标签: 间谍软件

以色列法院裁决 NSO 仍可继续出口间谍软件

据外媒报道,当地时间本周一,臭名昭著的间谍软件公司NSO集团在以色列法院上取得重大胜利,对此,批评者称这是一项不光彩的裁决。据了解,法院最终裁决NSO可以继续出口其黑客与监控工作,理由是人权组织Amnesty International未能证明NSO客户使用这些技术监视Amnesty员工。 据Motherboard当时报道,2018年,Amnesty宣称发现黑客使用NSO间谍软件监视其机构的一名研究人员。事件发生后,该组织在以色列起诉了NSO并试图阻止其监视技术出口。然而特拉维夫地区法院的一名法官以该公司未能出具足够的证据驳回了这一请求并还表示负责监督监视技术出口的以色列国防部拥有适当的保障措施来保护人权。 Amnesty严厉指责了这项裁决。Amnesty Tech代理联合总监Danna Ingleton表示:“今天这个可耻的裁决是对NSO集团将其产品卖给臭名昭著的人权侵犯者而使全世界处于危险中的人们的一残酷打击。在NSO和以色列国防部应该为他们的行为负责的时候,法院却没有这样做,这令人震惊。NSO集团将继续从侵犯人权行为中获利而不受惩罚。法院的裁决公然无视NSO集团的间谍软件被用来攻击从沙特阿拉伯到墨西哥的人权捍卫者的大量证据以及本案的基础–我们自己的Amnesty员工。我们将继续尽我们所能阻止NSO组织的间谍软件被用来侵犯人权。” 而NSO显然为这次胜利感到高兴。“这一判决是无可辩驳的证据,它证明了我们所处的监管框架是符合最高的国际标准的。结合NSO行业领先的治理框架,我们在正确使用技术和尊重人权方面上是全球领导者的这一事实得到了巩固。恐怖分子和犯罪分子的高级加密使得NSO向授权得到许可验的政府机构提供的这种合法和适当的响应成为必要。”   (稿源:cnBeta,封面源自网络。)

以色列间谍软件声称击败了苹果 iCloud 的安全保护措施

以色列公司NSO集团一直在告诉其政府客户,其Pegasus恶意软件现在可以提取更多关于任何特定个人的数据。除了该人智能手机上的数据外,该组织声称可以隐蔽地检索该人存储在Apple,Google,Microsoft,Facebook和亚马逊所拥有服务器上的所有信息。据英国“金融时报”报道,其中包括所有信息和照片,以及有关手机位置整个历史的数据。 英国《金融时报》注意到,该组织没有否认这些能力的说法,而且独立的研究工作已经表明,在记者和人权活动家的手机上存在PegASUS恶意软件。该报的匿名消息来源描述了NSO的销售演示,也提供了书面证据。该销售人员表示,无需“在目标设备上提示两步验证或警告电子邮件”即可获得个人数据提供完全访问权限。 但是,必须在手机上安装此Pegasus恶意软件,同时需要root访问权限。如果攻击者具有root访问权限,则用户的Cloud安全会遇到问题。同时,一旦加载,就会发现Pegasus恶意软件会复制用于访问云存储的登录凭据。然后,该信息将使用恶意软件发送给政府或其他组织,然后他们可以完全访问该云存储。根据销售文件,该系统甚至可以与最新的iPhone和Android手机配合使用。 苹果公司对英国“金融时报”记者表示,其iOS是世界上最安全,最安全的计算平台。 苹果已成功阻止以前版本的Pegasus,包括iOS和macOS平台。虽然可能存在一些昂贵的工具来对极少数设备进行有针对性的攻击,苹果认为这些工具对于广泛攻击消费者并不有用。同样,微软称它正在不断发展其保护措施。亚马逊和微软表示他们正在调查相关问题。   (稿源:cnBeta,封面源自网络。)

苹果企业证书再爆丑闻 间谍软件窃取用户隐私信息

移动安全公司Lookout发现,一款强大的间谍软件正瞄准iPhone用户,并窃取他们的隐私信息。研究人员宣称,这款软件的开发者滥用了苹果公司颁发的企业证书,绕过其应用商店审查,感染毫无戒心的受害者设备。 这种伪装软件被安装后,它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息,包括他们的实时位置数据。 研究人员发现,这款应用还可以被远程触发,监听人们的谈话。尽管没有数据显示谁可能成为攻击目标,但研究人员指出,这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前,也曾出现针对安卓设备的类似间谍软件Exodus。 Lookout高级安全情报工程师亚当·鲍尔(Adam Bauer)表示,这两款软件都使用了相同的后端基础设施,而iOS版本使用了多种技术,使得分析网络流量变得非常困难,显然有专业团体负责开发这些软件。 研究人员表示,他们不知道有多少苹果用户受到了影响。苹果还没有就此置评。   (稿源:网易科技,封面源自网络。)

监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府

据外媒报道,一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron  可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。   Gray Heron 间谍能力 在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢? 一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章: 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

间谍软件日志暴露了埃塞俄比亚一场国家级监控阴谋?

据外媒 11 月 6 日报道,埃塞俄比亚政府近日被发现购买了以色列 Cyberbit 公司的间谍软件用于监视居住在国内外持不同政见的人群。但因政府执行人员在配置 C&C 服务器时出现严重问题导致一份间谍软件的日志文件泄露,从而暴露了埃塞俄比亚政府的监视活动及所有监控目标。 调查显示,这个秘密监视行动似乎从去年开始,由包含各种网站链接的鱼叉式网络钓鱼邮件组成。在 2016 年和 2017 年,加拿大、美国、德国、挪威、英国和其他许多国家的人们陆续收到可疑邮件,而这并非普通的垃圾邮件,这些邮件主要通过恶意链接引诱用户下载一个虚假的 Adobe Flash Player 更新或者一个名为 Adobe PdfWriter 的应用程序查看视频或 PDF 文件。如果点击,那么他们的互联网连接就会被劫持并偷偷地重定向至目标服务器,这些服务器装有 Cyberbit 公司设计的监控软件,而购买了 Cyberbit 公司监控软件的机构能够监视目标在设备上的一举一动,还可以远程激活摄像头和麦克风。 这些攻击中使用的恶意软件是一个名为 PC Surveillance System ( PSS ) 的 Windows 程序,由 Cyberbit 出售,并且 Cyberbit 有意将 PSS 作为合法的监控软件销售给全球的情报与执法机构。据悉,Cyberbit 是 Elbit Systems 的子公司,目前还有其他三家“安全”公司加入了 Elbit Systems,分别是 HackingTeam(产品:RCS – 远程控制系统),Gamma 集团(产品:FinSpy)和 NSO 集团(多个产品),这些公司的产品都是作为专制政权的首选网络工具。 然而当地政府在发起鱼叉式钓鱼活动中犯了严重错误,一些收件人把可疑邮件转发给了加拿大公民实验室( Citizen Lab) 。而在此次事件中,埃塞俄比亚政府特工犯的最大错误在于对参与调查的 Citizen Lab 研究人员产生矛盾和进行攻击,这使得 Citizen Lab 团队对这些攻击更感兴趣,由此深入调查最终发现,假冒 Flash Player 和 PdfWriter 应用程序的恶意软件正在与一个在线暴露了 web 文件夹的 C&C 服务器进行通信。 在这些网络文件夹中,Citizen Lab 团队发现了他们需要了解的一切,包括含有攻击者 IP 地址的日志,以及埃塞俄比亚政府试图感染和监视的详细目标。值得注意的是,通过分析网络间谍活动的指挥和控制服务器,Citizen Lab 团队还监控到 Cyberbit 员工在感染笔记本电脑的情况下访问这些服务器,显然是向潜在客户展示 Cyberbit 的产品。据统计,Cyberbit 的这些客户包括泰国皇家军队、乌兹别克斯坦国家安全局、赞比亚金融情报中心和菲律宾总统马拉坎南宫。 Citizen Lab 团队发现,埃塞俄比亚政府使用的监控软件不仅影响了当地用户,还感染了许多生活在埃塞俄比亚的侨民 。对此 Citizen Lab 团队发布紧急通知提醒包括记者、活动人士和参与最近在埃塞俄比亚奥罗米亚地区发生的抗议活动的持有不同政见的人群,以及来自邻国厄立特里亚的政府官员提高警惕。 当然,这些公司坚持他们出售给政府的间谍软件是专门用来打击和调查犯罪人群的。 但问题是,通常情况下记者、学者或非政府组织试图揭露某些政府行为时,很容易会被贴上罪犯或恐怖分子的标签。且据研究表明,即使这些人群居住在国外,也很容易受到国家监视。据 Citizen Lab 研究人员称,这并非埃塞俄比亚政府第一次购买监控软件,埃塞俄比亚国家官员是 HackingTeam 和 Gamma 集团的忠实客户,在过去几年都部署了他们的产品。此外,在 Citizen Lab 调查人员的接触下,Cyberbit 管理层试图推脱了所有责任,并对外声称他们只是一个供应商,只向政府机关和执法机构提供 PSS,负责确保他们合法授权使用产品,并不实际操作任何产品。 研究人员表示,商业间谍软件行业已成为当今最危险的网络安全问题之一,也正是因为有像 Cyberbit 这样对客户实际行为视而不见、纵容间谍软件滥用导致严重后果的“安全公司”。想要解决这个问题的话需要司法机构、以及政府、民间社会和私营部门的共同努力。如果国际社会不迅速采取行动,那么将会有越来越多的记者、维权人士、律师甚至连一些国家本身的权利都不能受到保障。 相关阅读: 完整的公民实验室(Citizen Lab )分析报告可在这里找到。 消息来源:Bleeping Computer,编译:榆榆,校对:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

手机 App 被印度质疑为间谍软件,小米和 UC 回应

在印度内务部禁止印度军事人员安装一系列中国手机应用软件之后,小米和 UC 公司对此作出了回应。小米公司宣称公司已经针对这一事件展开了调查,UC 则声称不会做出任何破坏用户信任的行为。 小米公司发言人称:“在小米公司内,我们非常严肃认真的对待安全和隐私问题。我们全球的电子商务平台和国际用户的数据都位于加利福尼亚和新加坡的亚马逊 AWS 数据中心。我们目前正在对这一报告进行审查,而且希望让米粉们放心,我们一直致力于安全的储存和传递用户数据。” UC 同样做出回应称:“最近关于印度军人卸载许多手机应用的媒体报道让我们感到委屈和痛苦。在 UC 公司内,我们非常重视安全和隐私问题,而且努力遵守每个运行区域的当地法规,当然包含印度在内。我们也非常自豪于能够为印度和数百万印度用户提供长期的承诺。UC 浏览器和 UC 新闻并非像报告中宣称的那样,它们既不是间谍软件也不是恶意软件。” 周早些时候有媒体报道称,印度情报机构要求安全部队不要使用由中国研发或者与中国相关的手机应用,并且声称它们有可能是间谍软件。 被印度情报机构列入黑名单的应用包括 Truecaller(真实来电)、UC 浏览器、微信以及小米手机上的诸多本土 App,比如说小米社区、小米商店和小米视频通话等。这些 App 被怀疑是间谍软件。 稿源:cnBeta,封面源自网络;

全球各领事馆与大使馆或遭新型恶意软件 Gazer 监控,疑似俄 APT 组织 Turla 所为

据外媒 8 月 30 日报道,网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控,疑似与俄罗斯 APT 组织 Turla 有关。 Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 此次调查显示,恶意软件 Gazer 由开发人员采用 C ++ 程序编写,经鱼叉式钓鱼攻击进行传播,可由攻击者通过 C&C 服务器远程接收加密指令,并可使用受损合法网站( 多数使用 WordPress )作为代理规避安全软件检测。研究人员表示,该后门的使用最早可追溯至 2016 年,且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外,Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身,以便窃取用户更多敏感信息。 恶意软件使用的 “ Solid Loop Ltd ” 有效证书 目前,研究人员已证实 Gazer 后门恶意软件存在四种不同变种,欧洲地区政府机构受影响情况最为严重。有趣的是,不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书,而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此,研究人员建议系统管理员启用全方位检测与预防系统,禁用过时的协议与端口、主动监控网络流量与部署安全机制。 相关链接: ○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》 ○ 卡巴斯基有关 Gazer 后门的细节报告 历史资讯: ○ 俄间谍组织 Turla 持续开发 Carbon 后门新变种 ○ 俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部 原作者:Danny Palmer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

流行开源项目被企业接手,插入广告和间谍软件

创业公司 Kite 悄悄接手多个流行开源项目,然后在代码中插入广告和间谍软件。据悉,这家创业公司由 Adam Smith 创办,其雇佣了流行 Atom 编辑器扩展 Minimap 的作者 @abe33(真名叫 Cédric Néhémie)。 Minimap 的下载量超过 350 万,在被 Kite 雇佣后,@abe33 更新程序并添加了新功能,通过观察用户代码然后插入 Kite 的网页链接。Kite 声称这是一项有用的功能,但程序员认为这是不相关服务的广告。Minimap 的情况并非唯一。 此外,Kite 还被发现接管并更新了另一个下载量接近一百万的开源项目 autocomplete-python,社区开发者仔细检查了新版 autocomplete-python 的源代码,发现它默认启用了 Kite 的引擎,Kite 的引擎要求代码使用 Kite 的云服务处理,这意味着需要将数据发送给 Kite。 稿源:solidot奇客,封面源自网络

Google 揭安卓间谍软件 Chrysaor 隐藏三年终被发现

安全公司 Lookout 与 Google 专家 4 日透露,安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示,Chrysaor 主要通过著名的安卓生根漏洞(称为 Framaroot) 感染移动设备并全面控制系统应用。 据悉,Chrysaor 是最为复杂的移动间谍软件之一,由以色列监视公司 NSO Group Technologies 开发。目前,安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明,尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标,但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能: 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示,虽然这些应用程序从未在 Google Play 中使用,但他们已经联系潜在受影响的用户禁用感染设备中的应用程序,并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力,因此无法分析其攻击性能。事实上,早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞,并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以色列国防军遭“色诱”感染间谍软件 ViperRAT,泄露敏感信息

据 Lookout 和 卡巴斯基报道,一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击,窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件,并远程泄漏了高价值的数据,包括照片和音频录音。 攻击策略:美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后,美女以各种手段诱骗士兵下载恶意软件,如 SR Chat 和 YeeCall Pro 此类的聊天软件,以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ,并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机,窃听士兵的对话并进行实况拍照,近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置,通话记录,个人照片,短信,基站信息,网络和设备数据,互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。