異議分子手機遭新型間諜軟體重疊入侵

2021年6月,兩位知名埃及異議人士的手機在IOS 14.6最新版本遭到以色列Cytrox資安公司創建的新型Preadator間諜軟體入侵。Cytrox聲稱集團受到歐盟管理,提供全方位網路操作服務,實際上是替政府或企業監控。Cytrox同時也是Intellexa聯盟的一份子,Intellexa在2019由一群監控企業組成,目的是與其他網路監視業者NSO、Verin競爭。

2021年3月21日,埃及流亡政治家Ayman Nour的手機早被NSO的Pegasus間諜程式碼多次入侵,隨後在6月30日,Nour和另一名埃及記者都在What's App上打開不明電話號碼傳送的連結,因此被植入了Predator。在掃描這些連結所使用的域名後,發現都談論國家政府有關,像是aramexegypt[.]com、eg-gov[.]org、almasryelyuom[.]com等,因此高度懷疑Cytrox的顧客可能是政府組織。

 

由於有太多在What's App上利用域名進行Predator間諜軟體操作的例子,META網路團隊在2021年12月16號開始調查及刪除大約300個與Cytrox有關的Facebook 、Instagram帳號,發現受害者分散在全世界。

 

Nour同時受到Pegasus及Predator的駭客攻擊,暗示著官商操作的手段已超越監管範圍,若政府繼續獲得這些複雜的駭客技術,對特定人士的迫害將持續下去。

 

檢測被安裝間諜軟體的域名時,發現有許多知名企業的域名被Cytrox仿冒用來進行釣魚,他們大多藉由修改不易察覺的名稱或更改頂級域名來混淆一般民眾,如下圖範例。

知名企業品牌

Cytrox仿冒域名

apple.com

applepps[.]com

Whatsapp.com

wha.tsapp[.]me

Instagram.com

instegram[.]co

Youtube.com

youtu-be[.]net

Tesla.com

teslal[.]shop

 

隨著大家警覺性提高,釣魚形式也發展的更加強大。有種常見釣魚方式,稱為”同形異義詞”,也就是模仿知名品牌域名,以蘋果Apple的域名來舉例:

 

 

假蘋果域名

app1e

 

真蘋果域名

apple

雖然看起來是同一組域名,但第一章圖使用的域名實際上並非使用英文,而是使用與英文形似的其他語言體系,如西里爾文、俄文等。這類型的網站因用戶不易分辨真偽,因此常被用做詐騙網站,這也是企業在品牌保護時應注意的一點。

 

為了避免品牌遭到域名仿冒或是詐騙,企業可以申請TMCH、DPML、Adult Block+等服務,這類型產品可以針對域名進行事先保護,甚至是限制後綴不讓惡意人士註冊。除此之外,網路中文還有提供域名健檢針對域名進行追蹤及監控。域名詐騙關乎企業形象及信譽,企業應重視且盡全力防堵潛在危險。

 

 

 

原文參考:

Pegasus vs. PredatorDissident's Doubly-Infected iPhone Reveals Cytrox Mercenary Spyware