根据加拿大公民实验室（The Citizen Lab）的最新报告，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡六国政府疑似成为以色列公司Paragon Solutions开发的间谍软件的客户。该间谍软件名为Graphite，能够从设备上的即时通讯应用程序中窃取敏感数据。

Graphite间谍软件的攻击模式

Paragon Solutions由Ehud Barak和Ehud Schneorson于2019年创立，其开发的Graphite是一款功能强大的监控工具。公民实验室通过分析疑似与该间谍软件相关的服务器基础设施，确认了这六国政府为“疑似Paragon部署”的客户。

此次事件的背景是，两个月前，Meta旗下的WhatsApp曾通知约90名记者和民间社会成员，称他们成为Graphite的攻击目标。这些攻击在2024年12月被成功阻止。

攻击目标遍布20多个国家，包括比利时、希腊、拉脱维亚、立陶宛、奥地利、塞浦路斯、捷克、丹麦、德国、荷兰、葡萄牙、西班牙和瑞典等欧洲国家。WhatsApp发言人当时表示：“这是间谍软件公司必须对其非法行为负责的最新例证。WhatsApp将继续保护人们的私密通信能力。”

攻击手法与后期发现

在这些攻击中，攻击者将目标用户添加到WhatsApp群组，并发送一个PDF文档。该文档随后会自动解析，触发一个已被修复的零日漏洞，并加载Graphite间谍软件。最终阶段，攻击者会突破Android沙箱，入侵目标设备上的其他应用程序。

进一步的调查显示，被黑的Android设备中存在一个名为BIGPRETZEL的取证痕迹，这被认为是唯一标识Paragon Graphite间谍软件感染的证据。

此外，调查还发现，2024年6月，意大利某位创始人在利比亚难民组织的iPhone设备也疑似感染了Paragon间谍软件。苹果随后在iOS 18的发布中修复了相关攻击向量。

苹果在一份声明中表示：“像这类雇佣间谍软件攻击极为复杂，开发成本高达数百万美元，通常生命周期较短，且针对特定个人。在检测到这些攻击后，我们的安全团队迅速开发并部署了修复程序，以保护iPhone用户，并向可能受影响的用户发送了Apple威胁通知。”

此次事件再次凸显了间谍软件的危害性和复杂性，同时也提醒用户和开发者必须保持警惕，及时更新系统和应用程序，以防止类似攻击的发生。

参考来源：

Six Governments Likely Use Israeli Paragon Spyware to Hack IM Apps and Harvest Data