インド政府と関わりのある可能性がある集団による明らかな傭兵ハッキングキャンペーンが、スパイウェアを使用して中東と북アフリカのジャーナリストと活動家を標的にした、と3つの協力する組織が水曜日に発表した報告書で述べています。
これらの攻撃は、Bitterとして知られる高度な持続的脅威グループのインフラストラクチャを共有していました。このグループは、南アジア全域の政府、軍事、外交、および重要インフラセクターを最も頻繁に標的としています。これはAccess Now、Lookout、およびSMEXの研究者による結論です。
各グループはパズルの異なる部分に取り組みました:
- Access Nowは、ヘルプラインへの通話を受け、2023年と2024年のスピアフィッシングキャンペーンを調査しました。マルウェアについてのサポートについてはLookoutに問い合わせました。
- Lookoutは、マルウェアをBitterに帰属し、Android ProSpyスパイウェアを使用した可能性の高い傭兵ハッキングキャンペーンであると結論付けました。
- SMEXは、昨年有名なレバノン人ジャーナリストを標的とした、スピアフィッシングキャンペーンに深く入り込みました。キャンペーン間の共有インフラストラクチャを発見するためにAccess Nowと協力しました。
被害者の1人である独立したエジプト人ジャーナリストのムスタファ・アル・アアサルは、職位について話していた人から疑わしいリンクを受け取った後、Access Nowに連絡したと述べています。2018年にエジプトで逮捕されたとき、彼の電話が以前標的にされていたため、彼は懐疑的でした。
ジャーナリストと市民社会グループへの教訓は、サイバーセキュリティは「贅沢品ではない」ということです。彼は言いました。
「私は脅かされていると感じています」とアル・アアサルは述べています。彼は亡命して生活していましたが、「彼らは今でも私に続いています。また、私の家族、友人、情報源について心配していました」と感じています。
合同研究は、元の被害者よりも広範なキャンペーンを発見しました。
「私たちの共同調査結果は、少なくとも2022年から現在まで、主に中東の市民社会メンバーと潜在的な政府関係者を標的に運用されてきた諜報活動キャンペーンを暴露しています」とLookoutは述べています。「この作戦は、偽のソーシャルメディアアカウントとメッセージングアプリケーションを通じた標的となったスピアフィッシングの組み合わせを特徴としており、ターゲットのデバイスに応じてAndroidスパイウェアの配信をもたらす可能性のある、持続的なソーシャルエンジニアリング努力を活用しています。」
ジャーナリスト保護委員会はこのキャンペーンを非難しました。
「ジャーナリストへのスパイ行為は、しばしば威嚇、脅迫、および攻撃のより広いパターンの最初のステップです」と同グループの地域ディレクターであるサラ・クドハは述べています。「これらの行動は、ジャーナリストの個人的な安全だけでなく、彼らの情報源と彼らの仕事をする能力も危険にさらしています。地域の当局は、ジャーナリストを監視するために技術と財政的リソースを武器化することをやめなければなりません。」
Access Nowは、それが特定した攻撃の背後にいるのが誰であるかについて十分な情報を持っていなかったと述べています。
ESETは昨年、ProSpyマルウェアに関する研究を最初に発表しました。これはアラブ首長国連邦の住民を標的にしていることが判明しました。
