مهم است.
TAG می گوید در حال حاضر بیش از 30 سازنده نرم افزارهای جاسوسی را که مجموعه ای از قابلیت های فنی و سطوح پیچیدگی را به مشتریان تحت حمایت دولت ارائه می دهند، ردیابی می کند.
در تجزیه و تحلیل خود از نسخه iOS، محققان گوگل دریافتند که مهاجمان نرم افزار جاسوسی iOS را با استفاده از یک برنامه جعلی که شبیه برنامه My Vodafone از اپراتور بین المللی تلفن همراه محبوب است، توزیع می کنند. در حملات اندروید و iOS، مهاجمان ممکن است به سادگی اهداف را فریب داده باشند تا با توزیع یک لینک مخرب برای کلیک قربانیان، برنامه پیام رسانی را دانلود کنند. اما در برخی موارد به خصوص دراماتیک از هدف قرار دادن iOS، گوگل متوجه شد که مهاجمان ممکن است با ISP های محلی کار می کردند تا اتصال داده تلفن همراه یک کاربر خاص را قطع کنند، یک لینک دانلود مخرب از طریق پیامک برای آنها ارسال کنند و آنها را متقاعد کنند که برنامه جعلی My Vodafone را نصب کنند. از طریق Wi-Fi با این وعده که این سرویس تلفن همراه آنها را بازیابی می کند.
مهاجمان میتوانند برنامه مخرب را توزیع کنند زیرا آزمایشگاههای RCS در برنامه توسعهدهنده شرکتی اپل، ظاهراً از طریق یک شرکت پوستهای به نام «3-1 Mobile SRL» ثبتنام کرده بودند تا گواهینامهای را به دست آورند که به آنها اجازه میدهد برنامهها را بدون مرور AppStore معمولی اپل بارگذاری کنند. روند.
اپل به WIRED میگوید که تمام حسابها و گواهیهای مرتبط با کمپین جاسوسافزاری باطل شدهاند.
این شرکت در گزارش اکتبر درباره بارگذاری جانبی نوشت: «گواهینامههای سازمانی فقط برای استفاده داخلی توسط یک شرکت در نظر گرفته شدهاند و برای توزیع عمومی برنامه در نظر گرفته نشدهاند، زیرا میتوان از آنها برای دور زدن حفاظتهای App Store و iOS استفاده کرد. با وجود کنترلهای سخت و مقیاس محدود برنامه، بازیگران بد راههای غیرمجاز برای دسترسی به آن پیدا کردهاند، برای مثال با خرید گواهیهای شرکتی در بازار سیاه.