Το λογισμικό κατασκοπείας Predator της Intellexa αποδεικνύεται ότι είναι ικανό να αποσπά πολύτιμα δεδομένα ακόμη και από αποτυχημένες προσπάθειες μόλυνσης και να στοχεύει εσκεμμένα ερευνητές κυβερνοασφάλειας.
Μόλις πρόσφατα, η Google Threat Intelligence Group είχε αναλύσει ξανά σε βάθος το ισχυρό spyware Predator του κονσόρτσιουμ Intellexa.
Ό,τι τότε θεωρήθηκε καθοριστική ματιά στα «σπλάχνα» του κρατικού trojan, φαίνεται πως ήταν μόνο η κορυφή του παγόβουνου.
Νέες έρευνες από το Threat Labs της Jamf (εταιρεία με εξειδίκευση σε περιβάλλοντα Apple) σκιαγραφούν πλέον μια κακόβουλη πλατφόρμα με τεχνικό επίπεδο πολύ ανώτερο από τις μέχρι σήμερα εκτιμήσεις.
Σύμφωνα με τα ευρήματα, οι δημιουργοί της έχουν υλοποιήσει λειτουργίες που δεν εξυπηρετούν μόνο την καθαρή κατασκοπεία: το πρόγραμμα αμύνεται ενεργά απέναντι στην ανίχνευση και μαθαίνει από τα λάθη του.
«Τείχος προστασίας» απέναντι στους περίεργους
Ένα κρίσιμο σημείο των νέων ευρημάτων αφορά τη συμπεριφορά του Predator όταν αποτυγχάνει ή όταν υπάρχει κίνδυνος να αποκαλυφθεί.
Οι ειδικοί της Jamf κατέγραψαν έναν άκρως εξειδικευμένο “Kill Switch”, που ξεπερνά κατά πολύ τις απλές ρουτίνες αυτοδιαγραφής. Κατά την Jamf, αυτή η λειτουργία δρα ως το απόλυτο «τείχος» απέναντι σε ερευνητές ασφαλείας.
Όταν το spyware αντιληφθεί ότι εκτελείται σε περιβάλλον ανάλυσης ή όταν ενεργοποιηθούν συγκεκριμένοι μηχανισμοί ασφαλείας του iPhone, τότε—σύμφων�� με την ανάλυση—ενεργοποιεί τον Kill Switch.
Εκεί δεν «καθαρίζει» μόνο ίχνη: σταματά σκόπιμα τη λειτουργία του, ώστε να κρύψει κρίσιμα exploits και κανάλια επικοινωνίας από τα μάτια των forensics.
Αυτή η στρατηγική άμυνας ενισχύεται από ένα ακριβές σύστημα διάγνωσης. Η Jamf κατάφερε να τεκμηριώσει πλήρη ταξινόμηση κωδικών σφάλματος από 301 έως 311.
Οι κωδικοί αυτοί λειτουργούν ως κανάλι ανατροφοδότησης για τους επιτιθέμενους: όταν μια μόλυνση αποτύχει ή ενεργοποιηθεί ο Kill Switch, το Predator στέλνει αυτόματα κρυπτογραφημένο status report στους servers ελέγχου.
Ανατροφοδότηση στους servers ελέγχου (C2)
Με αυτόν τον τρόπο, οι επιτιθέμενοι μαθαίνουν ακριβώς ποιο μέτρο ασφαλείας ή ποιο εργαλείο ερευνητή προκάλεσε την ανίχνευση.
Το σύστημα αυτό μετατρέπει κάθε επιτυχημένη άμυνα ενός λειτουργικού συστήματος σε πηγή πληροφοριών, ώστε οι δράστες να βελτιώνουν στοχευμένα τα εργαλεία τους στην επόμενη προσπάθεια.
Πέρα από αυτήν τη «μαθησιακή» ικανότητα, το Predator έχει υψώσει και άλλα εμπόδια απέναντι στην ανάλυση.
Οι ειδικοί εντόπισαν λειτουργίες ενεργής επιτήρησης διεργασιών, που αναζητούν ίχνη από debug consoles ή ύποπτα Root-CA certificates (τα οποία χρησιμοποιούνται συχνά σε forensics για αποκρυπτογράφηση της κίνησης).
Ακόμη, έχει ενσωματωθεί ανίχνευση HTTP proxies, ώστε να αποτρέπεται η υποκλοπή της επικοινωνίας μεταξύ μολυσμένης συσκευής και Command-and-Control servers.
Αξιοσημείωτη είναι επίσης η ικανότητα του Predator να αγνοεί το iOS Developer Mode ή να το αντιμετωπίζει ως σήμα κινδύνου, διατηρώντας την κάλυψή του.
Σύγκριση με το Pegasus της NSO Group
Τα ευρήματα υπογραμμίζουν την «επαγγελματική» ωριμότητα της Intellexa Alliance και—κατά τους ερευνητές—δείχνουν ότι το τεχνολογικό όριο ανάμεσα σε κρατικούς φορείς και εμπορικούς παρόχους spyware σχεδόν έχει εκλείψει.
Το Predator δεν είναι στατικό εργαλείο, αλλά ένα δυναμικά προσαρμοζόμενο σύστημα. Για χρήστες που, λόγω προφίλ, μπορεί να στοχοποιηθούν, αυτό σημαίνει ένα νέο επίπεδο απειλής: η άμυνα του συστήματος γίνεται ακούσια “δασκάλα” για τον επιτιθέμενο.
Σε σύγκριση με το διαβόητο Pegasus της NSO Group, το οποίο συχνά μολύνει συσκευές μέσω Zero-Click exploits χωρίς καμία ενέργεια από το θύμα, το Predator βασίζεται κυρίως σε One-Click επιθέσεις μέσω «πειραγμένων» links.
Τεχνικά, και οι δύο πλατφόρμες θεωρούνται αντίστοιχου επιπέδου ως προς την παρακολούθηση μικροφώνων, καμερών και κρυπτογραφημένων συνομιλιών.
Το Pegasus δίνει προτεραιότητα στη μέγιστη αορατότητα και την αθόρυβη διείσδυση, ενώ το Predator ξεχωρίζει για τις επιθετικές anti-analysis τεχνικές.
Μοιάζει σχεδιασμένο να μάχεται προληπτικά την κοινότητα της IT ασφάλειας.
Το 2024, οι διαχειριστές της πλατφόρμας διανομής και ελέγχου του Predator αναγκάστηκαν να θέσουν offline πολλούς σχετικούς servers και άλλα τμήματα της υποδομής.
Η στρατηγική οργανώσεων ανθρωπίνων δικαιωμάτων και ερευνητών ασφάλειας να «δείχνουν με το δάχτυλο» τους κακόπιστους παίκτες στον χώρο των κρατικών trojans φάνηκε να αποδίδει—έστω προσωρινά.
Την ίδια περίοδο, η κυβέρνηση των ΗΠΑ αυστηροποίησε τις κυρώσεις κατά της ομάδας, οι οποίες πλέον στοχεύουν προσωπικά και τον ιδρυτή της Intellexa Tal Dilian και τη στενή συνεργάτιδά του Sara Hamou.
Η Intellexa Alliance θεωρείται συμμαχία αμφιλεγόμενων ευρωπαϊκών εταιρειών που δεν προμηθεύει μόνο δικτάτορες με κυβερνο-όπλα. Στη Γερμανία, ως πελάτης αναφέρεται και η υπηρεσία Zitis.
Γιατί το “μαθαίνει από τα λάθη” αλλάζει το παιχνίδι
Η ύπαρξη error codes και κρυπτογραφημένης ανατροφοδότησης προς C2 σημαίνει ότι η άμυνα δεν είναι «τελικός προορισμός», αλλά δεδομένο βελτίωσης για τον αντίπαλο.
Σε στοχευμένες επιχειρήσεις (targeted surveillance), ακόμη και μια αποτυχημένη μόλυνση μπορεί να αποκαλύψει:
- ποια έκδοση iOS τρέχει το θύμα (έμμεσα),
- ποια μέτρα σκλήρυνσης (hardening) ενεργοποιούνται,
- αν υπάρχει περιβάλλον ανάλυσης/MDM/monitoring που ενοχλεί τη λειτουργία.
Αυτό πρακτικά ωθεί τους δράστες σε γρήγορους κύκλους εξέλιξης, όπου κάθε αποτυχία γίνεται «μάθημα» για πιο αποτελεσματική επόμενη επίθεση.
Βασικά μέτρα άμυνας για χρήστες υψηλού ρίσκου
1) Υγιεινή ενημερώσεων και μείωση επιφάνειας επίθεσης
- Άμεσες ενημερώσεις iOS και εφαρμογών (patching μειώνει παράθυρα εκμετάλλευσης).
- Απενεργοποίηση περιττών υπηρεσιών/προσβάσεων (όπου είναι δυνατό).
- Προσοχή σε links και συνημμένα: το Predator αναφέρεται ότι βασίζεται συχνά σε one-click σενάρια.
2) “Lockdown Mode” και ξεχωριστές συσκευές
Για δημοσιογράφους, ακτιβιστές, πολιτικούς ή ερευνητές, το Lockdown Mode (όπου διατίθεται) μπορεί να περιορίσει επιθετικούς διαύλους εισόδου.
Επίσης, βοηθά η πρακτική διαχωρισμού συσκευών:
- μία συσκευή για δημόσια/εκτεθειμένη επικοινωνία,
- μία για ευαίσθητες επαφές και 2FA.
3) Οργανωτικά μέτρα για ομάδες και οργανισμούς
- Εκπαίδευση σε anti-phishing (ιδίως σε SMS/DM spearphishing).
- Mobile security πολιτικές (MDM όπου ταιριάζει) και καταγραφή συμβάντων.
- Διαδικασία γρήγορης αντίδρασης: αν υπάρξει υποψία στοχοποίησης, προτεραιότητα έχει η ασφάλεια του προσώπου και μετά η τεχνική διερεύνηση.
Γιατί η διαφάνεια και οι κυρώσεις έχουν σημασία
Όταν υποδομές αναγκάζονται να κλείσουν (servers offline) και επιβάλλονται κυρώσεις, αυξάνεται το κόστος λειτουργίας των πλατφορμών spyware.
Δεν αποτελεί πανάκεια, αλλά είναι ένας από τους λίγους μοχλούς που μπορούν να περιορίσουν την εμπορική κλιμάκωση τέτοιων εργαλείων.
