- Το λογισμικό κατασκοπείας Predator εντοπίστηκε στο iPhone δημοσιογράφου στην Ανγκόλα μετά από ανάλυση της Διεθνούς Αμνηστίας.
- Η μόλυνση έγινε μέσω WhatsApp με κακόβουλο σύνδεσμο, εκμεταλλευόμενη κενό ασφαλείας σε παλαιότερη έκδοση του iOS.
- Το περιστατικό αναδεικνύει την παγκόσμια εξάπλωση των κυβερνοόπλων της Intellexa και την ανάγκη για αυξημένη ψηφιακή προστασία.
Δημοσιογράφος που ασκούσε κριτική στην κυβέρνηση της Ανγκόλας είχε το λογισμικό κατασκοπείας Predator στο κινητό του
Το λογισμικό κατασκοπείας Predator εντοπίστηκε στο iPhone ενός δημοσιογράφου που ασκεί κριτική στην κυβέρνηση της Ανγκόλας. Η Διεθνής Αμνηστία εξηγεί πως πιθανόν συνέβη αυτό το περιστατικό παραβίασης.
Ένας δημοσιογράφος και ακτιβιστής από την Ανγκόλα, γνωστός για την κριτική του στάση απέναντι στην κυβέρνηση, έπεσε θύμα επίθεσης με το κακόβουλο λογισμικό Predator.
Αυτό προκύπτει από μια πρόσφατη εγκληματολογική έρευνα του Security Lab της Διεθνούς Αμνηστίας, η οποία έφερε στο φως τα ψηφιακά ίχνη της παρακολούθησης.
Σύμφωνα με την έκθεση, ο Teixeira Cândido άνοιξε το 2024 έναν μολυσμένο σύνδεσμο μέσω της εφαρμογής WhatsApp, πιστεύοντας ότι επικοινωνεί με μια έγκυρη πηγή.
Ο σύνδεσμος προερχόταν από έναν υποτιθέμενο εκπρόσωπο μιας ομάδας φοιτητών από την Ανγκόλα, με τον οποίο είχε επαφή μέσω του messenger, όμως ο πραγματικός αποστολέας παραμένει άγνωστος.
Το λογισμικό λειτούργησε απαρατήρητο στο iPhone του για περίπου μία ημέρα, έως ότου αφαιρέθηκε μέσω μιας επανεκκίνησης της συσκευής, γεγονός που αποδεικνύει την προσωρινή φύση της εγκατάστασης στη μνήμη.
Η επανεκκίνηση (reboot) των συσκευών iOS μπορεί συχνά να αφαιρέσει non-persistent malware όπως το Predator, αλλά δεν διορθώνει το κενό ασφαλείας που επέτρεψε την παραβίαση.
Στοχευμένες επιθέσεις και ελευθερία του τύπου
Η οργάνωση ανθρωπίνων δικαιωμάτων εξηγεί ότι οι επιθέσεις εναντίον του Cândido έχουν αυξηθεί σημαντικά ήδη από το 2022, δημιουργώντας ένα κλίμα συνεχούς απειλής για τον ίδιο και τους συνεργάτες του.
Συγκεκριμένα, έχουν σημειωθεί επανειλημμένες διαρρήξεις στο γραφείο του, καθώς και σε γραφεία άλλων δημοσιογράφων, γεγονός που υποδηλώνει μια συστηματική προσπάθεια εκφοβισμού.
Η στοχευμένη επίθεση με το spyware Predator αποτελεί την πρώτη εγκληματολογικά τεκμηριωμένη περίπτωση αυτού του είδους στη χώρα, επιβεβαιώνοντας τους φόβους για χρήση κυβερνοόπλων.
Υπάρχουν, ωστόσο, ενδείξεις για εκτεταμένες επιθέσεις με Predator από το 2023, οι οποίες δεν έχουν ακόμα τεκμηριωθεί πλήρως από τεχνικούς ελέγχους.
Στην κατάταξη της Ελευθερίας του Τύπου των Δημοσιογράφων Χωρίς Σύνορα, η Ανγκόλα βρίσκεται στην 100ή θέση από τις 180, γεγονός που καταδεικνύει τις δυσκολίες που αντιμετωπίζουν οι εργαζόμενοι στα μέσα ενημέρωσης.
Το λογισμικό κατασκοπείας δεν είναι άγνωστο
Το χρησιμοποιούμενο λογισμικό παρακολούθησης Predator προέρχεται από την εταιρεία Intellexa, η οποία έχει απασχολήσει έντονα τη διεθνή επικαιρότητα τα τελευταία χρόνια.
Η εταιρεία, με έδρα την Ιρλανδία, ιδρύθηκε το 2018 από έναν πρώην αξιωματικό του Ισραήλ μαζί με συναδέλφους από τον στρατιωτικό τομέα και τον κλάδο της ασφάλειας και των μυστικών υπηρεσιών.
Η Intellexa Alliance, μια κοινοπραξία της εταιρείας με άλλες εταιρείες τεχνολογίας, έχει πουλήσει στο παρελθόν λογισμικό σε χώρες όπως το Κατάρ, το Βιετνάμ ή το Πακιστάν, αλλά και στη Γερμανία, προκαλώντας διεθνείς αντιδράσεις.
Το Predator έχει τη δυνατότητα να αποκτά πρόσβαση σε μικρόφωνο, κάμερα και σε όλες τις κρυπτογραφημένες συνομιλίες, μετατρέποντας το κινητό σε απόλυτο εργαλείο παρακολούθησης.
Εκτός από τη στοχευμένη κατασκοπεία, το λογισμικό Predator είναι προγραμματισμένο να απενεργοποιείται αυτόματα σε περίπτωση απειλής εντοπισμού και να σβήνει τα δικά του ίχνη για να αποφύγει την εγκληματολογική ανάλυση.
Κατά τη διαδικασία αυτή, αποστέλλεται ένα κρυπτογραφημένο μήνυμα κατάστασης στους επιτιθέμενους, με το οποίο το λογισμικό μπορεί να βελτιωθεί περαιτέρω για μελλοντικές επιθέσεις.
Στο παρελθόν έχει χρησιμοποιηθεί επανειλημμένα εναντίον δημοσιογράφων και πολιτικών παγκοσμίως.
Πίνακας: Χώρες που έχουν συνδεθεί με τη χρήση Predator
| Χώρα | Αναφερόμενοι Στόχοι | Κατάσταση Τύπου |
|---|---|---|
| Ανγκόλα | Δημοσιογράφοι, Ακτιβιστές | Περιορισμένη Ελευθερία |
| Βιετνάμ | Πολιτικοί Αντίπαλοι | Αυστηρή Λογοκρισία |
| Ελλάδα | Δημοσιογράφοι, Πολιτικοί | Προβληματική |
Εκμετάλλευση κενών ασφαλείας
Το iPhone του Cândido λειτουργούσε με το λειτουργικό σύστημα iOS 16.2 κατά τη στιγμή της μόλυνσης, μια έκδοση που θεωρείται πλέον παρωχημένη από πλευράς ασφαλείας.
Το λογισμικό κατασκοπείας μεταμφιέστηκε ως η διεργασία συστήματος «iconservicesagent» και δραστηριοποιήθηκε στον φάκελο «/private/var/containers/Bundle/», προσπαθώντας να μείνει αφανές από τον χρήστη.
Η ενημέρωση iOS 17.4.1, στην οποία είχαν κλείσει μεταξύ άλλων κενά ασφαλείας προηγούμενων ενημερώσεων, ήταν ήδη διαθέσιμη προς εγκατάσταση, αλλά δεν είχε εφαρμοστεί στη συγκεκριμένη συσκευή.
Το γιατί ο δημοσιογράφος δεν είχε εγκαταστήσει την ενημέρωση λογισμικού δεν προκύπτει από την έρευνα της Διεθνούς Αμνηστίας, αλλά αυτό το γεγονός αποδείχθηκε μοιραίο. Το Predator είχε χρησιμοποιήσει την ευπάθεια CVE-2023-41991 για να διεισδύσει στα iPhones και να παρακάμψει τις δικλείδες ασφαλείας της Apple.
Πάνω από το 80% των επιτυχημένων επιθέσεων spyware βασίζονται σε ευπάθειες zero-day ή σε συσκευές που δεν έχουν λάβει τις τελευταίες ενημερώσεις ασφαλείας.
Η παγκόσμια απειλή των μισθοφορικών λογισμικών
Η περίπτωση του δημοσιογράφου στην Ανγκόλα δεν είναι ένα μεμονωμένο περιστατικό, αλλά μέρος ενός ευρύτερου, ανησυχητικού φαινομένου που αφορά την ανεξέλεγκτη δράση της βιομηχανίας των μισθοφορικών λογισμικών κατασκοπείας (mercenary spyware).
Εργαλεία όπως το Predator και το Pegasus έχουν μετατραπεί σε όπλα στα χέρια αυταρχικών καθεστώτων, αλλά και δημοκρατικών κυβερνήσεων, για την παρακολούθηση της κοινωνίας των πολιτών, παρακάμπτοντας συχνά το νομικό πλαίσιο.
Η ευκολία με την οποία κρατικοί και μη κρατικοί φορείς μπορούν να αποκτήσουν πρόσβαση σε τόσο εξελιγμένα εργαλεία υπογραμμίζει την ανάγκη για αυστηρότερο διεθνές ρυθμιστικό πλαίσιο.
Παρά τις κυρώσεις που έχουν επιβληθεί από τις ΗΠΑ σε εταιρείες όπως η Intellexa, το δίκτυο μεταπώλησης και οι περίπλοκες εταιρικές δομές επιτρέπουν τη συνέχιση της διάθεσης αυτών των προϊόντων σε χώρες με χαμηλό δείκτη προστασίας ανθρωπίνων δικαιωμάτων.
Πρακτικές συμβουλές ψηφιακής αυτοάμυνας
Για δημοσιογράφους, ακτιβιστές αλλά και απλούς πολίτες που ανησυχούν για την ψηφιακή τους ασφάλεια, υπάρχουν συγκεκριμένα βήματα που μπορούν να μειώσουν σημαντικά τον κίνδυνο μόλυνσης.
Το σημαντικότερο μέτρο είναι η άμεση εγκατάσταση των ενημερώσεων ασφαλείας (security updates) μόλις αυτές γίνουν διαθέσιμες από τον κατασκευαστή, καθώς κλείνουν τις «κερκόπορτες» που χρησιμοποιούν τα λογισμικά αυτά.
Επιπλέον, η ενεργοποίηση της «Λειτουργίας Απομόνωσης» (Lockdown Mode) στις συσκευές Apple παρέχει ένα εξαιρετικά ισχυρό τείχος προστασίας, απενεργοποιώντας λειτουργίες που συχνά αποτελούν πύλες εισόδου για το spyware, όπως προεπισκοπήσεις συνδέσμων και συγκεκριμένους τύπους αρχείων.
Αν και περιορίζει τη χρηστικότητα της συσκευής, αποτελεί την καλύτερη άμυνα για άτομα υψηλού κινδύνου.
Η καθημερινή επανεκκίνηση του smartphone δυσκολεύει τη μόνιμη εγκατάσταση πολλών τύπων spyware, αναγκάζοντας τους επιτιθέμενους να προσπαθήσουν να μολύνουν τη συσκευή ξανά.
Τέλος, η προσοχή στα μηνύματα που λαμβάνουμε είναι κρίσιμη. Όπως φάνηκε στην περίπτωση του Teixeira Cândido, η κοινωνική μηχανική (social engineering) είναι το κλειδί για την ενεργοποίηση της επίθεσης.
Ποτέ μην ανοίγετε συνδέσμους από αγνώστους ή συνδέσμους που φτάνουν ξαφνικά, ακόμα και αν φαίνεται να προέρχονται από γνωστά πρόσωπα, χωρίς να επιβεβαιώσετε την αποστολή τους μέσω ενός δεύτερου καναλιού επικοινωνίας (π.χ. τηλεφωνική κλήση).
