Не "Пегасом" единым. Эксперты выявили новое шпионское ПО, взламывающее iPhone
Программа разработана македонской компанией Cytrox. Аналитики предполагают, что ее начали использовать вместо Pegasus от NSO Group.
Эксперты по кибербезопасности обнаружили шпионскую программу Predator, которая следит за людьми через смартфоны по примеру скандальной Pegasus. Результаты исследования опубликовали на сайте организации Citizen Lab.
Как выяснили специалисты, Predator (с английского — "Хищник") создан малоизвестным разработчиком шпионского софта под названием Cytrox. С помощью этой программы были взломаны iPhone двух известных граждан Египта — политика Аймана Нура и ведущего популярной новостной программы, который попросил не раскрывать свое имя.
Слежка за обоими целями была установлена в июне 2021 года. Программа Cytrox смогла взломать самую свежую на тот момент версию операционной системы iOS 14.6, когда жертвы нажали на ссылки в WhatsApp. Как оказалось, смартфон Аймана Нура в то же самое время был заражен Pegasus и передавал информацию другому государственному клиенту. Политик обратил внимание, что его iPhone слишком сильно нагревался во время работы и обратился к киберспециалистам.
"Мы со средне-высокой степенью уверенности приписываем нападения на эти две цели правительству Египта. Мы провели сканирование, в ходе которого было идентифицировано правительство Египта как клиента Cytrox Predator, веб-сайты, использованные для взлома двух целей, имели египетские темы, а сообщения, инициирующие взлом, были отправлены с египетских номеров WhatsApp", — заявили аналитики.
Сотрудники Citizen Lab получили образцы "загрузчика", первой фазы Predator, и изучили его возможности. Шпионское ПО сохраняется на устройстве после перезагрузки с помощью функции автоматизации iOS. В результате сканирования серверов Predator эксперты определили потенциальных клиентов Cytrox в Армении, Египте, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.
IP-адрес вероятного клиента в Саудовской Аравии имеет "следы" Predator с июля 2021 года. NSO Group утверждает, что с 30 июня отключила клиента, который по данным New York Times, находится в той же стране. Эксперты считают, что Саудовская Аравия могла перейти с Pegasus на Predator.
Развитие Cytrox началось со стартапа в Северной Македонии. Обзор документов корпоративного реестра показывает, что сейчас компания имеет офисы в Израиле и Венгрии. В базе данных Crunchbase указано, что Cytrox предоставляет правительственным органам ПО для сбора информации с устройств и обласных сервисов. Как указано в Pitchbook, она разрабатывает системы киберразведки для обеспечения безопасности и сбора данных в сети.
Cytrox считается частью Intellexa, так называемого "Звездного альянса шпионского ПО", который был сформирован для конкуренции с компанией NSO Group, разработавшей Pegasus. Организация утверждает, что базируется и регулируется в Евросоюзе, имеет шесть сайтов и научно-исследовательские лаборатории по всей Европе.
Айман Нур — лидер политической оппозиционной группы "Союз национальных сил Египта". Нур также бывший кандидат в президенты Египта, основатель и председатель партии "Гад аль-Таура". В 2005 году Нур соревновался с бывшим президентом Египта Хосни Мубарака за пост главы государства, а после выборов был осужден за подделку подписей для создания его политической партии и провел в тюрьме более четырех лет. В 2009 году Айман Нур был освобожден по состоянию здоровья и под давлением международного сообщества. В 2013 году выступал против военного переворота президента Абдель Фаттаха Ас-Сиси и сбежал в Ливан, где продолжает критиковать режим в Египте.
Ранее Фокус писал, как работает шпионское ПО Pegasus и как от него защититься. У программы очень широкий набор функций, к примеру, она может прослушивать телефонные разговоры или следить за владельцем смартфона через камеру.