Betreiber von Predator-Spyware bauen mehrstufige Infrastruktur neu auf, um Mobilgeräte anzugreifen
Neue Forschungsergebnisse der Insikt Group von Recorded Future untersuchen neu entdeckte Infrastrukturen im Zusammenhang mit den Betreibern von Predator, einer von Cytrox entwickelten und derzeit von der Intellexa Alliance verwalteten Söldner-Spionagesoftware für Mobilgeräte. Es wird angenommen, dass die Infrastruktur in mindestens elf Ländern im Einsatz ist, darunter Angola, Armenien, Botswana, Ägypten, Indonesien, Kasachstan, die Mongolei, Oman, die Philippinen, Saudi-Arabien und Trinidad und Tobago. Dies ist bemerkenswerterweise das erste Mal, dass Kunden in Botswana und auf den Philippinen öffentlich identifiziert wurden. Obwohl Predator für die Terrorismusbekämpfung und die Strafverfolgung vermarktet wird, wurde es oft gegen die Zivilgesellschaft eingesetzt, um Journalisten, Politiker und Aktivisten ins Visier zu nehmen. Bei dieser jüngsten Aktivität wurden keine spezifischen Opfer oder Ziele identifiziert.
Risiken verstehen und bewährte Sicherheitsmethoden implementieren
Die Verwendung von Spyware wie etwa Predator birgt erhebliche Risiken für den Datenschutz, die Legalität und die physische Sicherheit, insbesondere wenn sie außerhalb von Zusammenhängen mit schwerer Kriminalität und Terrorismusbekämpfung eingesetzt wird. Obwohl die meisten Missbrauchsfälle auf die Zivilgesellschaft abzielen, sollten sich andere Organisationen und Einzelpersonen in Regionen, die für Spyware-Missbrauch bekannt sind, unabhängig von ihrer Branche oder ihrem Standorts des Risikos bewusst sein. In Anbetracht der hohen Einsatzkosten und der Kosten pro Infektion ist es wahrscheinlicher, dass hochrangige Personen, wie z. B. Führungskräfte, von denen man annimmt, dass sie einen hohen Informationswert besitzen, zur Zielscheibe werden. Die Europäische Union hat vor Kurzem Maßnahmen ergriffen, um den Missbrauch von Söldner-Spyware in ihren Mitgliedstaaten einzudämmen.
Da der Markt für Söldner-Spyware mit neuen Unternehmen und Produkten wächst, erstreckt sich das Risiko, ins Visier genommen zu werden, auf alle, die für Einheiten mit Zugang zu diesen Tools oder ähnlichen Funktionen von Interesse sind. Angesichts der anhaltenden Rentabilität, des zunehmenden Wettbewerbs und der verstärkten IT-Sicherheit werden Innovationen wahrscheinlich zu mehr verdeckten Infektionsmethoden führen – wie z. B. die Persistenz durch Werksrückstellungen – , zu neuen Zielen wie Cloud-Backups, zu einem stärker professionalisierten Spyware-Ökosystem und zu einem breiteren Produktportfolio. Folglich müssen wirksame Strategien zur Schadensbegrenzung eine genaue Überwachung des Ökosystems, gründliche Risikobewertungen und strengere Vorschriften seitens der politischen Entscheidungsträger beinhalten.
Minderungsstrategien
Um diese Risiken zu mindern, wird Organisationen und Einzelpersonen empfohlen, bewährte Sicherheitsmethoden zu befolgen, wie z. B. regelmäßige Telefonupdates, Geräteneustarts, Sperrmodus, Mobile Device Management-Systeme und die Trennung privater und geschäftlicher Geräte. Von entscheidender Bedeutung sind außerdem Schulungen zum Sicherheitsbewusstsein und eine Kultur der minimalen Datenfreigabe. Zu den langfristigen Lösungen gehört die Durchführung von Risikobewertungen zur Entwicklung dynamischer Sicherheitsrichtlinien. Mit der Expansion des Söldnermarktes für Spyware werden nicht nur die Zivilgesellschaft, sondern auch alle Personen gefährdet, die für Unternehmen von Interesse sind, die Zugriff auf diese Tools haben. Innovationen auf diesem Gebiet werden wahrscheinlich zu besser verborgenen und umfassenderen Spyware-Funktionen führen.
Zu den wichtigsten Ergebnissen der Untersuchungen der Insikt Group gehört die Entdeckung einer neuen, mehrstufigen Predator-Lieferinfrastruktur, die darauf hindeutet, dass Predator wahrscheinlich in mindestens elf Ländern weiterhin eingesetzt wird. Diese Schlussfolgerung wird durch Domain-Analysen und Erkenntnisse von Recorded Future Network Intelligence unterstützt. Trotz öffentlicher Enthüllungen im September 2023 haben die Betreiber von Predator ihren Betrieb mit minimalen Änderungen fortgesetzt. Predator ist neben Pegasus der NSO Group nach wie vor einer der führenden Anbieter von Spionagesoftware für Söldner, dessen Taktiken, Techniken und Verfahren im Laufe der Zeit immer gleich geblieben sind.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 1. März 2024 veröffentlicht und am 30. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.
Indikatoren für eine Gefährdung
02s[.]co
06g[.]co
09a[.]co
2-gis[.]kz
astanapark[.]com
beroxe[.]com
buildneeds[.]net
bw-guardian[.]com
cabinet-salyk[.]kz
centent-management[.]net
clazc[.]com
coazoa[.]com
copy-note[.]net
corporatebusinesssolution[.]net
dzhabarzan[.]com
e-kgd[.]kz
ehudaldaa[.]com
escortbabesluxo[.]com
eventnews[.]live
fast-notify[.]com
fastnews[.]biz
fr-monde[.]com
gabzmus[.]com
get-location[.]com
get-location[.]net
highclub[.]life
informationrank[.]net
jumia-egy[.]com
kapital-news[.]com
kejoranews[.]net
kollesa[.]com
krisha-kz[.]com
kroal[.]com
ladiesclubhouse[.]com
lusofonia-mundo[.]com
magnum-kz[.]com
mastershop[.]biz
mb-ph[.]net
mmegi[.]co
msbsck[.]com
mujmbosnoticias[.]com
mundodenoticias[.]online
myfawry[.]net
nospam[.]kz
notify-service[.]biz
nur-news[.]com
olimpbets[.]kz
ongsworld[.]com
pelovkin[.]com
people-beeline[.]com
peticaonline[.]comv
plastictoysworld[.]com
plinkypong[.]com
post-notify[.]info
qazsporttv[.]com
rcuples[.]com
rozavetrovv[.]com
schedulefestival[.]com
shoxtek[.]com
soccer-bw[.]com
spacsaver[.]info
sportnow[.]news
suarapapua[.]co
sustanbuild[.]com
thintank[.]co
tickets-kz[.]com
tobupmi[.]com
tohna[.]net
ulstur[.]co
vendaswebs[.]com
vestinfo[.]net
vestinfo[.]org
vestinfos[.]net
vinho-online[.]com
vlast-news[.]com
walatparez[.]com
weekendcool[.]com
yo-um7[.]com
zakorn[.]com
zikolo[.]net
ztb-news[.]com
IP Addresses:
2.58.15[.]58
5.39.221[.]36
5.39.221[.]47
5.39.221[.]48
5.255.88[.]172
23.137.248[.]95
37.120.222[.]115
45.129.0[.]125
45.148.244[.]5
45.86.163[.]77
45.86.163[.]93
46.246.97[.]245
46.249.49[.]230
46.30.190[.]98
79.110.52[.]179
79.110.52[.]196
79.137.199[.]216
79.141.175[.]146
84.247.51[.]14
84.247.51[.]18
85.17.9[.]21
85.17.9[.]73
85.17.9[.]74
85.239.34[.]174
87.121.45[.]29
87.121.45[.]42
87.121.45[.]45
88.119.161[.]135
91.241.93[.]165
95.141.34[.]222
98.142.254[.]112
101.99.75[.]197
141.94.122[.]19
146.70.158[.]144
146.70.161[.]50
158.58.172[.]3
164.215.103[.]143
164.215.103[.]20
169.239.128[.]137
169.239.129[.]48
169.239.129[.]63
169.239.129[.]76
169.255.59[.]98
176.124.198[.]52
176.124.198[.]55
185.113.8[.]67
185.113.8[.]83
185.117.91[.]165
185.117.91[.]237
185.130.227[.]29
185.130.227[.]88
185.130.227[.]95
185.130.45[.]34
185.130.46[.]165
185.130.46[.]202
185.156.172[.]17
185.156.172[.]20
185.156.172[.]48
185.158.248[.]131
185.158.248[.]85
185.196.9[.]76
185.212.47[.]75
185.219.220[.]99
185.219.221[.]30
185.62.58[.]107
185.66.140[.]112
192.46.237[.]163
193.168.143[.]111
193.168.143[.]116
193.168.143[.]184
193.168.143[.]185
193.233.161[.]137
193.233.161[.]163
193.29.104[.]13
193.29.104[.]5
193.29.104[.]83
193.29.59[.]171
193.42.36[.]106
193.42.36[.]84
212.237.217[.]127
213.252.246[.]152