Групата за анализа на закани (TAG) на Google вели дека „актерите за закани поддржани од државата“ користеле пет нула дневни пропусти за да инсталираат шпионски софтвер Predator, развиен од македонската фирма Cytrox.
Во нападите, кои се дел од три кампањи што траеја од август до октомври 2021 година, напаѓачите користеа нулта-ден експлоатира против Chrome и Android OS за да инсталираат шпионски софтвер Predator на целосно ажурирани уреди со Android.
Според анализата на Гугл, злонамерните актери поддржани од државата кои ги купиле и потоа ги користеле овие подвизи од Cytrox се од Египет, Ерменија, Грција, Мадагаскар, Брегот на Слоновата Коска, Србија, Шпанија и Индонезија.
Cytrox е производител на комерцијален софтвер за следење аналогни Pegasus, произведен од израелската NSO Group, и е познат по алатките и малициозниот софтвер што им овозможува на своите клиенти да хакираат уреди со iOS и Android.
Во декември 2021 година, Мета платформи (поранешен Фејсбук) откри дека отстранила околу 400 сметки на Фејсбук и Инстаграм што ги користела македонската фирма за нејзините кампањи за компромис на уреди.
Петте претходно непознати безбедносни пропусти во нула дена што се користат во овие кампањи се CVE-2021-37973 , CVE-2021-37976 , CVE-2021-38000 , CVE-2021-38003 во Chrome и CVE-2021-1048 во Android
„Сите три кампањи доставија еднократни врски преку е-пошта до таргетирани корисници на Android кои имитираат услуги за скратување на URL-то. Кампањите беа ограничени – во секој случај, проценуваме дека десетици корисници беа цел на [напади]“, додаваат аналитичарите на Google TAG.
„Кога беше кликнато, врската ја пренасочи целта кон домен во сопственост на напаѓач кој испорачува експлоатирања пред да го пренасочи прелистувачот на легитимна веб-локација. Ако врската не беше активна, корисникот беше пренасочен директно на легитимна веб-локација.
Оваа техника на напад беше користена против новинари и други корисници на Google кои беа предупредени дека се цел на напади поддржани од владата.
Крајната цел на операцијата беше дистрибуција на Alien малициозен софтвер , Андроид тројанец со функција RAT што е претходник за вчитување на Predators на заразени уреди со Android. Alien прима команди од Predator и е дизајниран да снима звук, да додава CA сертификати и да крие апликации за да избегне откривање.
Претходниот извештај на Групата за анализа на закани на Google (TAG) е оној од јули 2021 година за четири нула-дневни грешки откриени во 2021 година во Chrome, Internet Explorer и WebKit (Safari).
Според истражувачите на Google TAG, хакерите поддржани од Русија поврзани со Руската служба за надворешно разузнавање (SVR) ја користеле ранливоста во Safari за да ги заразат iOS уредите на западноевропските владини претставници.
TAG рече дека активно следи повеќе од 30 производители, со различно ниво на софистицираност и со различен степен на јавна изложеност, кои продаваат алатки за експлоатација или надзор на „актери поддржани од владата“, изјави Google за TAG.