W pierwszych dniach grudnia 2024 roku Apple i Google wysłały tysiące alarmowych powiadomień do użytkowników na całym świecie. Ostrzeżenia dotyczyły wykrytych prób inwigilacji za pomocą komercyjnego oprogramowania szpiegowskiego – zjawiska, które według ekspertów stanowi rosnące zagrożenie dla dziennikarzy, aktywistów i działaczy praw człowieka.
Skala ostrzeżeń i geograficzny zasięg ataków
Apple przekazało 2 grudnia 2024 roku powiadomienia użytkownikom w 84 krajach, informując ich o możliwych atakach ze strony sponsorowanych przez państwa hakerów. Firma podkreśliła, że do tej pory wysłała ostrzeżenia do osób w ponad 150 krajach łącznie. Dzień później, 3 grudnia, Google poinformowało kilkaset użytkowników w Pakistanie, Kazachstanie, Angoli, Egipcie, Uzbekistanie, Arabii Saudyjskiej i Tadżykistanie o wykrytych atakach z wykorzystaniem oprogramowania Predator.
Co istotne, żadna z firm nie ujawniła dokładnej liczby osób objętych ostrzeżeniami ani szczegółów dotyczących tożsamości potencjalnych sprawców ataków. Apple ograniczyło się do ogólnego stwierdzenia o "działalności hakerskiej sponsorowanej przez państwa", podczas gdy Google wprost wskazało na konsorcjum Intellexa jako źródło zagrożenia.
Intellexa – sankcjonowana firma, która nadal działa
W centrum uwagi znalazło się konsorcjum Intellexa, producent oprogramowania szpiegowskiego Predator. Firma została dwukrotnie objęta sankcjami przez amerykański Departament Skarbu w 2024 roku – w marcu i we wrześniu – za rozwijanie i dystrybucję narzędzi inwigilacyjnych zagrażających bezpieczeństwu narodowemu Stanów Zjednoczonych. Mimo restrykcji, według Google Threat Intelligence Group, Intellexa "omija ograniczenia i nadal prosperuje".
Ale to nie wszystko. Zespół bezpieczeństwa Google ujawnił, że od 2021 roku Intellexa wykorzystała aż 15 unikalnych luk zero-day – stanowiło to ponad 21 procent wszystkich takich podatności odkrytych przez badaczy Google w tym okresie. Dla porównania, w 2024 roku zaobserwowano wykorzystanie łącznie 75 luk zero-day przez różnych aktorów, z czego ponad połowa była powiązana z operatorami komercyjnego oprogramowania szpiegowskiego.
Aladdin – nowa broń cyfrowa atakująca przez reklamy
Prawda jest jeszcze bardziej szokująca: śledztwo przeprowadzone przez Amnesty International, Inside Story i Haaretz ujawniło istnienie systemu o kryptonimie "Aladdin" – mechanizmu infekcji zero-click, który wykorzystuje ekosystem reklamy cyfrowej do kompromitacji urządzeń mobilnych. System działa w sposób niezwykle perfidny – wystarczy, że ofiara zobaczy złośliwą reklamę wyświetloną na zaufanej stronie internetowej lub w aplikacji mobilnej, aby urządzenie zostało zainfekowane.
Wewnętrzne materiały Intellexa potwierdzają, że samo wyświetlenie reklamy wystarcza do uruchomienia infekcji – użytkownik nie musi w nią klikać. Złośliwa reklama może pojawić się na dowolnej stronie wyświetlającej reklamy, w tym na portalach informacyjnych czy popularnych aplikacjach. Jurre van Bergen, technolog z Laboratorium Bezpieczeństwa Amnesty International, ostrzegł, że wykorzystywanie przez Intellexa ekosystemu reklamy cyfrowej do hakowania telefonów wymaga pilnej uwagi i działań ze strony branży reklamowej.
Historia Intellexa i powiązania z wywiadem
Konsorcjum Intellexa zostało założone przez Tala Diliana, byłego dowódcę elitarnej izraelskiej jednostki wywiadowczej. Firma zatrudniła innych byłych oficerów izraelskiego wywiadu na kluczowe stanowiska. Jej oprogramowanie Predator pozwala klientom monitorować wszystkie informacje przechowywane lub przesyłane z telefonu komórkowego ofiary – od wiadomości tekstowych, przez e-maile, po dane lokalizacyjne i nagrania rozmów.
Intellexa przedstawiała się jako "firma z siedzibą w UE, podlegająca regulacjom europejskim, z sześcioma oddziałami i laboratoriami badawczo-rozwojowymi w całej Europie". W rzeczywistości jest to złożona międzynarodowa sieć zdecentralizowanych firm, które zbudowały i skomercjalizowały kompleksowy zestaw wysoce inwazyjnych produktów szpiegowskich, sprzedawanych głównie pod marką "Predator".
Potwierdzeni użytkownicy Predatora na świecie
Badania Citizen Lab i innych organizacji zajmujących się bezpieczeństwem cybernetycznym wskazują na prawdopodobnych klientów Predatora w wielu krajach. Skanowanie internetowe wykryło serwery oprogramowania w Armenii, Egipcie, Grecji, Indonezji, Madagaskarze, Omanie, Arabii Saudyjskiej i Serbii. Raport z czerwca 2024 roku sygnalizował "odrodzenie" działalności Intellexa, identyfikując ponad tuzin krajów, w których oprogramowanie Predator prawdopodobnie działa – w tym państwa o słabej kondycji praw człowieka, takie jak Arabia Saudyjska, Demokratyczna Republika Konga i Kazachstan.
Laboratorium Bezpieczeństwa Amnesty International potwierdziło niedawny atak na prawnika zajmującego się prawami człowieka z pakistańskiej prowincji Beludżystan, przeprowadzony przez WhatsApp latem 2024 roku. To pierwszy udokumentowany przypadek użycia Predatora w Pakistanie, który pojawił się w czasie surowych ograniczeń praw aktywistów w tej prowincji, w tym coraz częstszych blokad internetowych na poziomie całej prowincji.
Porównanie z Pegasus i innymi narzędziami inwigilacji
Predator jest często porównywany z Pegasus – oprogramowaniem szpiegowskim zero-click produkowanym przez izraelską firmę NSO Group. Oba narzędzia były wykorzystywane przez rządy, agencje wywiadowcze i inne podmioty do naruszania prywatności liderów światowych, przeciwników politycznych, dysydentów i dziennikarzy. W jednym udokumentowanym przypadku iPhone egipskiego dysydenta Aymana Noura został zainfekowany jednocześnie dwoma różnymi narzędziami szpiegowskimi – Pegasus i Predator.
Tradycyjnie Predator opierał się niemal wyłącznie na atakach "one-click", wymagających otwarcia złośliwego linku na telefonie ofiary. Było to mniej inwazyjne niż ataki "zero-click" typowe dla konkurencyjnych rozwiązań, takich jak Pegasus. Jednak rozwój systemu Aladdin oznacza, że Intellexa osiągnęła możliwości porównywalne z NSO Group w zakresie cichej, bezkontaktowej infekcji urządzeń docelowych w dowolnym miejscu na świecie.
Znaczenie powiadomień dla ofiar i śledczych
John Scott-Railton, starszy badacz w Citizen Lab, podkreślił, że powiadomienia o zagrożeniach wysyłane przez firmy technologiczne "nakładają koszty na cyberszpiegów, ostrzegając ofiary" i są "często pierwszym krokiem w serii dochodzeń i odkryć, które mogą prowadzić do prawdziwej odpowiedzialności za nadużycia związane z oprogramowaniem szpiegowskim".
Poprzednie fale ostrzeżeń wywołały nagłówki w mediach i skłoniły organy rządowe, w tym Unię Europejską, do przeprowadzenia dochodzeń. Wysokiej rangi urzędnicy UE byli wcześniej celem ataków z użyciem komercyjnego oprogramowania szpiegowskiego. Google dodało domeny powiązane z Intellexa do swojej usługi Safe Browsing i dostarcza ostrzeżenia o atakach wspieranych przez rządy wszystkim znanym kontom docelowym powiązanym z klientami Intellexa od 2023 roku.
Rosnące zagrożenie lukami zero-day w oprogramowaniu korporacyjnym
Według raportu Google Threat Intelligence Group z 2024 roku, prawie 30 procent przypisanych luk zero-day było wykorzystywanych przez chińskich aktorów, z których wielu atakowało urządzenia firmy Ivanti. Produkty stosowane głównie w środowiskach biznesowych stanowiły 44 procent wszystkich wykorzystanych luk zero-day w 2024 roku, w porównaniu z 37 procentami w 2023 roku.
Oprogramowanie i urządzenia zabezpieczające oraz sieciowe odpowiadały za 20 luk zero-day wykorzystanych w praktyce, czyli ponad 60 procent luk zero-day ukierunkowanych na przedsiębiorstwa. Hakerzy koncentrują się na nich, ponieważ przełamanie pojedynczego urządzenia zabezpieczającego lub urządzenia sieciowego może zapewnić im szeroki dostęp do systemów bez konieczności stosowania bardziej wyrafinowanych wieloetapowych łańcuchów exploitów.
Odpowiedź branży reklamowej i perspektywy regulacyjne
Ujawnienie systemu Aladdin wywołało apele o pilne działania ze strony branży reklamowej. Eksperci wskazują, że komercyjny ekosystem reklamy mobilnej – zaprojektowany do targetowania użytkowników i dostarczania spersonalizowanych treści – może być wykorzystywany jako broń do przeprowadzania precyzyjnych ataków cybernetycznych na konkretne osoby.
Wykorzystywanie infrastruktury reklamowej do instalowania oprogramowania szpiegowskiego stanowi fundamentalne naruszenie zaufania użytkowników do cyfrowego ekosystemu i wymaga natychmiastowej reakcji regulacyjnej oraz przemysłowej.
Amnesty International wezwała rządy Irlandii i innych krajów europejskich do natychmiastowego cofnięcia wszystkich licencji marketingowych i eksportowych wydanych sojuszowi Intellexa, przeprowadzenia transparentnych dochodzeń w sprawie praktyk konsorcjum oraz egzekwowania przepisów wymagających od wszystkich podmiotów korporacyjnych poszanowania praw człowieka. Organizacja stwierdziła, że produkty sojuszu Intellexa zostały znalezione w co najmniej 25 krajach w Europie, Azji, na Bliskim Wschodzie i w Afryce i były wykorzystywane do podważania praw człowieka, wolności prasy i ruchów społecznych na całym świecie.
Co dalej – przyszłość walki z komercyjnym szpiegostwem
Badacze Google przewidują, że wykorzystywanie luk zero-day będzie nadal rosło. Telefony i przeglądarki prawie na pewno pozostaną popularnymi celami, chociaż oprogramowanie korporacyjne i urządzenia sieciowe prawdopodobnie będą nadal odnotowywać wzrost liczby exploitów zero-day. Jednocześnie inwestycje dostawców w zabezpieczenia mają "wyraźny wpływ na to, gdzie atakujący są w stanie odnosić sukcesy".
Liczba luk zero-day w przeglądarkach spadła o jedną trzecią, a liczba błędów dotyczących urządzeń mobilnych spadła o około połowę w porównaniu z poprzednimi latami. Niemniej jednak ciągłe istnienie i wykorzystywanie podobnych problemów sprawia, że luki zero-day są łatwiejsze do znalezienia – atakujący wiedzą, czego szukać i gdzie exploitowalne słabości są najbardziej rozpowszechnione.
Najczęściej zadawane pytania
Jak działa system Aladdin firmy Intellexa?
Aladdin to mechanizm infekcji zero-click, który wykorzystuje ekosystem reklamy mobilnej do dostarczania złośliwego kodu. System wymusza wyświetlenie specjalnie przygotowanej reklamy na telefonie ofiary – samo jej zobaczenie wystarcza do zainfekowania urządzenia, bez konieczności klikania.
Czy sankcje USA wobec Intellexa są skuteczne?
Pomimo dwukrotnego objęcia sankcjami przez Departament Skarbu USA w 2024 roku, Intellexa nadal działa i rozwija swoje produkty. Google Threat Intelligence Group stwierdziła, że firma "omija ograniczenia i nadal prosperuje", co wskazuje na ograniczoną skuteczność obecnych środków sankcyjnych.
Ile luk zero-day wykorzystała Intellexa?
Od 2021 roku Intellexa wykorzystała 15 unikalnych luk zero-day, co stanowi ponad 21 procent wszystkich podatności zero-day odkrytych przez badaczy Google w tym okresie. To niezwykle wysoki odsetek jak na pojedynczą firmę.
W jakich krajach potwierdzono użycie Predatora?
Skanowanie internetowe i badania forensyczne potwierdziły prawdopodobne użycie Predatora w Armenii, Egipcie, Grecji, Indonezji, Madagaskarze, Omanie, Arabii Saudyjskiej, Serbii, Pakistanie, Kazachstanie, Angoli, Uzbekistanie i Tadżykistanie.
Czy Apple i Google będą kontynuować wysyłanie ostrzeżeń?
Obie firmy potwierdziły, że będą kontynuować program powiadomień o zagrożeniach. Apple regularnie wysyła ostrzeżenia, gdy podejrzewa, że użytkownicy mogą być celem hakerów sponsorowanych przez państwa, a Google dostarcza ostrzeżenia wszystkim znanym kontom docelowym powiązanym z klientami Intellexa od 2023 roku.
Źródła informacji
Artykuł został opracowany na podstawie oficjalnych oświadczeń Apple Inc. i Google (Alphabet Inc.) z grudnia 2024 roku, raportów Google Threat Intelligence Group dotyczących wykorzystania luk zero-day, śledztwa "Intellexa Leaks" przeprowadzonego przez Amnesty International Security Lab, Inside Story i Haaretz, badań Citizen Lab dotyczących komercyjnego oprogramowania szpiegowskiego, dokumentów Departamentu Skarbu USA dotyczących sankcji nałożonych na konsorcjum Intellexa (komunikaty prasowe z marca i września 2024 roku), analiz Recorded Future dotyczących infrastruktury Predatora oraz raportów technicznych dotyczących systemu infekcji Aladdin opublikowanych w grudniu 2024 roku.