執筆者
2023年の「Predator Files」騒動の中心にあったPredatorスパイウェアは、サイバーセキュリティ企業Recorded Futureによれば、現在も多くの国で使用されている。
スパイウェア開発元のCytroxと、その傘下組織であるIntellexaは、2023年9月に開始され、European Investigative Collaborationsが調整したメディアプロジェクト「Predator Files」により、人権侵害との関与が指摘された。
しかし、2024年3月1日に公開された新たな報告書で、Recorded Futureの脅威インテリジェンスチームであるInsikt Groupは、Predatorスパイウェアを用いて複数国の携帯電話を標的とする新たなキャンペーンを発見した。
具体的には、脅威研究者は少なくとも11か国(アンゴラ、アルメニア、ボツワナ、エジプト、インドネシア、カザフスタン、モンゴル、オマーン、フィリピン、サウジアラビア、トリニダード・トバゴ)において、Predatorが継続して使用されている可能性を示す証拠を特定した。
ボツワナとフィリピンでPredatorの使用が確認されたのは今回が初めてである。
Predatorインフラに大幅な変更は不要
報告書で、Recorded FutureのInsikt Groupは、配信サーバー、上流サーバー、インフラから成る新しい多層型のPredator配信インフラネットワークについて説明した。
同社は、この新インフラが「Predatorの顧客と高い可能性で関連している」と評価し、Predator Files以降もスパイウェア運用者が製品販売を停止していないことを示唆した。
むしろ、運用手法に最小限の変更を加えることで活動を継続しているという。
- 下流の配信サーバー:端末の侵害および初期アクセスに使用されている可能性が高い。これらは、ソーシャルエンジニアリング目的で標的が関心を持ち得る特定の組織等を狙ったドメインなりすまし機能をホストしている
- Transmission Control Protocol(TCP)ポート10514上の一貫した上流の仮想プライベートサーバー(VPS)IPアドレス:これらの上流サーバーは、匿名化目的の中継点として使用されている可能性が非常に高い
- Predator顧客に関連している可能性が高い、国内の固定インターネットサービスプロバイダー(ISP)IPアドレス
このインフラは、Amnesty International、Citizen Lab、Sekoiaによる2023年の報告で特定されたものと大部分が類似している。
「これらのパターンは脅威研究者にとって比較的容易に特定できる一方で、これらの技術・戦術・手順(TTP)はおそらく十分な成果を上げており、変更の必要性をなくしている」と、Insikt Groupの研究者は結論づけた。
「Predatorや他のスパイウェア製品、ならびにハック・フォー・ハイヤー(請負ハッキング)サービスが、重大犯罪や対テロの法執行という文脈 خارجで拡散・利用されることは、さまざまな組織や個人にとって今後も重大な脅威であり続けるだろう。」
新たなPredatorインフラの証拠を発見
これらの発見は、フランスの脅威インテリジェンス企業Sekoiaが2月28日に公開した先行研究とも一致しており、同社は最近、Predatorスパイウェアに関連する汎用的な悪性ドメイン数が大幅に増加していることを観測していた。
「Intellexaの監視ソリューションを使用する一部の政府機関は、私たちのような公開情報に注意を払い、標的について手がかりを与えずにソリューションを使い続けられるよう、手順を適応させたと評価している」と、Sekoiaの脅威研究者は記した。
Sekoiaは、スパイウェアや請負ハッカーサービスを含む商用サイバー侵入能力の拡散と無責任な利用に対処するため、英国とフランスが主導した合意である「Pall Mall Process」に署名した企業の一つでもある。
この合意は、2024年2月6日にロンドンで、25か国と2つの地域機関により署名された。
Predatorスパイウェアとは?
Predatorは、AndroidおよびiPhone端末の双方で使用されることを想定して設計された高度な傭兵型スパイウェアである。2019年から活動しており、Cytroxによって開発された(現在はIntellexaの一部)。
Predatorは「ワンクリック」または「ゼロクリック」攻撃のいずれでもインストール可能で、感染した携帯電話上に残る痕跡は最小限である。
いったんダウンロードされると、Predatorは端末のマイク、カメラ、そして連絡先、メッセージ、写真、動画を含む保存データおよび送受信データのすべてに、ユーザーの知らないところで制限なくアクセスできるようになる。
その設計にはPythonベースのモジュールが組み込まれており、繰り返し侵害を行う必要なく新機能を追加できる。
2021年から2023年にかけて、Predator感染の試行および成功の多様な事例が記録されており、さまざまな分野・国の個人に影響を及ぼしている。主な例は以下のとおり。
- 2021年12月:Citizen Labは、亡命中の政治家アイマン・ヌールと、人気ニュース番組の匿名司会者という2人のエジプト人が、WhatsAppで送られてきたリンクをクリックした後にPredatorへ感染したことを報告した。
- 2022年4月:Inside Storyは、Newsの記者でCNNなど複数の報道機関に寄稿していたジャーナリスト、タナシス・クーカキスがPredatorに感染したことを報じた。
- 2022年7月:Documentoは、ギリシャの野党党首で欧州議会議員でもあるニコス・アンドルラキスが、2021年にPredatorの標的となったものの感染は未遂に終わり、同時にギリシャ国家情報局(NIS)によって盗聴されていたことを明らかにした。
- 2023年3月:米国・ギリシャの二重国籍を持つMeta幹部のアルテミス・シーフォードが、Predatorの標的となり、NISに盗聴された疑いがあると報じられた。
- 2023年9月:Citizen Labは、エジプトの元国会議員アフメド・エルタンタウィが、2021年から2023年にかけて複数回Predatorの標的となっていたことを明らかにした。
- 2023年10月:Amnesty Internationalは、ベトナムに関連するPredator顧客による監視作戦を明らかにし、2023年2月から6月の間に、27人の個人と23の機関に属する少なくとも50のソーシャルメディアアカウントが標的となったとした。
こちらもおすすめ
Infosecurity Magazineで話題の記事は?
翻訳元: https://www.infosecurity-magazine.com/news/predator-spyware-targeted-new/
