编者注:这篇博文是2023年9月22日于LabsCon 2023网络威胁情报会议上演讲的公开版本。Amnesty International组织于2023年10月6日发布的一篇博客文章已经证实了LabsCon上展示的一些情报。
- 思科Talos对间谍软件供应商Intellexa(以前称为Cytrox)发展的时间线、操作范例和程序进行了全新的深入分析。
- Talos的分析显示,重启iOS或Android设备并不总能清除Intellexa开发的“捕食者”(Predator)间谍软件。持久性是Intellexa为其植入物提供的附加功能,具体取决于客户选择的许可选项。
- Intellexa知道他们的客户是否打算在国外进行监视行动。
- 在首次公开曝光两年后,Intellexa的Predator/Nova间谍软件解决方案仍然未被反病毒解决方案检测到。对Intellexa的公开报道几乎没有影响到其在全球范围内开展和发展业务的能力。
- 几乎所有关于使用Intellexa间谍软件进行恶意操作的出版物都提及使用恶意域作为妥协指标(IoC)。但这些由客户管理的域名的披露对Intellexa的运营几乎没有影响,并且由于缺乏技术细节披露,使他们能够保留其恶意软件植入。
- 在2021年12月,许多用户针对Intellexa使用的漏洞链进行修复后,该间谍软件供应商在2022年初开始向至少一个新客户提供新的漏洞链,该漏洞链覆盖了相同和最新版本的Android操作系统。
2023年5月,思科Talos发布了第一份关于Intellexa间谍软件解决方案Alien和Predator的深度技术报告,展示了其内部工作原理,并展示了使此类间谍软件在Android操作系统上正常工作所需的高度复杂的软件架构决策。这项研究还揭示了商业间谍软件领域的其他几个方面,如广泛的媒体曝光的影响和招募问题等。
在LabsCon 2023网络威胁情报会议上,Talos以Intellexa为例,介绍了商业间谍软件领域固有的操作风险。这项研究深入研究了Alien/Predator系列植入物的历史,说明了一个破旧的间谍软件销售商Cytrox是如何被收购,并转变为情报机构级间谍软件供应商Intellexa的。
植入物的持久性是Intellexa产品的附加功能
从Intellexa联盟泄露的商业提案显示,每次感染的价格每年都在增加,同时该公司的技术解决方案的能力也在提高。重新启动设备不再是一种从受感染设备中移除植入物的有效方法。
2021年,“捕食者”(Predator)间谍软件无法在被感染的安卓系统上重新启动(但在iOS上可以)。然而,到2022年4月,它们已经向客户提供了这种能力。不过,它仍然不能在出厂重置后存活下来,但可以公平地假设,这种特定的功能未来将变得可用,从而彻底打破用户对设备的所有信任。
Intellexa的产品开发历程
Cytrox于2017年在北马其顿创建,并于2018年被WiSpear收购。然后在2019年,Nexa Technologies、WiSpear(和Cytrox)和Senpai Technologies合作创建了商业间谍软件公司Intellexa联盟。根据公开报道,该公司向多个客户出售商业间谍软件,而不考虑他们的潜在目标及其对间谍软件的滥用。
Senpai Technologies是一家专门从事OSINT和角色创建的公司,总部位于以色列,而WiSpear也位于以色列,专门从事Wi-Fi拦截。Nexa Technologies(现称为RB 42)是一家总部位于法国的公司,其主要业务是远程监控和安全服务。
2019年5月,当所有这些公司都整合为Intellexa之后,他们对Android旗舰间谍软件Predator的改造就开始了。由于在构建时使用了静态库编译,这一点可以在恶意软件二进制文件中留下的工件上得到证实。
到2020年4月,改造完成,该恶意软件开始计划部署在Android上。在2020年5月,开发者又开始致力于iOS“解决方案”,旨在将Alien/Predator从Android移植到iOS。事实证明,在iOS样本中,驱动Predator系统高级组件的引擎虽然不尽相同,但也与Android工件存在诸多相似之处。
【发展时间线】
定价模型
构建商业间谍软件是一个复杂的、由研究驱动的过程。它包括小心翼翼地规避、绕过和利用移动应用程序/软件包以及Android和iOS等操作系统所设置的安全控制。将如此强大的软件组合到一个包含零日漏洞或一键式零日漏洞的软件包中,使其成为一种高度可靠的攻击“解决方案”,而这也正是它昂贵的原因。早在2016年,《纽约时报》就报道过,NSO集团每10次感染收取65万美元,另外还有50万美元的初始设置费用。2013年,NSO集团与墨西哥签订了约1500万美元的多年期合同。
快进到五年之后的2021年,《纽约时报》披露的另一份文件详细介绍了Intellexa的Predator框架的提案手册,该解决方案的价格高达1360万欧元,具体服务内容包括:
- 20例并发感染;
- 一键漏洞利用初始访问;
- PredatorC2和管理硬件和软件;
- 项目计划、文件等。
- 12个月的保修支持。
【定义价格和条目的提案】
2022年泄露的文件显示,Intellexa的数据收集模块Nova平台在2022年的定价为800万欧元。不过,无论是1360万欧元还是800万欧元,都无疑是一笔巨款。然而,这强化了一个事实,即像Intellexa这样的商业间谍软件既不适合普通人,也不适合小型犯罪软件运营商。这些解决方案是为那些财力雄厚的客户准备的,而这些费用通常只有国家资助的机构能够承担。
定价模型还显示了产品的技术演变。根据2022年7月泄露的提案显示,Intellexa已经将boot生存能力纳入了Android解决方案。它还将对Android的支持时间延长至18个月。目前,还不清楚这是Intellexa开发和研究能力的直接结果,还是基于获得的漏洞才间接拥有的能力。
iOS最初的持久性机制是在启动过程中通过加载本地存储的恶意HTML页面来利用原有漏洞。因此,新引入的Android持久性机制可以简单地基于类似的方法。
似是而非的推诿
Intellexa的商业提案旨在制造合理的推诿。这些条款从基础设施责任扩展到交付方法。这是Intellexa商业模式的一个关键方面,目标是逃避问责,并声称他们对客户使用其“产品”的行为不负责任,他们甚至声称根本不知道受害者是谁。
【定义职责的提案】
泄露的提案表明,基础设施和匿名化都是客户的责任。从免责的角度来看,这使得Intellexa不知道受害者是如何成为攻击目标的说法成为可能。从操作风险的角度来看,这些条款还保护Intellexa在公开曝光的情况下免于承担任何责任。
【交付方法】
Intellexa所支持的硬件的交付是在航空站或机场完成的。这种交货方式被称为成本保险和运费(CIF),这是航运业术语(“国际贸易术语解释通则”)的一部分。这种机制允许Intellexa声称他们不知道系统的部署位置和最终位置。根据LighthouseReports的调查,当Intellexa将他们的解决方案卖给苏丹政府时,使用的就是这种方式。
【交付方式:CIF】
即使考虑到提案中的条款,如“在客户指定的设施安装和配置……”和“标准培训课程......”,这仍然不意味着Intellexa可能知道硬件的位置,因为一切都可以远程完成,甚至不需要他们的人员知道客户的“解决方案”的物理位置。
然而,事实上,Intellexa确实掌握第一手资料,可以基于许可模式知道他们的软件是否被客户用于在国外进行监视行动。基础模式下,该解决方案只支持单个电话国家代码前缀,不过,客户可以支付额外费用,在其他国家/地区使用该解决方案,而不受地理限制。
业务风险
人力资源
商业间谍软件公司正在招聘高度专业化的人力资源来开发他们的解决方案。LinkedIn上几位高度专业化的工程师的个人资料就充分证明了这一点。例如,NSO集团在6月份刚刚从一个情报军事单位招募了新的、高度专业化的工程师。
在iOS植入程序的开发过程中,Intellexa也聘请了一名iOS漏洞研究专家,此人之前曾在NSO集团工作。招聘的时机表明,该公司需要将植入程序与漏洞链整合,以便在iOS设备上可靠地部署它。
【iOS安全专家简历片段】
这样的“专家”也可以在其他商业间谍软件供应商那里找到工作,并定期积极地寻找工作。例如,Talos的快速搜索显示,就在2023年9月,NSO集团聘请了另一位具有相同研究背景的安全研究人员:
【工作经历示例】
这样的例子还有很多。高技能的研究人员将在同一业务领域从一家公司转到另一家公司,根据需要提供持续的人力资源流动。
目标操作系统支持
新的操作系统版本似乎对Predator解决方案没有太大影响。以Android操作系统为例,它可能会在正式发布前几个月就发布测试版。这给了Intellexa和他们的漏洞供应商足够的时间来开发新的漏洞链,作为初始攻击载体。
重要的是要理解Alien/Predator植入本身不需要在不同的操作系统版本之间改变太多。它们被编写得尽可能通用和模块化,而需要特定于操作系统版本和/或功能的模块是用Python编写的,可以很容易地通过客户的基础架构进行更新和部署。
对操作系统更新更敏感的组件是初始访问向量和持久性机制。新的漏洞补丁或者缓解技术都可能会使这些功能失效。
漏洞利用链修补
这是任何商业间谍软件解决方案中最敏感和最不受控制的部分。尽管如此,有人可能会认为这对商业间谍软件供应商的操作能力有很大的影响,但现实似乎证明这种影响很低,或者最多是中等程度。
漏洞利用代理和漏洞利用研究公司以订阅模式出售全部或部分漏洞链,如果购买的漏洞链被修补,客户有权获得可用的替代品。
事件的时间轴显示,Intellexa在其一个Android漏洞被修补后,仅花了不到六个月的时间就获得并整合了一个新的全面运行的漏洞链到其解决方案中。根据Lighthouse的报告,2022年5月,他们的平台被运往苏丹的一个新客户,这一事实证实了这一点。
总的来说,这表明暴露商业间谍软件供应商使用的漏洞虽然非常重要,但不会给他们带来太大的风险。事实上,这种风险被转移到了漏洞利用代理和供应商身上。
不过,此事引起了拜登-哈里斯政府的注意,并规定“任何从事漏洞交易的美国公司都不能与Intellexa公司进行业务往来”。这意味着Intellexa将不得不从其他地区的公司获取其漏洞,目前看来,这似乎不是一个问题。然而,如果英国和欧盟采取类似的行动,市场将变得更小,使这些公司更难获得他们的初始攻击向量。
公众曝光的影响
商业间谍软件公司的公开曝光提高了人们的意识,并引起了政府和监管机构的注意。这类披露还成功地将一些政权针对人权活动人士、记者和持不同政见者的恶意行动归咎于政府,表明Intellexa的许多“客户”缺乏道德准则。
然而,这种公开曝光对这些公司的盈利能力几乎没有影响。通过让他们购买或创建新的漏洞利用链可能会增加成本,但这些供应商似乎已经无缝地获得了新的漏洞利用链,使他们能够通过从一组漏洞利用跳转至另一组漏洞利用作为初始访问的手段来保持业务。
更重要的是,在商业间谍软件领域,大多数公开披露的信息都集中在恶意行动的政治方面,且只列出了恶意域名和基础设施,但却未能揭开恶意软件本身的内部工作原理。然而,在披露中暴露的域和基础设施是由间谍软件客户自己拥有和操作的,通常处于“孤岛”状态,这意味着暴露一个操作通常不会对所有其他客户产生影响。
这样的披露可能会对客户产生重大影响,但它们不会对间谍软件供应商本身施加成本。我们需要的是公开披露对移动间谍软件的技术分析,以及能够让公众审查恶意软件的有形样本。这样的公开披露不仅有利于进行更深入的分析并推动检测工作,而且还会增加供应商不断改进其植入物的开发成本。
原文链接:
https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/