间谍软件制造商Intellexa规避制裁，新受害者被识别

尽管美国实施了广泛的制裁，来自监控联盟Intellexa的间谍软件产品仍在蓬勃发展。

此前，Inside Story、Haaretz和WAV研究集体对一批从该公司泄露的高度敏感文件和其他材料进行了长达数月的调查，并将此次事件命名为“Intellexa泄露门”。该调查报告现已发布。

调查报告发布后，针对该间谍软件联盟活动出现了三份独立但协调的报告，详细说明了新的攻击载体和受害者名单。

其中包括谷歌威胁情报小组（GTIG）、Recorded Future的Insikt集团以及国际特赦组织安全实验室的文件。该实验室也为调查“Intellexa泄露门”的记者提供了技术支持。报告揭示，这家间谍软件制造商继续将数字武器出售给出价最高的买家。

主要发现包括，GTIG指出，Intellexa已经巩固了其作为最多产（或至少是最多产的之一）的间谍软件供应商的地位，专门利用移动浏览器的零日漏洞。

这家由跨越希腊、爱尔兰、匈牙利、北马其顿及其他地区的多个法律实体组成的间谍软件供应商，自2021年以来，在GTIG及其前身谷歌威胁分析小组（TAG）记录的70个零日漏洞利用中，至少要为其中的15个负责。

尽管针对Intellexa业务及与该联盟相关的个人已经实施了几轮制裁，包括美国财政部外国资产控制办公室（OFAC）在2024年3月和9月实施的制裁（总共针对7名个人），但上述情况依然存在。

此外，Intellexa在2023年因未能配合希腊数据保护局对其公司的调查而被罚款。

新的“零点击”攻击载体曝光

国际特赦组织安全实验室的报告还揭示了Intellexa的旗舰产品Predator（有时也以Helios、Nova、Green Arrow或Red Arrow等名称销售）如何感染目标设备。

传统上，Predator几乎完全依赖“一键式”攻击来感染设备，这需要目标手机打开一个恶意链接。这比利用竞争对手（如NSO集团的“飞马”软件）典型的“零点击”攻击的侵入性要低。

然而，国际特赦组织的报告揭示，Intellexa最近开发了一种新的战略感染载体——“Aladdin”（阿拉丁），可以实现对全球任何地方目标设备的静默“零点击”感染。

该载体由Haaretz和Inside Story首次曝光，利用商业移动广告生态系统进行感染。

国际特赦组织将这种攻击链描述为“技术上复杂，但概念上简单”。

“Aladdin系统通过强制目标手机上显示攻击者创建的恶意广告来感染手机。这种恶意广告可以出现在任何显示广告的网站上，例如可信的新闻网站或移动应用程序，并且看起来像目标可能看到的任何其他广告。公司内部材料解释称，仅查看广告就足以触发目标设备上的感染，无需点击广告本身。” 国际特赦组织的报告写道。

图示： 泄露文件截图，展示了基于公共IP地址通过恶意广告实现“零点击”感染的“Aladdin”系统。来源：国际特赦组织。

Recorded Future的报告还揭示，两个新识别的、似乎活跃在广告领域的实体可能与Aladdin有关。

国际特赦组织安全实验室分享了泄露文件和录像的发现，显示Intellexa对实时监控操作具有深入的可见性，表明该间谍软件制造商保留了对客户实时间谍软件系统的直接访问权限。

国际特赦组织报告中的另一个关键发现确认了先前对疑似感染域名和基础设施归属于Predator的判定，这些域名模仿了合法的哈萨克斯坦新闻网站。

“虽然在哈萨克斯坦尚未发现Predator间谍软件攻击的受害者，但安全实验室之前的调查记录显示，2021年至少有四名哈萨克斯坦青年活动家的设备被‘飞马’间谍软件非法入侵。” 国际特赦组织的报告称。

根据基础设施分析，Recorded Future的Insikt集团评估认为，哈萨克斯坦至少直到2025年8月仍在继续使用Predator间谍软件。

该报告还发现了几个新识别的Intellexa关联实体，包括一些与该联盟在捷克的集群相关的实体以及一个在菲律宾的实体。

图示：

上：与Intellexa关联的公司所在地。

下：有证据表明存在Predator部署和操作活动的国家。来源：Recorded Future, 国际特赦组织。

调查期间审查的Intellexa数据还显示了希腊和埃及的潜在新受害者，以及埃及和沙特阿拉伯的客户仍在活跃的证据。

在过去两年中，Recorded Future的Insikt集团已在十几个国家识别出疑似Predator操作者，包括安哥拉、亚美尼亚、博茨瓦纳、刚果民主共和国、埃及、希腊、印度尼西亚、哈萨克斯坦、蒙古、莫桑比克、阿曼、菲律宾、沙特阿拉伯、苏丹、特立尼达和多巴哥以及越南。