Гигантски теч на вътрешни документи разкрива как нови експлойтове на Intellexa позволяват заразяване без клик – само чрез зареждане на реклама.

Рекламата като оръжие: компрометиране без нито едно действие от потребителя

Ако сте смятали, че блокерите на реклами са удобство, а не защита, новото разкритие на Amnesty International показва точно обратното. Един единствен рекламен елемент – зареден на напълно легитимен сайт или приложение – е бил достатъчен за невидимо доставяне на Predator, едно от най-мощните комерсиални шпионски средства в света.

Intellexa, ирландска наемническа компания за шпионски софтуер, остава активна въпреки включването си в американски черни списъци заради атаки срещу дипломати, журналисти и експерти по сигурност. Новите изтекли документи разкриват, че фирмата е разработила 0-click експлойти, позволяващи автоматично заразяване на мобилни устройства, без каквото и да е взаимодействие от страна на жертвата.

„Aladdin“ – система за принудително доставяне на злонамерена реклама

Новият механизъм, кръстен Aladdin, позволява таргетиране на конкретни устройства според IP адрес, рекламни идентификатори, имейл, геолокация или други маркери. След идентификация системата вмъква специално подготвена реклама, която изглежда напълно нормална на всяка страница, поддържаща рекламен трафик.

Самото визуализиране на рекламата е достатъчно за заразяване. Няма нужда от кликане.

Aladdin работи както върху Android, така и върху iOS устройства. Това поставя под въпрос сигурността на рекламните екосистеми, използвани от почти всички големи платформи. Intellexa далеч не е единствената компания, разработваща подобни методи – налични са данни, че и други комерсиални и държавно спонсорирани играчи следват този модел.

Predator: от 1-click атаки до мрежови инжекции и zero-day експлойти

Разкритията потвърждават, че Intellexa е комбинирала Aladdin с обширен арсенал от други техники:

• 1-click атаки, при които жертвата трябва да отвори злонамерен линк, задействащ експлойт за Chrome (Android) или Safari (iOS).

• Мрежови инжекции, при които доставчикът на интернет съдейства за вмъкване на зловреден трафик.

• Специализирани експлойти за устройства, включително за Samsung Exynos.

• Голям набор zero-day уязвимости – от 2021 г. Intellexa е свързана с 15 уникални zero-days: RCE, Sandbox Escape и LPE.

Google Threat Intelligence Group установява, че част от експлойтите, използвани в Египет, произхождат от други държавно спонсорирани групи – включително руски групи, използвали същите вериги срещу Монголия.

Шпионски софтуер с пълен достъп до личния живот

След успешното компрометиране Predator предоставя почти неограничени възможности:

• достъп до криптирани приложения (Signal, WhatsApp),

• запис на аудио в реално време,

• активиране на камера и микрофон,

• извличане на пароли, контактна книга и локация,

• събиране на снимки, файлове и резервни копия.

Това превръща всяко устройство в инструмент за тотално следене, без възможност за откриване от страна на потребителя.

Най-тревожното разкритие: Intellexa е запазила достъп до системите на клиентите си

Изтеклата документация показва, че компанията е запазвала дистанционен достъп до системите за наблюдение на своите държавни клиенти. В някои случаи служителите са използвали TeamViewer, за да влизат в конзолите, от които се управляват атаките.

Това означава, че:

• шпионската компания е могла да наблюдава жертви, избрани от правителствата,

• целите са били изложени едновременно пред държавата и пред Intellexa,

• фирмата е имала достъп до съобщения, снимки, локации и други чувствителни данни.

Amnesty сравнява изтеклите документи с „Розетски камък“ – колекция от конфигурации, ключове, домейни, API сървъри и други IoC, които позволяват надеждно проследяване на Predator кампании по света.

Глобална заплаха за журналисти, активисти и гражданското общество

Новите доказателства потвърждават активна употреба на Predator в Пакистан, както и предишни случаи на злоупотреби в Гърция и Египет. Течът подчертава как комерсиални шпионски компании се превръщат в де факто глобални участници в незаконното следене, често над закона и извън международния контрол.

Според Amnesty International разкритията:

• показват едни от най-подробните данни за вътрешната работа на Intellexa,

• разкриват мащабна злоупотреба с уязвимости в мобилни платформи,

• демонстрират пряк риск за журналисти, правозащитници и опозиционни фигури.

Инцидентът с изтеклите документи е безпрецедентен поглед зад кулисите на една от най-опасните шпионски платформи в света. Той разкрива не само техническите възможности на Predator, но и системния проблем: държави и частни компании изграждат инфраструктури за следене, които могат да бъдат злоупотребени от всеки, който има достъп.

В ерата на масовата дигитализация дори една реклама може да отвори врата към пълното компрометиране на личния живот.