#CyberMagazyn: Nie tylko Pegasus. Predator znów atakuje

Do kolejnego przypadku inwigilacji inwazyjnym systemem szpiegowskim Predator doszło pomiędzy majem a wrześniem 2023 r. Poinformowało o tym laboratorium Citizen Lab działające przy Uniwersytecie w Toronto, które zajmuje się monitorowaniem użycia spyware na świecie, w szczególności w kontekście nadużyć wobec demokracji.

Predator to system wyprodukowany przez firmę Cytrox. Jego możliwości zbliżone są do tych, którymi dysponuje najsłynniejszy chyba system do inwigilacji na świecie - Pegasus. Jak działa ten produkt, sprzedawny z kolei przez firmę NSO Group? O tym pisaliśmy na naszych łamach tutaj .

Predatorem natomiast inwigilowany był były parlamentarzysta z Egiptu - Ahmed Eltantawy. Nadzór rozpoczęto krótko po tym, jak polityk ogłosił, że chce startować w wyborach prezydenckich, które w Egipcie mają odbyć się w 2024 r.

Polityczny drapieżnik

"Predator" znaczy "drapieżnik". Właśnie tak można scharakteryzować zachowanie operatora tego systemu, który postanowił wykorzystać podatności w komunikatorze WhatsApp i aplikacji do obsługi SMS i zaatakować egipskiego polityka systemem do inwigilacji o tej nazwie. W sierpniu i wrześniu, jak podaje Citizen Lab, dodatkowo numer telefonu Eltantawiego (zarejestrowany w sieci Vodafone) był wielokrotnie wybierany jako cel działań operacyjnych.

Jak go atakowano? M.in. przez strony, które nie obsługują bezpiecznego połączenia (https). Kiedy polityk je odwiedzał, został kontrolowane przez operatora systemu urządzenie przekierowało go automatycznie do złośliwej witryny infekującej telefon Predatorem. Smartfon, z którego korzystał Eltantawy to iPhone - i jak podaje Citizen Lab, we współpracy z zespołem Google Threat Analysis Group (TAG) udało się ustalić, jakie podatności posłużyły do infekcji. To zero-day śledzone pod nazwami kodowymi: CVE-2023-41991, CVE-2023-41992, CVE-2023-41993 właściwe dla systemu iOS w wersji 16.6.1.

Egipt kupił Predatora - o czym przypominają eksperci z Citizen Lab. Nie ukrywa tego ani sam kraj, ani firma Cytrox. Specjaliści wskazują, że natura infekcji urządzenia Eltantawiego i fakt, że dokonano jej z terytorium Egiptu wskazuje jasno, że operatorem jest rząd tego kraju, a samo spyware zostało wykorzystane do walki politycznej. To zresztą nie pierwszy atak na tego polityka z wykorzystaniem Predatora - był już inwigilowany w przeszłości, w 2021 roku. Wówczas wykorzystano SMS z linkiem do złośliwej strony internetowej.

Kim jest Ahmed Eltantawy?

Przede wszystkim - byłym parlamentarzystą, który był również szefem egipskiej partii al-Karama. W marcu 2023 r., jak podaje Citizen Lab na swoim blogu, ogłosił iż chce wziąć udział w zaplanowanych na przyszły rok wyborach prezydenckich.

Eltantawy zapowiedział, że chce zaoferować demokratyczną alternatywę wobec obecnego prezydenta i rządów, objętych w 2014 r. przez Abdela Fattaha el-Sisiego. Warto przypomnieć, że el-Sisi zdobył władzę niedemokratycznie - doprowadził do przewrotu militarnego, w którym obalono prezydenta Mohammeda Morsiego. El-Sisi to przy tym autokrata, który dopuszcza się licznych naruszeń praw człowieka, skierowanych przede wszystkim przeciwko opozycji wobec jego rządów, aktywistom działającym na rzecz praw obywatelskich, jak i innym osobom zaangażowanych w działania wolnościowe.

Po tym, jak Eltantawy zgłosił chęć startu w wyborach, jego rodzina, krótko po tym ogłoszeniu, zaczęła być nękana - m.in. przez bezzasadne aresztowania i groźby karalne, które spotkały aż 12 bliskich osób z otoczenia polityka. Ten zaczął być podejrzliwy odnośnie bezpieczeństwa swojego telefonu - i dlatego zwrócił się do ekspertów z Citizen Lab, którzy przeprowadzili analizę urządzenia i wykryli ataki.

Jakie podatności wykorzystano?

Jak już wspomnieliśmy wcześniej, trzy podatności typu zero-day umożlwiiające atak na telefony iPhone w wersji iOS 16.6.1. Są to:

• CVE-2023-41991 umożliwiająca obchodzenie potwierdzania sygnatur bezpieczeństwa przez złośliwe aplikacje
• CVE-2023-41992 umożliwiająca eskalację przywilejów przez atakującego
• CVE-2023-41993 umożliwiająca wykonanie kodu przez przetwarzanie zawartości stron internetowych (warto tu wspomnieć, że ta podatność dotyczy modułu WebKit, który jest słabym punktem bezpieczeństwa produktów Apple i chętnie wykorzystują go cyberprzestępcy).

21 września 2023 r. Apple wypuściło łatkę aktualizującą dla bezpieczeństwa swoich produktów - właśnie w związku z tymi lukami. Radzimy więc jak najszybciej zaktualizować oprogramowanie wszystkim osobom zainteresowanym ochroną przed tego rodzaju inwigilacją.

Spyware w politycznym użyciu

Przypadek egipskiego polityka pokazuje, że spyware to narzędzia, z których coraz chętniej korzystają różne reżimy na całym świecie. Państwa niedemokratyczne to tylko wierzchołek góry lodowej - skandal z Pegasusem na swoim koncie ma również Polska, o czym można przeczytać w licznych tekstach na naszych łamach. Ostatnią odsłonę tej afery stanowi wykorzystanie tego systemu do inwigilacji ważnych postaci związanych z Wojskiem Polskim .

Citizen Lab ocenia, że użycie systemu szpiegowskiego do inwigilacji polityka, który zgłosił chęć startu w wyborach prezydenckich jest oczywistym naruszeniem prawa do wolnych i uczciwych wyborów, a także narusza prawo społeczeństwa do wolności wyrażania się, gromadzenia i prywatności. Sprawa Eltantawiego pokazuje również jasno, że firmy dystrybuujące systemy szpiegowskie nie mają żadnych oporów, jeśli chodzi o sprzedaż swoich produktów i nie interesuje ich, jak zostaną wykorzystane.

O tym, jak chronić się przed działaniem tego rodzaju systemów, można przeczytać na CyberDefence24.pl w tym tekście, skierowanym do użytkowników iPhone'ów .

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].