Υποκλοπές Ελλάδα και πόσο κοστίζει η αγορά του Predator spyware; Έγγραφα που διέρρευσαν στο διαδίκτυο δείχνουν πόσο κοστίζει και σε τι τιμή πουλάει η Intellexa το predator spyware σε Ευρωπαικές χώρες. Tα έγγραφα που διέρρευσαν αφορούν προσφορά της Intellexa στην Ισπανία – πιθανόν στις ισπανικές μυστικές υπηρεσίες. Εξ’ αυτού μπορούμε να εκτιμήσουμε το κόστος πώλησης της αντίστοιχης λύσης στην Ελλάδα. Σύμφωνα με τα έγγραφα – προσφορές οι υπηρεσίες της Intellexa περιλαμβάνουν υποστήριξη μεταξυ άλλων iOS Remote Code Execution 0day exploit για υποκλοπές σε Apple iPhone με το συνολικό κόστος της λύσης να ανέρχεται στα 8.000.000€.
Δείτε Ακόμα: Predator παρακολουθήσεις Την Παρασκευή οι συζητήσεις της Βουλή
Τα έγγραφα/προσφορές διέρρευσαν στο Twitter από τον λογαριασμό vxunderground που ασχολείται με θέματα ασφαλείας και περιπτώσεις υποκλοπών, παγκοσμίως. Τα έγγραφα επίσης είχαν κοινοποιηθεί στο hacking forum ασφάλειας xss.is.
To inside story γράφει για την Intellexa: Predator Ο «κατάσκοπος» που ήρθε από την Κύπρο
Υποκλοπές: Αγορά του Predator spyware και τιμή
Στο Forum xss.is πριν περίπου ένα μήνα φαίνεται να αναρτήθηκε το παρακάτω μήνυμα:
Χρήστης του forum διαφημίζει το γεγονός ότι διαθέτει τον πηγαίο κώδικα απο λογισμικό κυβερνοπαρακολουθήσεων με εξαιρετικές δυνατότητες. Αφού αναφέρει τα χαρακτηριστικά του λογισμικού στο τέλος τονίζει ότι μπορεί να διαπραγματευτεί με οποιονδήποτε επιθυμεί σε τιμή “8 figure” ενώ στην διαφήμισή του αναφέρει οτι δέχεται μόνο σοβαρές προτάσεις και το λογισμικό που έχει στα χέρια του είναι ανώτερο απο το αντίστοιχο του NSO Group.
Σημαντικό είναι ότι η εν λόγω σουίτα σύμφωνα με τον διαφημιστή στο hacking forum περιλαμβάνει “την δυνατότητα δημιουργίας και αποστολής κακόβουλων συνδέσμων από πολλαπλά domains” (σας θυμίζει κάτι αυτό??). Φέρεται, μάλιστα, σύμφωνα με πηγές, ο χρήστης που διαφήμιζε το εν λόγω κακόβουλο λογισμικό στο hacking forum να ζητούσε 50.000.000 €, ενώ οι ίδιες πηγές αναφέρουν οτι μετά απο λίγες ημέρες εκδιώχτηκε απο το forum για άγνωστους λόγους. Δεν έχει αποσαφηνιστεί εάν το εν λόγω προφίλ ήταν μια προσπάθεια να πωληθεί το λογισμικό παρακολούθησης εν αγνοία της εταιρείας Intellexa από πρώην στελέχη ή εργαζομένους της ή αν είχε τύχει υποκλοπής από hackers ο πηγαίος κώδικας του λογισμικού από τα συστήματα της (όπως είχε συμβεί παλαιότερα σε αντίστοιχη εταιρεία).
Η διαρροή του συνόλου της πρότασης έχει αναρτηθεί [εδώ]
Ημέρες μετά την δημοσιοποίηση της σχετικής διαφήμισης διέρρευσαν στο hacking forum xss αλλά και σε twitter accounts σημαντικά screenshots εγγράφων απο προσφορά της εταιρείας Intellexa στα Ισπανικά! Η προσφορά, σύμφωνα με τα screenshots που διέρρευσαν έχει ημερομηνία 1 Ιουλίου 2022 και αναφέρεται στην πλατφόρμα NOVA της εταιρείας, με δυνατότητα υποκλοπής συσκευών Android και iOS.
H εταιρεία Intellexa, σύμφωνα με δημοσίευμα απο την Jerusalem Post το 2021, “παρέχει ολιστική λύση για κυβερνοάμυνα και ανάλυση δεδομένων”, ενώ ως χρόνο ίδρυσης προσδιορίζει το 2019.
Στα έγγραφα που διέρρευσαν με την προσφορά της Intellexa στην Ισπανία, αναφέρονται με ακρίβεια οι δυνατότητες του κατασκοπευτικού λογισμικού.
Η πλατφόρμα NOVA της Intellexa, λοιπόν, για “απομακρυσμένη λήψη δεδομένων” (σικ hacking) σε συσκευές Android και iOS περιλαμβάνει:
- H παράδοση του κακόβουλου λογισμικού γίνεται με λήψη 1-click exploit δηλαδή απαιτεί απο το θύμα να κλικάρει μια φορά εναν οποιονδήποτε κακόβουλο σύνδεσμο που του αποστέλει ο επιτιθέμενος.
- Η δυνατότητα υφίσταται τόσο σε συσκευές Android αλλά και iOS
- Υποστηρίζονται εκδόσεις Android 12 (και 18 μήνες πίσω) και iOS μέχρι 15.4.1 (και 12 μήνες πίσω)
- Είναι εφικτή η μόλυνση ταυτόχρονα 10 συσκευών διαμοιρασμένων μεταξύ iOS και Android
- Μπορεί να χρησιμοποιήθει συνολικά για 100 “μολύνσεις” συσκευών. Αξιοσημείωτο είναι το γεγονός ότι αναφέρει τις επιτυχείς μολύνσεις/θύματα ως “magazine” (γεμιστήρες) υποδηλώνοντας οι πωλητές του με αυτό τον τρόπο ότι πρόκειται για “κυβερνο-όπλο”
- Η γεωγραφική κάλυψη του λογισμικού είναι εντός της χώρας για το οποίο έχει αγοραστεί καλύπτοντας τις SIM κάρτες του τοπικού παρόχου
- Η πλατφόρμα περιλαμβάνει πλατφόρμα ανάλυσης των ληφθέντων δεδομένων (fusion & analytics system), αναζητήσεις και διαχείρισης των δεδομένων που υποκλέπτονται (φυσικά μιλάμε για προσωπικά δεδομένα)
- Όλη η λύση της Intellexa διατίθεται “με το κλειδί στο χέρι” (turney) και το σύνολο του λογισμικού παρέχεται αποκλειστικά απο την Intellexa
- Τα cloud services, domains και οι διαδικασίες ανωνυμοποίησης παρέχονται αποκλειστικά απο τον πελατη (κυβερνήσεις)
- Διατίθεται εγγύηση ορθής λειτουργίας της πλατφόρμας 12 μηνών.
Η συνολική τιμή της πλατφόρμας σύμφωνα με την πρόταση της Intellexa ειναι 8.000.000e
Στην προσφορά περιλαμβάνεται επίσης ενδεικτική τοπολογία της εγκατάστασης της πλατφόρμας παρακολούθησης της Intellexa όπως φαίνεται παρακάτω (στα ισπανικά):
Στην ανωτέρω εικόνα εμφανίζεται λογικό διάγραμμα της υποδομής που απαιτείται για την χρήση της πλατφόρμας υποκλοπής (cloud, anonymization, τερματικά χειριστών) ώστε να επιτευχθεί η επιτυχημένη χρήση έναντι των θυμάτων της υποκλοπής.
Επιπλέον, σε άλλο σημείο της προσφοράς εμφανίζονται οι συσκευές που μπορούν να μολυνθούν από το λογισμικό υποκλοπής. Περιλαμβάνει όπως μπορεί να διαπιστώσει κάποιος, το σύνολο των συσκευών.
Η πλατφόρμα φαίνεται να διαθέτει και υπηρεσίες υποστήριξης, περιστασιακά updates αλλά και training.
Τα αρχεία της πρότασης όπως δημοσιεύτηκαν στο forum xss.is έχουν αναρτηθεί απο αγνώστους και [εδώ].
Η πρόταση έχει ισχύ ως τις 15 Αυγούστου 2022 και δεν είναι εξακριβωμένο αν τελικά η Ισπανική κυβέρνηση προχώρησε στην αγορά της λύσης.
Επιπλέον (χωρίς να έχει εξακριβωθεί μέχρι στιγμής η αξιοπιστία των παρακάτω φωτογραφιών αν δηλαδή αφορούν την πλατφόρμα της Intellexa ή άλλη αντίστοιχη πλατφόρμα) χρήστης του XSS.IS κοινοποίησε επίδειξη/demo που αφορούν υποτίθεται σε λογισμικό παρακολούθησης που στοχοποιεί τις τελευταίες εκδόσεις Android και iOS με χρήση της ειδησεογραφικής ιστοσελίδας CNN (!).
Αξίζει να σημειώσουμε ότι η Ευρωπαική Επιτροπή σύμφωνα με την ανάλυση που έχει δημοσιοποιήσει αναφορικά με το λογισμικό Pegasus είχε αναφερθεί εκτενώς στην περίπτωση της Ισπανίας.
Και στην υπόθεση της Ισπανίας, αξίζει να σημειωθεί ότι οι αρχές δήλωναν “ότι όλα έγιναν με νομιμότητα από την αντίστοιχη Εθνική Υπηρεσία πληροφοριών”.
Update1 – 26/8/2022:
Η πηγή της διαρροής στο hacking forum xss.is επανήλθε με νεο post οπου αναφέρει τα παρακάτω:
Αναφέρει ότι έχει στην διαθεσή του κώδικα απομακρυσμένης εκτέλεσης (exploit CVE-2022-32893) σχετικά με το Apple Webkit το οποίο επιδιορθώθηκε απο την Apple πριν ακριβώς 5 ημέρες. Μάλιστα τιμολογεί το συγκεκριμένο κώδικα 2.500.000e! Πολλοί στο forum αναφέρουν οτι πιθανόν ο χρήστης προσπαθεί να αποπροσανατολίσει,ψεύδεται ή troll-αρει κάτι που μέχρι στιγμής δεν έχει αποσαφηνιστεί.
Το SecNews συνεχίζει την εις βάθος τεχνική έρευνα αναφορικά με το Predator και την κακόβουλη δραστηριοποίηση του στην Ελλάδα που σχετίζεται με υποκλοπές και σύντομα θα επανέλθει με στοιχεία και αποκαλύψεις που θα συζητηθούν! Είναι άξιο λόγου ότι από την στιγμή της πρώτης δημοσίευσης/αποκάλυψης των παραπάνω (που έγινε αποκλειστικά από την ιστοσελίδα μας πριν αναμεταδοθεί από λοιπούς λογαριασμούς και ιστοσελίδες), η ιστοσελίδα μας έχει δεχτεί εντός των τελευταίων 72 ωρών άνω των 30.000 διαδικτυακών επιθέσεων.
Οι επιθέσεις από αγνώστους με χρήση τεχνικών ανωνυμοποίησης & απόκρυψης IP , έχουν αποκρουσθεί επιτυχώς στο σύνολό τους, με πλήρη καταγραφή των χαρακτηριστικών προέλευσης της κάθε επίθεσης απο διεθνείς παρόχους κυβερνοασφάλειας και αντιμετώπισης επιθέσεων που υποστηρίζουν την ιστοσελίδα μας (όπως φαίνεται στο παρακάτω διάγραμμα που λάβαμε thanks to Cloudflare).
Φαίνεται ότι Μάλλον οι αποκαλύψεις ενοχλούν!
