概述

  • 研究人员发现了一家位于以色列的秘密公司,专门向政府机构销售间谍软件。据称,他们的间谍软件可以感染和监控iPhone、Android、Mac、PC和云帐户。

  • 通过网络扫描,研究人员确定了750多个网站与Candiru的间谍软件基础设施相关联。其中许多伪装成倡导组织的域名,如大赦国际、“the Black Lives Matter”运动、媒体公司以及其他以公民社会为主题的实体。

  • Candiru利用了两个提权漏洞:CVE-2021-31979和CVE-2021-33771。

  • 在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡至少发现了100名受害者。受害者包括人权捍卫者、持不同政见者、记者、活动家和政治家。

Candiru简介

Candiru成立于2014年,位于以色列特拉维夫,为了使其运营、基础架构和员工身份不受公众监督,经历了多次更名。而且像其他间谍软件公司一样,专门从以色列国防军的信号情报部门8200部队中招募人员。该公司目前的名称是Saito Tech Ltd,但他以Candiru而知名。且至少拥有一家子公司。Candiru与NSO Group的共同点包括:由同一家律师事务所代理以及使用同一家员工股权和信托管理服务公司。

客户名单

Candiru在成立后两年内的销售额接近3000万美元,客户位于欧洲、前苏联、波斯湾、亚洲和拉丁美洲。并且可能和以下国家达成过交易:

  • 乌兹别克斯坦:在2019年病毒公告安全会议的演讲中,卡巴斯基实验室的一名研究人员表示,Candiru可能将其间谍软件出售给了乌兹别克斯坦的国家安全局。

  • 沙特阿拉伯和阿联酋:同一演讲还提到沙特阿拉伯和阿联酋可能是Candiru的客户。

  • 新加坡:2019年Intelligence Online的报告提到,Candiru积极向新加坡情报部门招揽业务。

  • 卡塔尔:2020年Intelligence Online的报告指出,Candiru与卡塔尔走的很近。一家与卡塔尔主权财富基金有关联的公司投资了Candiru。但还没有关于卡塔尔客户的信息出现。

股东信息

第一大股东:Isaac Zack、Ya’acov Weitzman、Eran Shorer.

第二大股东:Universal Motors Israel LTD、ESOP管理和信托服务、Optas Industry Ltd. ESOP

图:Isaac Zack

间谍软件

Candiru泄露的项目提案显示,Candiru的间谍软件可以使用多种不同的载体进行安装,包括恶意链接、中间人攻击和物理攻击。还提供了一个名为“Sherlock”的向量,声称可以在Windows、iOS 和Android上使用。

可以从包括Gmail、Skype、Telegram 和 Facebook在内的许多应用程序和帐户中窃取私人数据。还可以捕获浏览历史和密码,打开目标的网络摄像头和麦克风,并拍摄屏幕照片。从附加应用程序(例如Signal Private Messenger )捕获数据作为附加组件出售。

与许多同行一样,Candiru似乎按并发感染数量许可其间谍软件,反映了可以在任何时刻受到主动监视的目标数量。与NSO Group 一样,Candiru似乎也将客户限制在一组批准的国家/地区。

提案中的细则指出,该产品将在“所有商定的地区”运营,然后提到了包括美国、俄罗斯、中国、以色列和伊朗在内的受限制国家名单。尽管如此,研究人员还是发现了伊朗的Candiru受害者,这表明在某些情况下,Candiru的产品确实在受限制的地区运行。此外,还发现了伪装成俄罗斯邮政服务域名的目标基础设施。

参考链接:

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。