Een nieuwe analyse van de geavanceerde commerciële spyware genaamd Predator heeft onthuld dat het vermogen ervan om tussen herstarts door te blijven bestaan, wordt aangeboden als een “add-on-functie” en dat dit afhangt van de licentieopties die door een klant zijn gekozen.
“In 2021 kon Predator-spyware een herstart op het geïnfecteerde Android-systeem niet overleven (dat was al aanwezig op iOS)”, zeiden Cisco Talos-onderzoekers Mike Gentile, Asheer Malhotra en Vitor Ventura in een rapport gedeeld met The Hacker News. “In april 2022 werd die mogelijkheid echter aan hun klanten aangeboden.”
Predator is het product van een consortium genaamd de Intellexa Alliance, waartoe Cytrox (later overgenomen door WiSpear), Nexa Technologies en Senpai Technologies behoren. Zowel Cytrox als Intellexa werden in juli 2023 door de VS aan de Entity List toegevoegd wegens “handel in cyberexploitaties die worden gebruikt om toegang te krijgen tot informatiesystemen.”
De nieuwste bevindingen komen meer dan zes maanden nadat de cyberbeveiligingsleverancier de innerlijke werking van Predator en de harmonieuze vergelijking ervan met een ander ladercomponent genaamd Alien heeft beschreven.
“Alien is cruciaal voor het succesvol functioneren van Predator, inclusief de extra componenten die op verzoek door Predator worden geladen”, vertelde Malhotra destijds aan The Hacker News. “De relatie tussen Alien en Predator is extreem symbiotisch, waardoor ze voortdurend moeten samenwerken om slachtoffers te bespioneren.”
Predator, dat zich zowel op Android als iOS kan richten, wordt beschreven als een ‘mobiel extractiesysteem op afstand’ dat wordt verkocht op basis van een licentiemodel dat miljoenen dollars oploopt op basis van de exploit die wordt gebruikt voor initiële toegang en het aantal gelijktijdige infecties, waardoor ze buiten bereik van scriptkiddies en beginnende criminelen.
Spyware zoals Predator en Pegasus, ontwikkeld door NSO Group, vertrouwen vaak op zero-day exploit-ketens in Android, iOS en webbrowsers als geheime inbraakvectoren. Terwijl Apple en Google de gaten in de beveiliging blijven dichten, kunnen deze exploitketens ineffectief worden, waardoor ze gedwongen worden terug te gaan naar de tekentafel.
Het is echter vermeldenswaard dat de bedrijven achter de surveillance-instrumenten voor huurlingen ook volledige of gedeeltelijke exploitketens van exploitbrokers kunnen verkrijgen en deze kunnen omvormen tot een operationele exploit die kan worden gebruikt om doelapparaten effectief te doorbreken.
Een ander belangrijk aspect van het bedrijfsmodel van Intellexa is dat het werk van het opzetten van de aanvalsinfrastructuur wordt overgedragen aan de klanten zelf, waardoor er ruimte overblijft voor plausibele ontkenning als de campagnes aan het licht komen (wat onvermijdelijk gebeurt).
“De levering van Intellexa’s ondersteunende hardware gebeurt op een terminal of luchthaven”, aldus de onderzoekers.
“Deze leveringsmethode staat bekend als Cost Insurance and Freight (CIF), wat deel uitmaakt van het jargon van de scheepvaartindustrie (‘Incoterms’). Dit mechanisme stelt Intellexa in staat te beweren dat ze geen zicht hebben op waar de systemen worden ingezet en uiteindelijk worden gelokaliseerd. “
Bovendien beschikt Intellexa over ‘kennis uit de eerste hand’ over de vraag of hun klanten bewakingsoperaties uitvoeren buiten hun eigen grenzen, vanwege het feit dat deze operaties intrinsiek verbonden zijn met de licentie, die standaard beperkt is tot één enkele telefoon. voorvoegsel landcode.
Deze geografische beperking kan echter tegen een extra vergoeding worden opgeheven.
Cisco Talos merkte op dat hoewel de publieke bekendheid van offensieve actoren uit de particuliere sector en hun campagnes succesvol zijn geweest bij attributie-inspanningen, dit weinig invloed heeft gehad op hun vermogen om hun activiteiten over de hele wereld uit te voeren en te laten groeien, ook al kan dit van invloed zijn op hun klanten, zoals als regeringen.
“Het kan de kosten verhogen door hen nieuwe exploitketens te laten kopen of creëren, maar deze leveranciers lijken naadloos nieuwe exploitketens te hebben verworven, waardoor ze in bedrijf kunnen blijven door van de ene reeks exploits naar de andere te springen als middel voor initiële toegang”, zegt hij. zeiden de onderzoekers.
“Wat nodig is, is de publieke openbaarmaking van technische analyses van de mobiele spyware en tastbare monsters die publieke controle van de malware mogelijk maken. Dergelijke publieke onthullingen zullen niet alleen grotere analyses mogelijk maken en detectie-inspanningen stimuleren, maar ook ontwikkelingskosten opleggen aan leveranciers om hun implantaten voortdurend te ontwikkelen. .”
