Раскрыта внутренняя работа «Predator», вредоносного ПО для Android, которое использовало 5 0-days

LuDux сказал:

Так почему же мы не привлекли к ответственности создателей этого?

Нажмите, чтобы развернуть...
Извините, но я не думаю, что в статье или связанных ссылках было какое-либо утверждение о том, что мы знаем, кто ее создатели. Это либо внештатный создатель вредоносного ПО, либо, что более вероятно, группа, связанная с государством, которая продает свои продукты. В любом случае 5 разных 0-дней в одном пакете – это подвиг!

Впервые я услышал о Zygote64. Кажется, это хороший вектор атаки.

Редактировать: похоже, я ошибся, в статье Forbes указан продавец. Это представляет собой интересный этический вопрос. Несет ли ответственность компания, которая создает «шпионское ПО» и продает его ЦРУ/ФБР? Или оборонный подрядчик? Даже безобидные технологии могут использоваться неправильно. Я работаю в облачном провайдере, и наше нынешнее правило таково: мы продаем наши технологии странам, в которых проводятся демократические выборы. Это не идеально, но кажется разумным стандартом.

Немного неясно, кто вообще управляет кораблем Intellexa. Штаб-квартира WiSpear, судя по всему, находилась на Кипре, Cytrox — в Северной Македонии, а компания Senpai Technologies, по всей видимости, израильский стартап, а Nexa — французская компания, ранее известная как Amesys (Advanced Middle East Systems).

Весь шебанг появляется его возглавит Таль Дилиан, израильский предприниматель, который предположительно возглавлял разведывательную службу ЦАХАЛа. Блок 81 в течение нескольких лет. Блин.

Мне было бы любопытно, как продавцы подобных вещей проводят проверку клиентов. Не с точки зрения уверенности в том, что они продают только «хорошим парням»; потому что у меня нет оснований полагать, что их это волнует; но с точки зрения попытки гарантировать, что заинтересованные стороны преследуют чисто наступательные цели и будут воздерживаться от крайне неосторожного использования, которое будет практически наверняка используемые методы будут обнаружены и сожжены (по крайней мере, для будущих телефонов, бэк-каталог тех, которые никогда не будут обновляться, по-видимому, не будет затронут; но эксплойты для систем с множеством неприятных публичных и неисправленных уязвимостей, по-видимому, стоят намного меньше).

Очевидно, что есть государственные покупатели, которые больше заинтересованы в шпионаже, чем в скучной «беспокойстве о собственной безопасности»; но я предполагаю, что DISA и различные зарубежные аналоги, вероятно, будут заинтересованы в покупке вредоносного ПО, если цена будет подходящей, потому что получать образцы таким способом гораздо безопаснее, чем надеяться, что вы узнаете их, когда злоумышленник попытается их использовать. ты; и, вероятно, быстрее и надежнее, чем надеяться самостоятельно обнаружить уязвимости.

Для атак, нацеленных на достаточно популярные системы, даже поставщика или различные службы кибербезопасности частного сектора. потенциально появится на рынке по тем же причинам: это уродливее и менее удобно, чем поиск ошибок с помощью белых головные уборы; но все же предлагает определенные преимущества в безопасности и надежности по сравнению с. просто надеясь, что командная защита самостоятельно обнаружит те же уязвимости.

Цены действительно высокие? Сознательно ли они прощупывают клиентов и делают упор на продажу людям со сравнительно слабым собственным опытом и/или Модель угроз в значительной степени сосредоточена на том, что они могут потерять в случае взлома, а не на том, чем они рискуют, оставив своих врагов. не взломанный? Пытаются ли они оставить это «как услугу» и делают все возможное, чтобы не допустить попадания реальных инструментов атаки в руки клиентов, просто передавая им результаты?

fuzzyfuzzyfungus сказал:
Мне было бы любопытно, как продавцы подобных вещей проводят проверку клиентов. Не с точки зрения уверенности в том, что они продают только «хорошим парням»; потому что у меня нет оснований полагать, что их это волнует; но с точки зрения попытки гарантировать, что заинтересованные стороны преследуют чисто наступательные цели и будут воздерживаться от крайне неосторожного использования, которое будет практически наверняка используемые методы будут обнаружены и сожжены (по крайней мере, для будущих телефонов, бэк-каталог тех, которые никогда не будут обновляться, по-видимому, не будет затронут; но эксплойты для систем с множеством неприятных публичных и неисправленных уязвимостей, по-видимому, стоят намного меньше).

Очевидно, что есть государственные покупатели, которые больше заинтересованы в шпионаже, чем в скучной «беспокойстве о собственной безопасности»; но я предполагаю, что DISA и различные зарубежные аналоги, вероятно, будут заинтересованы в покупке вредоносного ПО, если цена будет подходящей, потому что получать образцы таким способом гораздо безопаснее, чем надеяться, что вы узнаете их, когда злоумышленник попытается их использовать. ты; и, вероятно, быстрее и надежнее, чем надеяться самостоятельно обнаружить уязвимости.

Для атак, нацеленных на достаточно популярные системы, даже поставщика или различные службы кибербезопасности частного сектора. потенциально появится на рынке по тем же причинам: это уродливее и менее удобно, чем поиск ошибок с помощью белых головные уборы; но все же предлагает определенные преимущества в безопасности и надежности по сравнению с. просто надеясь, что командная защита самостоятельно обнаружит те же уязвимости.

Цены действительно высокие? Сознательно ли они прощупывают клиентов и делают упор на продажу людям со сравнительно слабым собственным опытом и/или Модель угроз в значительной степени сосредоточена на том, что они могут потерять в случае взлома, а не на том, чем они рискуют, оставив своих врагов. не взломанный? Пытаются ли они оставить это «как услугу» и делают все возможное, чтобы не допустить попадания реальных инструментов атаки в руки клиентов, просто передавая им результаты?

Нажмите, чтобы развернуть...
Это все действительно хорошие вопросы, и хотя я не могу предложить ничего конкретного, я могу дать ответы на некоторые из них.

Даже довольно маленькие/бедные национальные государства имеют некоторый бюджет. Кроме того, те, кого цитируют в статье, имеют особый интерес к внутреннему контролю и притеснениям, поэтому бюджеты на эту деятельность, вероятно, намного выше, чем, скажем, в США (пропорционально, в минимум). Это, вероятно, означает от десятков до сотен миллионов долларов в совокупности в год, которые складываются довольно быстро даже за 3-5 лет. (Информацию о потенциальном доходе см. в разделе NSO Group.)

Теперь сравните это с выплатами по вознаграждению за обнаружение ошибок. Хотя в последнее время (скажем, в последние год или два) ситуация у основных производителей ОС для смартфонов постепенно улучшается, исторически им не удавалось достичь такого уровня с точки зрения выплат (https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts). Фактически, я могу вспомнить онлайн-дискуссию в прошлом году или около того о том, что Apple довольно скупа на свою программу вознаграждения за ошибки... Подробности ускользают от меня, но что-то о крупном облачном эксплойте, за который заплатили всего 250 тысяч долларов, но на черном рынке он, вероятно, стоил в 10 раз дороже. Подобные несовпадающие экономические условия и создают такие рынки, а программы вознаграждения за ошибки якобы существуют в основном для того, чтобы уничтожить эти рынки и сохранить доверие пользователей к платформе.

TLDR — Вероятно, стоит приложить усилия, чтобы получить доход в размере более 100 миллионов долларов США по сравнению с историческим пределом в размере около 1 миллиона долларов США (обычно это около 250 тысяч долларов США). Ситуация меняется, но, по моему мнению, слишком медленно.

jamesb2147 сказал:
Это все действительно хорошие вопросы, и хотя я не могу предложить ничего конкретного, я могу дать ответы на некоторые из них.

Даже довольно маленькие/бедные национальные государства имеют некоторый бюджет. Кроме того, те, кого цитируют в статье, имеют особый интерес к внутреннему контролю и притеснениям, поэтому бюджеты на эту деятельность, вероятно, намного выше, чем, скажем, в США (пропорционально, в минимум). Это, вероятно, означает от десятков до сотен миллионов долларов в совокупности в год, которые складываются довольно быстро даже за 3-5 лет. (Информацию о потенциальном доходе см. в разделе NSO Group.)

Теперь сравните это с выплатами по вознаграждению за обнаружение ошибок. Хотя в последнее время (скажем, в последние год или два) ситуация у основных производителей ОС для смартфонов постепенно улучшается, исторически им не удавалось достичь такого уровня с точки зрения выплат (https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts). Фактически, я могу вспомнить онлайн-дискуссию в прошлом году или около того о том, что Apple довольно скупа на свою программу вознаграждения за ошибки... Подробности ускользают от меня, но что-то о крупном облачном эксплойте, за который заплатили всего 250 тысяч долларов, но на черном рынке он, вероятно, стоил в 10 раз дороже. Подобные несовпадающие экономические условия и создают такие рынки, а программы вознаграждения за ошибки якобы существуют в основном для того, чтобы уничтожить эти рынки и сохранить доверие пользователей к платформе.

TLDR — Вероятно, стоит приложить усилия, чтобы получить доход в размере более 100 миллионов долларов США по сравнению с историческим пределом в размере около 1 миллиона долларов США (обычно это около 250 тысяч долларов США). Ситуация меняется, но, по моему мнению, слишком медленно.

Нажмите, чтобы развернуть...

Я не ожидал, что поставщики вредоносных программ отвернутся от преступной жизни в пользу вознаграждений за обнаружение ошибок, поскольку, как вы заметили, это было бы существенной потерей прибыли.

Что меня больше интересует, так это то, как они избегают продаж клиентам, которые заинтересованы, потому что хотят нейтрализовать эксплойты и рассматривать покупку вредоносного ПО для анализа как программу вознаграждения за обнаружение ошибок для людей, которые этого не делают. играй честно.

Конечно, существует готовый рынок даже среди довольно бедных и рудиментарных спецслужб, у которых есть надоедливые диссиденты, которых необходимо репрессировать; Я просто могу себе представить, что сам этот факт заставил бы нервничать гораздо более богатые и лучше оснащенные органы безопасности; поскольку в среднем все используют примерно одно и то же коммерчески доступное программное обеспечение: я не ожидать, что DISA или тому подобное на самом деле очень заботятся о судьбе активиста оппозиции в Мадагаскар; но они, вероятно, не совсем довольны тем фактом, что инструменты, которые также сработали бы с конгрессменом, предпочитающим Android, находятся в пределах досягаемости спецслужб Мадагаскара; что повысит риск того, что они будут готовы заплатить любую цену за получение вредоносного ПО. чтобы проанализировать его, потому что они больше теряют, чем получают от его широкого распространения. доступный.

Это не что иное, как цифровой терроризм, и к нему следует относиться соответственно. Лица, взламывающие корпоративные системы, подвергаются судебному преследованию и заключаются под стражу; корпорации, взламывающие системы отдельных лиц, рассматриваются как законный бизнес. Просто еще один пример странного положения дел в мире, где компании имеют все права отдельных лиц, но мало обязанностей.

Почему эти эксплойты всегда имеют громкие кодовые названия? Похоже, что это просто дает скрытым создателям дополнительные права хвастаться в своих криминальных кругах. Почему бы не воспользоваться тем небольшим контролем, который у нас есть, и не дать им такие имена, как «Пушистый кролик» или «Милый-пушистый»?

Это торговцы оружием, и с ними как таковыми должны быть законы. Может быть, после новой войны или двух?

Интересно, сталкиваются ли такие компании, как Apple и Google, с давлением со стороны правительств, требующих не исправлять проблемы? «Прекрасная у вас компания. Было бы грустно, если бы всем вашим сотрудникам сломали ноги, прежде чем им выстрелили в печень».

Пес Ральф сказал:

Интересно, сталкиваются ли такие компании, как Apple и Google, с давлением со стороны правительств, требующих не исправлять проблемы? «Прекрасная у вас компания. Было бы грустно, если бы всем вашим сотрудникам сломали ноги, прежде чем им выстрелили в печень».

Нажмите, чтобы развернуть...

Это не бандитский масштаб: если белорусские власти попытаются навязать это на многотриллионную компанию, они пойдут к правительству США и сообщат о террористической угрозе. Даже правительству США, обладающему юридической юрисдикцией, будет трудно сделать это, потому что это невероятно взрывоопасные новости, которые большинство людей, даже в правительстве, ненавидят, и всем им придется их держать секрет. Это не сработало в течение нескольких лет с программой пыток Буша или «Звездным ветром», и их было более правдоподобно оправдать как необходимость национальной безопасности.

Что происходит, так это то, что они используют свои законные полномочия, а Китай обращается к Apple и говорит: «Вы хотите отключить сквозное шифрование на iOS?» устройств в Китае или уйти с рынка, насчитывающего миллиард человек?», или Великобритания обращается к Google и говорит: «Хотите ли вы, чтобы вас обвинили в помощи детям?» обидчики?» Это может иметь плохие последствия – спросите американских мусульман, насколько они доверяют процессу выдачи ордера – но в процесс.

Пожалуйста, не обращайте на меня внимания, Сенпай.

Я считаю, что для ясности в этой статье следует упомянуть тот факт, что это вредоносное ПО также нацелено на устройства iOS где-то более заметно, чем во втором абзаце.

Я понимаю, что «[он] использовал 5 0-дней» — это утверждение, специфичное для версии Android, поскольку у исследователей безопасности нет образца версии iOS. Но я думаю, что было бы лучше, если бы заголовок был технически неточным, а не рисковал бы убаюкать пользователей iOS ложным чувством безопасности.

(возможно, это заголовок, прошедший A/B-тестирование. На мой взгляд, заголовок гласит: «Раскрыта внутренняя работа «Predator», вредоносного ПО для Android, использовавшего 5 0-days»).

Все, что я знаю, это очень простой способ для всех этих подонков, нерегулируемых компаний, загнать свои яйца в тиски. Когда это вредоносное ПО попадает на телефон семьи любого сотрудника уровня «С» и начинает фотографировать вашу жену или записывать звук, когда ты трахаешь свою любовницу, когда ты говоришь жене, что работаешь допоздна или что у твоих детей время игры. И догадывается, что нет никаких правил или законов, которые можно было бы использовать против кого-либо. Око за око, я говорю: «К черту их всех».

Гандорон сказал:
Извините, но я не думаю, что в статье или связанных ссылках было какое-либо утверждение о том, что мы знаем, кто ее создатели. Это либо внештатный создатель вредоносного ПО, либо, что более вероятно, группа, связанная с государством, которая продает свои продукты. В любом случае 5 разных 0-дней в одном пакете – это подвиг!

Впервые я услышал о Zygote64. Кажется, это хороший вектор атаки.

Редактировать: похоже, я ошибся, в статье Forbes указан продавец. Это представляет собой интересный этический вопрос. Несет ли ответственность компания, которая создает «шпионское ПО» и продает его ЦРУ/ФБР? Или оборонный подрядчик? Даже безобидные технологии могут использоваться неправильно. Я работаю в облачном провайдере, и наше нынешнее правило таково: мы продаем наши технологии странам, в которых проводятся демократические выборы. Это не идеально, но кажется разумным стандартом.

Нажмите, чтобы развернуть...
Этично? Конечно, если вы знаете или должны знать, как оно будет использоваться, и все равно продадите его им, вы являетесь участником этого процесса.

Юридически? Более сложный вопрос. Для американской компании существуют ограничения на экспорт подобных вещей, поэтому ответ будет утвердительным. Эти компании не базируются в США, но возможно, вы сможете подать на них в суд в судах США, если сможете доказать ущерб. Удачи в исполнении любых постановлений. Есть большая вероятность, что им будет разрешено работать в своих странах.

Гандорон сказал:
Извините, но я не думаю, что в статье или связанных ссылках было какое-либо утверждение о том, что мы знаем, кто ее создатели. Это либо внештатный создатель вредоносного ПО, либо, что более вероятно, группа, связанная с государством, которая продает свои продукты. В любом случае 5 разных 0-дней в одном пакете – это подвиг!

Впервые я услышал о Zygote64. Кажется, это хороший вектор атаки.

Редактировать: похоже, я ошибся, в статье Forbes указан продавец. Это представляет собой интересный этический вопрос. Несет ли ответственность компания, которая создает «шпионское ПО» и продает его ЦРУ/ФБР? Или оборонный подрядчик? Даже безобидные технологии могут использоваться неправильно. Я работаю в облачном провайдере, и наше нынешнее правило таково: мы продаем наши технологии странам, в которых проводятся демократические выборы. Это не идеально, но кажется разумным стандартом.

Нажмите, чтобы развернуть...
Немного оффтоп, но мне интересно, как вы определяете демократические выборы.

Формально Россия демократически проголосовала за Путина, прошла несколько раз (или за его соратника, когда он стал премьер-министром) и, предположительно, будет продолжать выбирать его или его соратника, пока он не умрет или не решит уйти в отставку.

Подобные «выборы» есть и во многих других странах.

Я не вижу смысла упоминать iOS, если ни в вашей статье, ни на связанной странице блога ничего не сказано.

Kvx сказал:
Еще не так много лет назад я совершенно не ожидал, что израильская компания будет вести дела с некоторыми из этих стран.

Я думаю, это интересный взгляд на то, как кардинально изменились израильско-арабские международные отношения за последние пару десятилетий.

Нажмите, чтобы развернуть...
Или, может быть, некоторые из них готовы игнорировать политические или религиозные различия, если на столе достаточно денег?

А если серьезно, мне интересно, не подлежат ли эти «наборы инструментов» какому-то экспортному контролю, но я не могу вспомнить, было ли то же самое в случае со шпионским ПО НСУ.

Хищник был в новостях в Греции, как и год назад, когда европейский парламент предупредил члена Европарламента, что обычная проверка его телефона показала, что за ним следит хищник. Выяснилось, что греческая разведка регулярно шпионила за лидерами оппозиции, старшими военными и т. д. Вызвал настоящий переполох. Интересный факт: Predator был законно куплен правительством.

Последнее сообщение в блоге

В «Мыльнице» обсуждается тема «Смешные картинки»
October 11, 2023

Для ясности: Ars сейчас использует ту же модель, что и Facebook. Я не видел огромного всплеска людей, подающих в суд на Facebook за несанкционирова...

В «Мыльнице» обсуждается тема «Смешные картинки»
October 12, 2023

Для ясности: Ars сейчас использует ту же модель, что и Facebook. Я не видел огромного всплеска людей, подающих в суд на Facebook за несанкционирова...

Украина для вас игра? Часть двойная.
October 11, 2023

Примерно 50 парней без транспортных средств делают чертовски хорошую работу, вызывая жертвы и потери для России. Сообщается, что это работа катер...