Novinarji in aktivisti tarča napadov vohunske programske opreme

Izraelski proizvajalec programske opreme Candiru je izkoriščal ranljivosti izdelkov Microsoft in Google

Izraelski proizvajalec programske opreme Candiru je izkoriščal ranljivosti izdelkov Microsoft in Google ter omogočil vladam, da so vdrle v naprave več kot sto novinarjev, aktivistov in disidentov po vsem svetu, so v četrtek sporočili raziskovalci podjetja Microsoft in univerze v Torontu. Z opremo so povezali tudi lažno spletno stran o Sloveniji.

Podjetje Candiru je del izraelske kibernetske industrije, ki zaposluje tudi številne nekdanje veterane elitnih enot vojske in prodaja programsko opremo, ki dovoljuje strankam, da na daljavo vdrejo v računalnike in pametne telefone. Med največjimi podjetji s tega področja je sicer NSO Group, svojo tehnologijo pa zagovarjajo, češ da pomaga varnostnim organom preprečevati morebitne teroristične napade ali druge oblike kriminala. Da se tovrstno vohunsko programsko opremo zlorablja za vohunjenje za novinarji, disidenti in aktivisti so večkrat opozorili tudi pri Združenih narodih in nevladnih organizacijah.

Tokrat so raziskovalci Microsofta in laboratorija Citizen Lab, ki deluje pod okriljem univerze v Torontu, odkrili, da je Candiru prodajal vohunsko programsko opremo, ki je med drugim izkoriščala ranljivosti pri operacijskem sistemu Windows. Uporabniki vohunske opreme so imeli dostop do gesel, lahko so prenašali datoteke in sporočila z naprav, med njimi tudi šifrirana sporočila z aplikacije Signal, imeli so možnost pošiljanja sporočil po elektronski pošti in družbenih omrežjih, poroča časnik Financial Times.

Programsko opremo je Candiru, ki so jo prodajali ekskluzivno samo vladam, so med drugim poganjali iz Savdske Arabije, Izraela, Združenih arabskih emiratov, Madžarske in Indonezije. Odkrili so tudi okoli 750 lažnih spletnih strani, ki so jih povezali z vohunsko opremo. Med drugim so vzpostavili lažno spletno stran nevladne organizacije Amnesty International, ruske pošte in CNN.

Nekaj strani je bilo bolj vezanih na posamezne države, med njimi je bila tudi lažna spletna stran portala o Sloveniji Total News Slovenia. Lažna spletna stran je imela domeno s končnico net, medtem ko ima prava končnico com. Kot pojasnjujejo v poročilu, te domene kažejo na državo tarčo in ne nujno državo, ki je poganjala programsko opremo.

Pri Microsoftu so ranljivost že odpravili z objavo posodobitve programske opreme. Citizen Lab pa je opozoril, da sta s Candiro povezani še dve ranljivosti v brskalniku Google Chrome. Tehnološki velikan sicer v izjavi ranljivosti ni neposredno povezal s Candiro, ampak je sporočil, da jo je izkoriščalo komercialno podjetje s področja nadzora.

Podjetje Candiru je bilo prvič registrirano leta 2014, od takrat pa je večkrat zamenjalo ime, njegovo najnovejše ime je Saito, še piše v poročilu na spletni strani laboratorija Citizen Lab.

