- 26,398
- 46
- 8 Ноя 2022
Жертве не поможет ни осторожность, ни отказ от подозрительных ссылок — правила цифровой гигиены больше не работают.
Совместное расследование трёх медиаорганизаций ( Inside Story , Haaretz и WAV Research Collective ) выявило новый способ скрытой доставки коммерческого шпионского ПО, который расширяет возможности слежки и делает атаки незаметными для жертвы. Материалы утечек раскрывают устройство рекламной инфраструктуры, через которую распространяется инструмент Predator компании Intellexa, давно вызывающий тревогу у специалистов по цифровой безопасности.
Согласно утечке внутренних документов Intellexa и сопутствующего маркетингового набора, в арсенале компании появился механизм «Аладдин», работающий через мобильные рекламные сети. Он был впервые задействован в 2024 году и, по оценке технических аналитиков из правозащитных и технологических организаций, продолжает активно развиваться.
Его особенность в том, что вредоносное объявление достаточно просто загрузить на странице сайта — обычный просмотр становится достаточным условием для заражения. Подстановка такого объявления выполняется через систему DSP, ориентируясь на IP-адрес и другие сетевые признаки цели. Google уточняет, что просмотр приводит к перенаправлению на серверы Intellexa, где и происходит дальнейшая цепочка эксплуатации.
Рекламный трафик проходит через разветвлённую сеть компаний, зарегистрированных в разных странах Европы и Ближнего Востока. Аналитики Recorded Future* сопоставили данные из утечки с открытой инфраструктурой и указали связанные фирмы и фигурантов, задействованных в доставке вредоносных объявлений. Блокировка рекламы в браузере и сокрытие публичного IP могут ухудшить условия для атаки, однако документы Intellexa подтверждают, что мобильные операторы некоторых стран способны предоставлять сведения, позволяющие обойти эти меры.
Отдельным пунктом в утечке проходит механизм «Тритон», ориентированный на устройства на базе Samsung Exynos. Он использует уязвимости в модеме и принудительное переключение на 2G, создавая условия для заражения. Также упоминаются разработки под названиями «Тор» и «Оберон», предположительно связанные с радиоканалами или атаками при физическом доступе.
По данным Google, Intellexa остаётся одной из наиболее активных коммерческих шпионских групп, применяющих неизвестные ранее уязвимости: на неё приходится значительная часть подтверждённых инцидентов за последние годы. Компания сочетает собственные наработки с закупкой сторонних цепочек эксплуатации.
Несмотря на санкции и проверки в Греции, деятельность Intellexa не ослабла, отмечают Amnesty International. По мере усложнения инструментов слежки мобильные платформы предлагают дополнительные защитные режимы, такие как Advanced Protection для Android и Lockdown Mode для iOS, которые становятся всё более актуальными на фоне подобных угроз.
<span style="font-size: 10pt;">* Recorded Future признана нежелательной организацией в России.</span>
Совместное расследование трёх медиаорганизаций ( Inside Story , Haaretz и WAV Research Collective ) выявило новый способ скрытой доставки коммерческого шпионского ПО, который расширяет возможности слежки и делает атаки незаметными для жертвы. Материалы утечек раскрывают устройство рекламной инфраструктуры, через которую распространяется инструмент Predator компании Intellexa, давно вызывающий тревогу у специалистов по цифровой безопасности.
Согласно утечке внутренних документов Intellexa и сопутствующего маркетингового набора, в арсенале компании появился механизм «Аладдин», работающий через мобильные рекламные сети. Он был впервые задействован в 2024 году и, по оценке технических аналитиков из правозащитных и технологических организаций, продолжает активно развиваться.
Его особенность в том, что вредоносное объявление достаточно просто загрузить на странице сайта — обычный просмотр становится достаточным условием для заражения. Подстановка такого объявления выполняется через систему DSP, ориентируясь на IP-адрес и другие сетевые признаки цели. Google уточняет, что просмотр приводит к перенаправлению на серверы Intellexa, где и происходит дальнейшая цепочка эксплуатации.
Рекламный трафик проходит через разветвлённую сеть компаний, зарегистрированных в разных странах Европы и Ближнего Востока. Аналитики Recorded Future* сопоставили данные из утечки с открытой инфраструктурой и указали связанные фирмы и фигурантов, задействованных в доставке вредоносных объявлений. Блокировка рекламы в браузере и сокрытие публичного IP могут ухудшить условия для атаки, однако документы Intellexa подтверждают, что мобильные операторы некоторых стран способны предоставлять сведения, позволяющие обойти эти меры.
Отдельным пунктом в утечке проходит механизм «Тритон», ориентированный на устройства на базе Samsung Exynos. Он использует уязвимости в модеме и принудительное переключение на 2G, создавая условия для заражения. Также упоминаются разработки под названиями «Тор» и «Оберон», предположительно связанные с радиоканалами или атаками при физическом доступе.
По данным Google, Intellexa остаётся одной из наиболее активных коммерческих шпионских групп, применяющих неизвестные ранее уязвимости: на неё приходится значительная часть подтверждённых инцидентов за последние годы. Компания сочетает собственные наработки с закупкой сторонних цепочек эксплуатации.
Несмотря на санкции и проверки в Греции, деятельность Intellexa не ослабла, отмечают Amnesty International. По мере усложнения инструментов слежки мобильные платформы предлагают дополнительные защитные режимы, такие как Advanced Protection для Android и Lockdown Mode для iOS, которые становятся всё более актуальными на фоне подобных угроз.
<span style="font-size: 10pt;">* Recorded Future признана нежелательной организацией в России.</span>
- Источник новости
- www.securitylab.ru
