SEKOIA раскрывает инфраструктуру шпионской кампании Lycantrox

SEKOIA Citizen Lab Meta Intellexa Cytrox Predator iOS шпионаж слежка права человека
SEKOIA раскрывает инфраструктуру шпионской кампании Lycantrox
SEKOIA Citizen Lab Meta Intellexa Cytrox Predator iOS шпионаж слежка права человека

Какие страны были уличены в неправомерной слежке за своими гражданами?

image

В прошлом месяце исследователи Citizen Lab опубликовали отчёт о применении хакерами шпионского программного обеспечения Predator, разработанного компанией Cytrox, против iPhone бывшего египетского депутата Ахмеда Эльтантави.

В августе и сентябре этого года Эльтантави был подвергнут атаке с перенаправлением на вредоносные веб-страницы, для реализации которых использовались уязвимости нулевого дня в iOS ( CVE-2023-41991 , CVE-2023-41992 , CVE-2023-41993 ) для установки шпионского ПО Predator. Как полагается, данная атака преследовала политические мотивы.

В прошлом компания Cytrox уже привлекала к себе внимание применением Predator для целевых атак на общественных деятелей. Тогда как Citizen Lab , так и ныне запрещённая Meta *, изучали деятельность Cytrox, а также её материнской компании Intellexa.

В декабре 2021 года специалистами компании SEKOIA также был выпущен отчёт , исследовавший возможные связи между клиентами Cytrox (отслеживаемых в рамках операции Lycantrox) и клиентами Candiru (отслеживаемых в рамках операции Karkadann). Обе шпионские кампании использовали схожую инфраструктуру для компрометации своих целей.

Совсем недавно, исследуя инфраструктуру, используемую Lycantrox, эксперты SEKOIA выявили множество доменов, связанные с этой группой. В качестве примера можно привести «bitshort[.]info», замаскированный под сервис сокращения ссылок, и «elwatnanews[.]com», который притворяется новостным ресурсом.

Всего исследователями было обнаружено 121 уникальное доменное имя, с высокой степенью уверенности связанное с инфраструктурой Lycantrox. Многие из этих доменов имеют связи с серверами, которые принимают платежи в криптовалюте и, так или иначе, связаны с киберпреступной деятельностью.

Подробный анализ угрозы показал, что серверы, связанные с выявленными доменами, располагаются в Мадагаскаре, Индонезии, Казахстане и Анголе. Как полагают исследователи, они используются для кибер шпионажа местными правительственными службами за различными политическими деятелями, активистами и журналистами.

Эксперты предоставили в своём отчёте все выявленные индикаторы компрометации шпионской кампании Lycantrox и пообещали продолжить отслеживать действия кибернаемников из Cytrox и Intellexa, публично освещая их деятельность и раскрывая инфраструктуру.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Инновации PT Application Inspector для безопасной разработки в IDE

6 февраля в 14:00 — не пропустите!

Регистрация открыта

Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, 18+