深度解读以色列间谍软件Predator

文摘 2024-10-02 11:05 湖南

事件背景及描述

近期，Insikt Group的网络安全研究人员发现了Predator间谍软件基础设施的死灰复燃，此前人们认为该基础设施由于公开曝光和美国政府制裁而基本上处于不活跃状态。尽管遇到这些挫折，Predator背后的Intellexa重新设计了其间谍软件传送系统，使其能够在逃避检测的同时继续运行。

具有附加层的多层Predator基础设施（来源：Recorded Future）

Recorded Future报告链接：

https://go.recordedfuture.com/hubfs/reports/cta-2024-0905.pdf

‍Predator是Cytrox开发的一款间谍软件，自2019年以来一直用于对全球知名目标进行秘密监视。在制裁和公开披露之后，Predator活动在2024年初急剧下降，但Insikt Group最近的分析显示，该间谍软件远未达到预期目标。该报告基于网络工件和记录的未来网络情报的结合，概述了新基础设施集群的创建，其中包括来自刚果民主共和国的先前未记录的客户。

Insikt Group在不同国家确定了四个不同的Predator集群：

安哥拉；可能与之前与Predator相关的葡萄牙语域名相关。
刚果民主共和国；一个新的集群被发现，表明“捕食者”存在于政治不稳定的地区。
马达加斯加/阿联酋；一个可能分裂的集群，展示了Predator的覆盖范围跨越多个地理区域。
沙特阿拉伯；一个不活跃的集群，尽管与Predator早期行动的历史联系仍然存在。

尽管受到公众的监督和制裁，间谍软件市场仍在持续增长，Predator的回归凸显了对雇佣监视工具的持续需求。建议采取全面的安全措施，包括定期设备更新、移动设备管理系统和强大的安全意识培训。虽然这些步骤可以降低风险，但像Predator这样的间谍软件不断发展的复杂性要求组织和个人持续保持警惕。

Predator及其幕后受益者

Predator（掠食者）是一种功能强大的间谍软件，已被多个国家用来监视政治人物、记者、人权活动人士或反对者等，本文探索这个引发全球阴谋和愤怒的神秘数字实体的复杂层面。

Predator最初是由专门从事网络情报和监控解决方案的瑞士巨头Cytrox构思开发的间谍软件，Cytrox是一家位于北马其顿的公司，专门从事网络情报系统。Cytrox公司于2017年3月，由6名商人创立，是一家股份制公司，其中5名来自以色列（Dror Harpaz、Sharon Adler、Avraham Rubinstein、Eyal Avraham Oren、Alon Arabov），1名来自匈牙利（Rotem Farkash）。伊沃·马林科夫斯基（Ivo Malinkovski）为首席执行官，同时也是Cyshark公司的负责人。另外，北马其高级酒庄卡姆尼克酒庄为马林科夫斯基家族持有，其家族也是当地三十多年的军火贸易商。

伊沃·马林科夫斯基

根据真正所有者的单独登记，Cytrox的受益所有者是以色列前空军退伍军人梅尔·沙米尔 (Meir Shamir)。Cytrox并且获得了以色列航空航天工业公司的初始资金。

Cytrox它后来成为“间谍软件明星联盟”Intellexa的一员，该联盟的成立是为了与NSO集团竞争，并将自己描述为“基于欧盟并受到监管，在整个欧洲拥有六个站点和研发实验室”。而Intellexa的创始人是色列国防军预备役上校，曾担任陆军秘密技术部队的首席指挥官塔尔·迪利安（Tal Dilian）。

塔尔·迪利安

另外四家公司在北马其顿斯科普里的同一地址注册，每家公司都与塔尔·迪利安的同事有联系：Cyshark、Cygnet、Cintellexa和Cyberlab。所有这些公司均在2017年至2020年间注册。

Intellexa联合了多个仍笼罩在神秘之中的付费间谍技术供应商和制造商、公司和实体，其目标是为所有有抱负的间谍客户创建一站式商店。该联盟是一个由监控公司组成的联盟，其中包括Nexa Technologies，Nexa Technologies在Nexa Groupe的庞大保护伞下运营，Nexa Groupe是亿万富翁皮埃尔·安托万·洛伦齐(Pierre-Antoine Lorenzi)拥有的一家法国国防集团，前身为Amesys。

Cytrox的Predator间谍软件已被多国政府用来针对50多个国家的政治对手、记者、活动人士和人权捍卫者。2023年，美国商务部将Cytrox添加到实体名单中，禁止其在未经许可的情况下向美国出口产品或购买美国技术。

Cytrox是全球间谍软件行业的主要参与者之一，该行业的运作缺乏监管和监督。

Predator作为一款间谍软件，可以监视手机的活动和数据。Predator已经超越了国界，进入了世界各地政府和私人实体的武库。令人毛骨悚然的是，它被独裁政权和侵犯人权者用来针对感兴趣的个人。这份令人不寒而栗的名单包括来监视政治人物、记者、人权活动人士或反对者。

Predator超越了普通软件的范畴。它是一种高度复杂的间谍软件，经过精心设计，可以渗透并秘密监控智能手机和计算机。是什么让它与众不同？它具有在用户完全不知情的情况下进行操作的不可思议的能力，这一特性在数字领域引起了轩然大波。

Predator和Pegasus之间不可避免地会产生比较，Pegasus是以色列NSO集团开发的另一个臭名昭著的间谍软件。虽然它们具有某些共同特征，但在成本、操作所需的技术熟练程度、攻击向量以及隐藏不被窥探的能力方面存在显著差异。

Pegasus：解读以色列间谍软件Pegasus

Predator入侵功能及方式

Predator拥有一系列不遗余力的功能。可以侵入设备内部系统，获取其摄像头、麦克风、消息、电子邮件，甚至精确的地理坐标的访问权限，它还拥有记录通话、仔细记录击键以及拦截来自WhatsApp和Signal等安全通信平台的消息的能力。

Predator的运作具有保密性，这对于那些试图检测并从受感染设备中删除它的人来说是一个巨大的挑战，它采用隐蔽的交付和付款方式，从外交邮袋秘密走私到巧妙伪装的网络钓鱼电子邮件，付款以现金或通过离岸实体进行，加深了阴谋。

在网络间谍世界中，Predator是一种神秘的威胁，它采用的秘密策略使其成为可怕的对手。Predator使用复杂的攻击向量，采取秘密渗透目标设备的方法。

电子邮件：特洛伊木马

Predator渗透设备的一种方法是通过电子邮件。在这种情况下，攻击者会发送一封包含恶意附件或欺骗性网站链接的电子邮件。该附件或网站利用设备操作系统或软件中的漏洞，在未经用户同意的情况下秘密安装Predator文件。

这种方法被称为特洛伊木马攻击，将恶意软件伪装成无害或有益的内容。攻击者经常精心制作电子邮件，使其看起来值得信赖，提供诱人的优惠或看似来自可靠的来源。社会工程策略也可用于诱骗收件人打开附件或单击链接。

2019年出现了一个说明性的例子，当时国际特赦组织发现了针对摩洛哥记者和活动人士的恶意Excel文件。这些文件利用Microsoft Office零日漏洞秘密安装Predator。

同样，Forbidden Stories在2021年报道称，印度记者和活动人士收到了包含恶意PDF文件的电子邮件。这些文件利用Adobe Reader零日漏洞，秘密安装Predator。

短信阴谋：背叛的短信

Predator还利用短信作为感染手段。攻击者发送短信，其中包含恶意网站的链接，这些网站利用设备浏览器或软件漏洞，促进Predator文件的谨慎安装。

此方法被归类为网络钓鱼攻击，旨在欺骗用户访问欺骗性或受损的网站。 SMS 消息通常采用激发好奇心或引发紧迫感的内容。欺骗技术可用于使短信显得真实。

公民实验室在2018年发现了一个相关例子，墨西哥记者和活动人士收到了链接到恶意网站的短信。这些网站利用Android操作系统中的漏洞，在其手机上秘密安装Predator文件。

此外，Forbidden Stories的2021年调查显示，沙特记者和活动人士收到带有恶意网站链接的短信，利用iOS操作系统漏洞安装Predator文件。

欺骗之网：应对漏洞

另一种感染途径是通过网络。攻击者将受害者引导至恶意网站或将他们从合法网站转移至恶意网站。这些网站利用设备浏览器或软件中的漏洞来秘密安装Predator文件。

这种方法称为偷渡式下载攻击，不需要用户交互或同意。攻击者使用各种技术使恶意网站显得真实。域名欺骗、误植、URL 缩短、内容注入、劫持和投毒都是用来掩盖网站身份的策略。

国际特赦组织2019年的发现披露，卢旺达记者和活动人士访问了利用Google Chrome浏览器和 Mozilla Firefox浏览器漏洞安装Predator文件的恶意网站。

Forbidden Stories的2021年调查揭露了阿塞拜疆记者和活动人士遭遇恶意网站利用 Safari和Opera漏洞在其移动设备上安装Predator文件的情况。

WhatsApp的脆弱连接

Predator利用WhatsApp的漏洞，通过语音或视频通话来感染设备。这些调用利用WhatsApp 协议或软件中的弱点，在未经用户同意的情况下秘密安装Predator文件。

这种方法被称为零点击攻击，无需用户交互或同意，即使目标已阻止攻击者或禁用WhatsApp 的通话功能。

WhatsApp在2019年对NSO集团提起的诉讼揭示了这样一种攻击媒介。NSO集团据称利用 WhatsApp通话功能中的漏洞秘密向20个国家/地区的1400多名用户传送Pegasus间谍软件。

Forbidden Stories的2021年调查揭露印度记者和活动人士是Predator的受害者，该文件利用了类似的技术，利用了WhatsApp的通话功能漏洞。

零点击：隐形入侵

Predator还采用零点击攻击，利用设备操作系统或软件漏洞在无需用户交互或同意的情况下自行安装。这些攻击非常隐蔽，不会在设备上留下任何可见痕迹。

零点击攻击可以通过各种渠道进行，并针对设备的不同组件，包括内核、引导加载程序、固件、驱动程序和应用程序。

Project Zero 2019年的调查结果发现了通过iMessage针对iOS设备的零日攻击，安装了可访问各种数据和功能的植入程序。

2021年，国际特赦组织记录了通过iMessage和Apple Music对iOS设备进行零点击攻击的证据，安装了能够访问设备数据和功能的Predator间谍软件。

隐蔽的传输及安装方式

Predator不仅采用隐蔽的传送和安装方式，而且操作和隐藏能力也很强。一旦安装，它就会使用加密、混淆、自毁、反调试措施、反取证策略、rootkit和沙箱逃逸等技术来逃避检测和分析。

Predator通过各种协议和方法与其命令和控制服务器进行通信，包括HTTPS、DNS、SMTP、FTP、TOR或代理。它可以采用隐藏、隧道或加密来隐藏或保护其网络流量。此外，它可以根据操作员指令远程更新或卸载自身，擦除轨道，或者在检测到或不成功时重新安装。Predator运行谨慎，就像一只看不见的手，在用户不知情的情况下悄悄控制和监视受感染的设备。

Predator进行间谍活动的方式

Predator可以监视设备的各个方面和用户的活动。它可以访问和收集以下数据和功能：

相机：Predator可以使用设备的前置或后置摄像头拍照或录制视频，还可以远程或以隐形模式激活相机。
麦克风：Predator可以使用设备的麦克风录制音频，还可以远程或以隐形模式激活麦克风。
联系人：Predator可以访问和复制设备的联系人列表，包括姓名、电话号码、电子邮件和其他详细信息。
消息：Predator可以访问和复制设备的短信，包括短信、彩信、iMessage和其他消息应用程序。
电子邮件：Predator可以访问和复制设备的电子邮件，包括 Gmail、Outlook、Yahoo和其他电子邮件应用程序。
位置：Predator可以使用GPS、Wi-Fi或蜂窝网络跟踪设备的位置，它还可以访问和复制设备的位置历史记录和地理标记照片。
浏览器：Predator可以访问和复制设备的浏览器历史记录、书签、cookie、密码和其他数据，还可以监视和拦截设备的网络流量和请求。
应用程序：Predator可以访问和复制设备的应用程序数据，包括WhatsApp、Signal、Telegram、Facebook、Twitter、Instagram、Snapchat、TikTok和其他社交媒体应用程序，还可以监视和拦截设备的应用程序流量和请求。
通话：Predator可以录制和复制设备的语音或视频通话，包括WhatsApp、Signal、Telegram、Skype、FaceTime和其他通话应用程序，还可以监视和拦截设备的通话日志和元数据。
按键记录：Predator可以记录和复制设备的按键，包括密码、搜索查询、注释、消息、电子邮件和其他输入。
文件：Predator可以访问和复制设备的文件，包括照片、视频、音乐、文档、PDF、ZIP和其他格式，还可以向设备上传文件或从设备下载文件。

Predator可以监视设备上发生的几乎所有事情或用户使用设备所做的一切。它可以收集大量敏感数据和个人数据，其运营商可以将这些数据用于各种目的。

Predator的其他特性和功能摘要

Predator具有多种特性和功能，使其成为强大且多功能的网络间谍工具。它可以感染和监控各种类型的设备，例如智能手机和计算机。它还可以针对和利用各种操作系统和软件，例如iOS、Android、Windows、macOS、Linux、Microsoft Office、Adobe Reader、Google Chrome、Mozilla Firefox、Safari、Opera、WhatsApp、Signal、Telegram、Facebook、Twitter、 Instagram、Snapchat、TikTok等。

Predator具有模块化和可定制的架构，使其能够适应不同的场景和需求。它可以由操作员使用图形用户界面或命令行界面进行远程配置和控制。它还可以由操作员使用自毁机制或终止开关远程更新或卸载。

Predator具有高性能和可靠性，确保其有效性和效率。它可以根据网络可用性以在线或离线模式运行。它还可以使用各种加密和压缩算法来减小其大小并保护其数据。

Predator其价格和价值反映了其质量和实用性。客户可以根据预算和期限购买或租赁它。也可以根据自己的喜好和自由裁量权以现金或通过离岸公司支付。

Predator间谍活动的规模和多样性

Predator已被用来监视世界各地成千上万的人。它针对不同类别的人，如记者、活动人士、律师、政治家、持不同政见者等。它还瞄准了非洲、亚洲、欧洲、美洲等多个国家和地区。

Predator已被多个来源曝光，例如泄露的文件、媒体报道、法庭案件和调查。这些来源提供了有关Predator间谍活动的一些统计数据，例如目标数量、感染数量、操作员数量和服务器数量。

Predator已被国际特赦组织、Forbidden Stories、Citizen Lab和Project Zero等多个组织分析过。这些组织提供了有关Predator间谍活动的一些见解，例如感染方法、间谍软件的特征、间谍活动的影响以及保护对策。

Predator在2019年和2021年的两项重大调查中曝光。这些调查被称为Predator项目和Predator文件。他们涉及来自10个国家17家媒体的80多名记者。来自100个国家的1000多名民间社会参与者也参与其中。

根据卫报对样本的分析，该样本包含以下内容：

自2016年以来，Predator客户选择的50000个电话号码作为可能的目标。
来自20多个国家的180名记者，为CNN、半岛电视台、卫报、华盛顿邮报、世界报等媒体工作。
来自30多个国家的600名政治家和政府官员，担任总统、总理、部长、大使、法官等职务。
来自40多个国家的1500名活动人士和人权捍卫者，为国际特赦组织、人权观察组织、透明国际组织等组织工作。
来自10多个国家的200名企业高管和企业家，就职于空客、道达尔、Orange等公司。
来自10多个国家的100位名人和影响者，涉及体育、娱乐、宗教等领域。

根据《世界报》对同一样本的分析：

该样本包含超过15个被怀疑或确认使用Predator间谍软件的客户端。这些客户主要是摩洛哥、沙特阿拉伯、墨西哥、印度、阿塞拜疆、哈萨克斯坦、卢旺达、马达加斯加、法国和瑞士等国家的政府或国家机构。

该样本包括10多名操作员，他们负责选择并使用Predator间谍软件感染目标。这些操作员大多是Cytrox或Nexa Technologies的员工或承包商，其工作代号为A1M1R1A1N1E1S1Y1S1或N1E1X1A1T1E1C1H1N1O1L1O1G1I1E1S1。

该样本还包括300多台服务器，这些服务器用于托管Predator间谍软件或与受感染的设备进行通信。这些服务器大多位于法国、德国、荷兰、英国和美国。这些服务器大多是由Cytrox或Nexa Technologies租用或黑客入侵的。

研究显示，自2016年以来，Predator已经监视了来自50多个国家的50000多人。它还显示，Predator已被来自10多个国家的超过15个客户和10多个运营商使用。它还显示Predator已由来自10多个国家的300多台服务器托管。

这些统计数据是指示性的和部分的。它们并不能反映Predator间谍活动的准确或真实规模和多样性。它们基于有限且不完整的样本，随着更多数据的出现，它们可能会发生变化。

Predator在不同情况下的威胁程度

Predator根据具体情况会造成不同程度的威胁。根据目标、操作者、上下文和目的，它可能或多或少危险。

Predator在某些情况下比在其他情况下更具威胁性。其中一些案例是：

当目标是知名人士时，例如记者、活动家、律师、政治家、持不同政见者或名人。这些人更有可能拥有可供Predator操作者利用的敏感且有价值的信息。
当运营商是敌对实体时，例如独裁政权、犯罪组织、恐怖组织或敌对国家。这些实体更有可能将Predator用于恶意和有害目的，例如勒索、骚扰、恐吓、迫害、逮捕、酷刑或暗杀。
当背景是冲突局势时，例如战争、政变、抗议或选举。这些情况更有可能造成不稳定和不安全，从而被Predator操作者利用。
当目的是战略目标时，例如影响公众舆论、破坏民主、窃取秘密或破坏行动。这些目标更有可能产生重大而持久的影响，而Predator可以实现这些目标。

Predator在某些情况下威胁性低于其他情况，其中一些示例有：

当目标是低调的人时，例如朋友、家人、同事或陌生人。这些人不太可能拥有可供Predator操作者利用的敏感且有价值的信息。

当运营商是良性实体时，例如执法机构、安全公司或研究团体。这些实体不太可能将Predator用于恶意和有害目的，而是用于合法和道德目的，例如调查、保护或分析。

当背景是和平的情况时，例如正常的一天、假期或事件。这些情况不太可能造成Predator操作员可利用的不稳定和不安全因素。

当目的是个人动机时，例如好奇、嫉妒、无聊或报复。这些动机不太可能像Predator操作者那样产生重大和持久的影响。

Predator根据具体情况会造成不同程度的威胁。根据各种因素，它可能或多或少危险，在每种情况下评估Predator的威胁级别并采取适当措施保护自己免受威胁非常重要。

间谍软件活动会带来什么后果？

Predator可能会给受害者及其权利带来严重和有害的后果。它可能侵犯他们的隐私、安全、自由、尊严等，还可能使他们面临各种风险和威胁，例如勒索、骚扰、恐吓、迫害、逮捕、酷刑或暗杀。

Predator也会对社会和民主产生负面影响。它可能破坏言论自由、信息自由、结社自由和集会自由，它还可能威胁媒体、司法、反对派和民间社会的独立性，还可能削弱机构和当局的信任、责任和透明度。

Predator还会对国际关系和人权产生不利影响。它可能侵犯其他国家的主权、领土完整和互不干涉，还可能违反国际法、国际公约和国际准则，并可能危及国际社会的和平、稳定与合作。

Predator可以在不同级别和维度上产生多种有害影响。它不仅会损害个人及其权利，还会损害社会和民主，以及国际关系和人权。

Predator的其他丑闻报道

Predator涉及多起事件和丑闻，引起了公众的关注和媒体的报道。这些事件和丑闻暴露了Predator的客户和运营商非法和不道德使用的情况，还引发了受害者和反对者的法律和政治反应和行动。

Predator监视项目

2021年7月，国际特赦组织和Forbidden Stories发起了一项调查，揭露了Predator对来自50多个国家的50000多名个人的间谍活动。这些目标包括记者、活动人士、律师、政客、持不同政见者，甚至名人。令人震惊的是，摩洛哥、沙特阿拉伯、墨西哥、印度、阿塞拜疆、哈萨克斯坦、卢旺达、马达加斯加、法国和瑞士等10个国家的超过15个客户被发现使用Predator进行监控。

2021年7月，代表10个国家17家媒体的80多名记者组成的联盟发表了一系列文章。这些揭露深入探讨了Predator对不同个人和地区的间谍活动的复杂细节和深远影响。此外，他们还揭示了Cytrox和Nexa Technologies在间谍软件行业中的角色和职责。

法律行动：对Predator提起诉讼

Predator的受害者已对其客户和运营商采取法律行动，为其隐私、安全和权利受到侵犯的行为寻求正义和赔偿。著名的诉讼包括：

摩洛哥记者兼活动家奥马尔·拉迪在法国对摩洛哥政府采取法律行动（2019年10月），指控他们使用Predator监视他的通讯。
摩洛哥历史学家和活动家 Maati Monjib出于类似原因在法国对摩洛哥政府提起诉讼（2021年7月）。
国际特赦组织秘书长Agnes Callamard对Cytrox和Nexa Technologies提起诉讼（法国，2021年7月），指控他们共谋其客户的间谍活动。

政治决议：Predator决议

Predator的反对者已采取政治措施来谴责和惩罚非法和不道德使用间谍软件的行为。此外，他们的目标是规范和监督间谍软件行业。值得注意的决议包括：

欧洲议会决议（2021年7月）呼吁在欧盟范围内禁止向侵犯人权国家出口间谍软件。它还要求对欧盟公司参与间谍软件贸易的情况进行调查。
联合国人权理事会决议（2021年7月）主张暂停间谍软件的销售和使用，直至建立国际法律框架。它还要求任命一名隐私特别报告员来监督和报告间谍软件问题。
非洲联盟决议（2021年8月）提议大陆禁止从侵犯人权国家进口间谍软件。它还呼吁成立非洲人权委员会来调查和起诉间谍软件滥用行为。

Predator其他丑闻

《世界报》于 2023年10月12日揭晓了一桩丑闻，揭露了法国集团Nexa如何规避欧洲出口法规，向马达加斯加出售Predator。随后，马达加斯加政权利用Predator镇压反对派成员、记者、活动人士和人权捍卫者。

这些事态发展凸显了Predator的使用所造成的深远影响，以及追究责任人责任的持续努力。

安全更新保护设备免受Predator文件的侵害

鉴于Predator的死灰复燃，网络安全专家强调了强大防御策略的重要性。

定期软件更新：让设备更新最新的安全补丁可以减少漏洞。
设备重启：定期重启可以破坏间谍软件的运行，尽管它可能无法完全消除复杂的威胁。
锁定模式：激活此模式可以帮助阻止未经授权的访问。
移动设备管理(MDM)：MDM系统允许组织有效地管理和保护员工设备。
安全意识培训：对员工进行有关鱼叉式网络钓鱼和社会工程策略的教育可以防止潜在的间谍软件渗透。

这些措施对于政府官员和企业领导人等处于敏感地位的人来说尤其重要。

总之Predator是一种对其受害者及其权利构成危险的间谍软件。它几乎可以监视他们的设备上发生的或他们使用设备所做的一切，可以收集大量敏感数据和个人数据并将这些数据用于各种非法的目的。

CISAW网络情报分析培训课程

公众号历史文章合集（5.11—9.1日）

公众号历史文章合集（截止到5.11日）

http://mp.weixin.qq.com/s?__biz=Mzk0MzE5ODQwMg==&mid=2247492221&idx=1&sn=e28ef2286076cea0a387b240e225db97

开源情报俱乐部

专注OSINT开源情报研究与应用，分享OSINT情报资讯、分析案例及资源。