Израелскиот софтвер за следење Pegasus произведен од компанијата NSO Group без сомневање е најпознатиот „spyware“ со кој некои држави ги следат своите граѓани, за оние кои не се во тек, на тема Pegasus имаме пишувано повеќе пати досега. Она што го враќа овој злонамерен софтвер во циклусот на вести е тоа што минатата недела преку објавата на Facebook Meta дознавме дека еден од најголемите конкуренти на Pegasus е Predator – софтвер за следење креиран од компанијата Cytrox која започнала со работа како стартап од Македонија, за да подоцна се поврзе со инвеститор кој претходно бил дел од израелските безбедносни служби. Компанијата според достапните податоци се уште има локална канцеларија во Скопје.
Соработка на CitizenLab и Meta ја прослави македонската компанија Cytrox
На крајот на минатата недела Meta (екс Facebook) во соработка со CitizenLab објави извештај за отстранети групи и профили поврзани со активности од областа на шпиунажа, но и нови закани во онлајн просторот.
Друштвената мрежа објави дека од социјалните мрежи Facebook и Instagram се отстранети над 1500 профили поврзани со 7 различни компании кои таргетирале дел од корисниците. Групите ги користеле друштвените мрежи за социјален инженеринг, испраќање на малициозни линкови и следење на илјадници жртви во над 100 држави. Во извештајот Meta вели дека се сомнева дека над 50 000 луѓе се цел на следење на овие 7 групи.
Една од компаниите чии групи се отстранети е и компанијата Cytrox за која во извештајот се вели дека оперира од Македонија. Во извештајот на Мета за Cytrox пишува дека се отстранети 300 Facebook и Instagram профили кои се користени за измама и наведување на цели во 10 држави: Египет, Ерменија, Грција, Саудиска Арабија, Оман, Колумбија, Брегот Слонова Коска, Виетнам, Филипините и Германија.
Кои се Cytrox – стартапот кој работи во “stealth mode”
Стартапот во Македонија е основан во 2017 година. Истата година се основани и компаниите во Израел под името „Cytrox EMEA Ltd.“ и „Cytrox Software Ltd.“; Во Унгарија во 2017 е основана „Cytrox Holdings Zrt“. Citizen Lab не објави подетални информација за македонската компанија освен името на основачот. Сепак Централниот депозитар за хартии од вредност на 3 април 2017 објавил дека е евидентирано Друштво за развој на софтвер, трговија и услуги САЈТРОКС АД Скопје.
На 03.04.2017 во Централниот депозитар евидентирано е Друштво за развој на софтвер, трговија и услуги САЈТРОКС АД Скопје со ЕМБС 7191391. Основната главнина на друштвото изнесува 25.000 ЕУР и е поделена на 25.000 обични акции со номинална вредност од 1 ЕУР за една акција.
Cytrox дополнително се поврзува со Македонија од 2019 по аквизиција на стартапот од страна на Тал Дилиан – ветеран на разузнавање и мултимилионер кој е основач на Intellexa која специјализира во понуда на софтвер и алатки за разузнавачките служби. Тој покрај Intellexa, е основач и на Circles – проминентна компанија за набљудување на мобилни мрежи, како и уште 1-2 стартапи со слични дејности. Дилијан во интервју за Forbes, во кое го претставува својот продукт – комбе за набљудување вредно 9 милиони долари преку кое според него може да се хакира било кој телефон, посочува дека ја спасил македонската компанија која произведувала spyware за Android од пропаст. Според интервјуто, Cytrox станал дел од Intellexa за нешто помалку од 5 милиони долари.
Cytrox е дел од таканаречената “Intellexa Alliance” – маркетиншки бренд за низа продавачи на софтвер за набљудување кои се појавија во 2019 година. Конзорциумот на компании ги вклучува Nexa Technologies (поранешен Amesys), WiSpear / Passitora., Cytrox и Senpai, заедно со други неименувани ентитети, кои наводно се обидуваат да се натпреваруваат со други играчи на пазарот за сајбер надзор како што се NSO Group и Verint. Првично со седиште во Кипар, неодамнешниот извештај на Citizen Lab покажува дека Intellexa сега работи од Грција, која исто така е наведена како локација на LinkedIn на нејзиниот основач, Дилиан.
На Pitchbook компанијата е „дефинирана“ како развивач на системи за сајбер разузнавање дизајнирани да им понудат безбедност на владите. Интересно e ако го споредите ова со описот на NSO Group нема да може да пронајдете релевантна разлика. Основач на Cytrox според достапните информации и објавата на Citizen Lab е Иво Малинковски, што се потврдува и според RocketReach.co и LinkedIn. Малинковски е извршен директор на Cytrox а според неговите профили и информациите присутни на нив, тој е и директор на една од пореномираните македонски винарии.
Ако може да судиме по неколку огласи за вработување Cytrox и натаму има присуство и во Македонија. Компанијата вo јули оваа година на Dekra.mk има објавено неколку огласи за Python програмер и за QA тестер. Описот на компанијата во огласите соодветствува на Cytrox.
„Нашиот клиент е CYTROX компанија со седиште во Израел со експертиза за дизајнирање на софтверски решенија за деловни компании и влади кои помагаат во дизајн, управување и имплементација на системи за сајбер-интелигенција. За потребите на нивниот брзорастечки тим со седиште во Скопје… “
Веб-сајтот на Cytrox во моментов е недостапен. Во септември или октомври WordPress сајтот е жртва на хакерски напад. Дури и пред да биде преземена контролата, на Cytrox немало никакви информации за компанијата
На саемот за работа Job Fair 2021 одржан од 2 до 5 ноември Cytrox учестува под името Sajgnet by Intellexa. Ова е последен податок кој успеавме да го пронајдеме поврзан со Cytrox во Македонија.
CitizenLab го откри Predator во јули
Софтверот за следење кој го креира Cytrox е наречен Predator. Досега има потврда за негово користење на барем 2 жртви. Сервери кои ги користат држави-клиенти на Predator се откриени во Ерменија, Египет, Грција, Индонезија, Мадагаскар, Оман, Саудиска Арабија и Србија.
Прво откривање на Predator во јули
Софтверот е откриен во јули оваа година откако е пронајден на телефоните на Ајман Нур и на уште една анонимна жртва која работи како домаќин во популарна информативна програма.Нур е политички противник на сегашната власт во Египет и само благодарение на меѓународниот притисок властите во Египет го ослободија од затвор. Во 2013 по државниот удар на претседателот Абдел Фатах Ел-Сиси избегал од Египет. Од 2015 година престојува во Турција, од каде ги критикува властите во Египет.
На телефонот на Нур се пронајдени и шпионскиот софтвер Pegasus од NSO Group и Predator од Cytrox. CitizenLab се смета дека нарачател на неговото следење се властите во Египет. Нур се посомневал дека е жртва на следење откако забележал дека неговиот iPhone многу се загрева. Со помош на логовите на телефонот CitizenLab откриле дека на телефонот не само што е присутен веќе познатиот софтвер Pegasus, туку и новиот Predator.
Софтверот може да се користи за преземање на податоци од телефонот; да се активираат камерите и микрофонот; и останува на телефонот дури и по негово рестартирање.
Телефонот на Нур веројатно е „инфициран“ откако профил кој веројатно лажно се претставувал како др. Раниа Шхаб на WhatsApp испратил неколку слики со URL до youtu-**.net и уште неколку домени кои се копии на различни страници.
Слично како и во случајот на Нур, и втората жртва добила WhatsApp порака која во овој случај водела до аlmasryelyu**[.]com. Одговорите на двата сервери се исти, а идентичен е и одговорот од qwxz**[.]com. Со отворање на овие линкови за неколку минути се инсталира шпионскиот софтвер Predator.
Откако ги потврдивме форензичките траги на Pegasus на iPhone-от на Нур, идентификувавме присуство на дополнителен шпионски софтвер, кој со голема сигурност му го припишуваме на Cytrox. Понатаму, со голема сигурност заклучуваме дека тој не е поврзан со шпионскиот софтвер Pegasus.
Тимот на CitizenLab открил дека на 30 јуни 2021 две „/Payload2“ команди работеле на телефонот на Нур. Двете команди биле со еден аргумент урл на diste**[.]com. (Напомена: Не посетувајте ниту еден од линковите до домени контролирани од Cytrox!)
Безбедносните експерти се посомневале дека нешто не е во ред откако забележале дека процесите иако се со легитимни имиња и постојат на iOS не соодветствуваат со верзиите на Apple. Пример процесите кои функционирале биле:
/private/var/db/com.apple.xpc.roleaccountd.staging/tisppd
/private/var/db/com.apple.xpc.roleaccountd.staging/bfrgbd
/private/var/db/com.apple.xpc.roleaccountd.staging/xpccfd
/private/var/db/com.apple.xpc.roleaccountd.staging/comsercvd
/private/var/db/com.apple.xpc.roleaccountd.staging/rlaccountd
/private/var/db/com.apple.xpc.roleaccountd.staging/launchrexd
/private/var/db/com.apple.xpc.roleaccountd.staging/ckeblld
/private/var/db/com.apple.xpc.roleaccountd.staging/comnetd
/private/var/db/com.apple.xpc.roleaccountd.staging/accountpfd
/private/var/db/com.apple.xpc.roleaccountd.staging/jlmvskrd
/private/var/db/com.apple.xpc.roleaccountd.staging/msgacntd
/private/var/db/com.apple.xpc.roleaccountd.staging/brstaged
/private/var/db/com.apple.xpc.roleaccountd.staging/fdlibframed
Како Predator ги напаѓа и следи Android и iOS уредите
На форумот на it.mk може да прочитате одлично објаснување за начинот на работа на Predator и инфицирање на уреди напишано од членот Gilfoyle кој е експерт во областа на компјутерска безбедност. (Секако може да се приклучите и да дискутирате на темата).
„Преку алатка за скенирање наречена Censys, анализата открива fingerprint од IP адресата за dite**[.]com од октомври 2021 година што пренасочува со HTTP 302 на DuckDuckGo..
28 хостови од октомври 2021 година се дополнително пронајдени на Censys што одговараат на овој fingerprint, во тие 28 хостови е пронајдена и ИП адреса од Македонија: 62.162.5[.]58, која била насочена према dev-bh.cytr**[.]com во август 2020 година, а која исто така имала и активно пренасочување до dev-bh.cytr(([.]com на порта 80 во еден период.
Дополнително, пасивната DNS алатка RiskIQ покажува дека хостот со IP 62.162.5[.]58 вратил сертификат (0fb1b8da5f2e63da70b0ab3bba8438f30708282f) за tesl**[.]xyz помеѓу јули 2020 година и септември 2020 година. Бидејќи 62.162.5[.]58 моментално враќа tesl**[.]xyz сертификат, Citizenlab претпоставуваат дека ИП адресата досега не ја променила сопственоста од август 2020 година и затоа сè уште е поврзана со cytr**[.]com“
Она што е интересно е дека во случајот со телефонот на Нур недостасува дел од нападот. За да може да се изврши нападот со Predator потребно е уредот веќе да е претходно компромитиран. Засега за овој чекор од нападите нема повеќе информации.
По иницијалното пробивање на заштитата оперативниот систем се експлоатира преку повикување на 64-битна Mach-O функција од серверот. Потоа во случај на iOS оперативен систем функцијата го повикува kmem_init со два генерирани аргументи: kernel process task port и pid value. Во случај на Android аргументите се префрлаат на SHMEMFD_VSS и SHMEMFD_VSS.
Потоа и iOS и Андроид стартуваат startPy функција што кај оперативниот систем лоадира Python 2.7 runtime.
Кај iOS при извршувањето на startPy се додаваат два built-in objects: predutils и predconfig.
Кај Андроид при извршувањето на startPy се додаваат повеќе built-in objects: injector, pc2, recorder, и voip_recorder.
По иницијализацијата на копонентите, startPy вчитува замрзнат Python модул наречен loader кој започнува со преземање на конфигурацијата за Predator од модулот predconfig.
Predator го користат властите во Ерменија, Грција, Србија, Индонезија, Мадагаскар и Оман; плус Египет и Саудиска Арабија, кои и досега беа познати по таргетирање на критичарите на властите. Ова е откриено преку истражување на Shodan.io и на Censys користејќи ги домените и IP адресите кои биле користени од страна на Cytrox, како и потврда од страна на Meta согласно на активностите на банираните профили.
Линк до повеќе технички детали
Колкав проблем е Cytrox?
Predator е ново име кај шпионскиот софтвер и неговите можности без сомневање се застрашувачки. Сепак во најголем дел од државите во кои е пронајден веќе постои документирана злоупотреба на Pegasus. Нитy NSO Group (основачите на Pegasus), ниту Cytrox (основачите на Predator) не се единствени компании во ова поле во светот – во кое се вртат милијарди долари.
Според Citizen Lab, пазарот за приватно разузнавање и платенички надзор е обележан со сложени сопственички структури, корпоративни сојузи и конзорциуми и редовни ребрендирања. Овие практики ги фрустрираат истрагата, регулативата и одговорноста.
Платеничките компании за шпионски софтвер дополнително ја избегнуваат надворешната контрола користејќи сложени сметководствени и техники за инкорпорирање слични на оние што ги користат трговците со оружје, перачите на пари, клептократите и корумпираните службеници. Ваквата комплексност овозможува избегнување на контрола и одговорност.
Без сомневање и креаторите на Predator можат да го користат истиот изговор како NSO Group – компанијата иако знае дека нивниот софтвер Predator се злоупотребува нема направено ништо за да ги ограничи овие злоупотреби. Најчеста одбрана е дека немаат контрола врз тоа кого следат државите кои се нивни клиенти, и дека нивниот софтвер е наменет за разузнавачките агенции. Софтверот официјално е креиран за следење на потенцијални опасности од терористички напади, но наместо ова властите во државите со недемократски режим почесто го користат за следење на своите противници.
Едно е сигурно, по главоболките кои македонците му ги зададоа на Facebook пред некоја година со лажните вести, случкава со Cytrox и повторното спомнување на Македонија во официјален извештај на Facebook во ваков негативен контекст, дефинитивно не ја ставаат Македонија во листата на омилени земји на Закерберг.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
[…] се користи софистициран софтвер како Pegasus од NSO или Predator на Cytrox. Најчесто нападите се прават од држави, поддржани од […]