Candiru (firma zajmująca się oprogramowaniem szpiegującym)
| Przemysł | Technologia nadzoru |
|---|---|
| Założony | 2014 |
| Założyciele |
Eran Shorer, Yaakov Weizman |
| Siedziba |
הארבעה 21 תל אביב יפו ,Ha'arba'a 21, Tel Awiw Izrael
|
Kluczowi ludzie |
Isaac Zack (przewodniczący) Eitan Achlow (dyrektor generalny) |
| Produkty | Sherlock ( oprogramowanie szpiegujące ) |
| Właściciel | Isaac Zach (największy akcjonariusz) |
Candiru , dziś znana jako SAITO TECH, to firma technologiczna z siedzibą w Tel Awiwie , oferująca klientom rządowym technologie inwigilacji i cyberszpiegostwa .
Candiru oferuje narzędzia cyberszpiegowskie, które można wykorzystać do infiltracji komputerów, serwerów, urządzeń mobilnych i kont w chmurze . Wydaje się, że jego specjalnością jest infiltracja komputerów, zwłaszcza tych z systemem operacyjnym Windows , chociaż w ostatnich latach firma zaczęła opracowywać narzędzia zarówno dla urządzeń z systemem iOS, jak i Android. Poświęcono również trochę wysiłku na opracowanie narzędzi do ataków na macOS.
Firma została opisana jako tajna, a Haaretz opisał ją jako „jedną z najbardziej tajemniczych izraelskich firm zajmujących się cyberwojną”. Nie posiada strony internetowej i wymaga od pracowników podpisywania umów o zachowaniu poufności oraz nieujawniania miejsca zatrudnienia na LinkedIn . Firma intensywnie rekrutuje z jednostki wywiadowczej IDF Unit 8200 .
Nazwa firmy pochodzi od candiru , amazońskiej ryby pasożytniczej znanej ze swojej apokryficznej zdolności do inwazji i pasożytowania na cewce moczowej człowieka. Firma wykorzystuje również sylwetkę ryby candiru jako swojego logo. Firma często zmienia nazwę (ostatnio na Saito Tech), aby ukryć swoje istnienie.
Profil firmy
Przegląd
Firma Candiru została założona przez Erana Shorera i Yaakova Weizmana w 2014 roku jako Candiru Ltd. Jej prezesem i największym udziałowcem jest Isaac Zach, który jest także założycielem i fundatorem NSO Group . Dodatkowo Candiru był podobno wspierany finansowo przez Founders Group, której współzałożycielem był Omri Lavie, który jest również jednym z założycieli NSO Groups. Uważa się, że Candiru jest drugą co do wielkości izraelską firmą zajmującą się cyberszpiegostwem po NSO Group i sugeruje się, że Candiru może dążyć do fuzji z NSO Group.
Firma często przenosiła swoje biura i – choć nadal znana pod swoją pierwotną nazwą Candiru – przechodziła również wiele zmian zarejestrowanej nazwy (w tym na Grindavik Solutions, LDF Associates, Taveta, DF Associates, Greenwick Solutions, Saito Tech (obecnie zarejestrowana nazwa)). [ wymagane wyjaśnienie ]
Historia firmy
Firma Candiru została założona przez Erana Shorera i Yaakova Weizmana w 2014 roku jako Candiru Ltd.
Według informacji z akt sądowych pozwu wniesionego przeciwko Candiru przez byłego starszego pracownika, firma zatrudniała 12 pracowników na koniec 2015 roku, 70 pracowników do końca 2018 roku i od tego czasu wzrosła do 150 pracowników. W pierwszym roku po założeniu firma nie miała żadnych klientów, ale już na początku 2016 roku miała szereg umów w zaawansowanej fazie z klientami z Europy, byłego Związku Radzieckiego, Zatoki Perskiej, Azji i Ameryki Łacińskiej. Według powoda, firma zarobiła 10 milionów dolarów ze sprzedaży w 2016 roku i prawie 30 milionów dolarów w 2017 roku, chociaż dane liczbowe wydają się odnosić do umów wieloletnich. W innej części pozwu powódka wskazuje, że przychody firmy w 2018 roku były warte około 20 milionów dolarów. Z dokumentu załączonego do pozwu wynika, że firma prowadziła negocjacje z potencjalnymi klientami z ponad 60 krajów o łącznej wartości 367 mln dolarów. Zgodnie z informacjami z pozwu przekazanymi sądowi przez pozwanego (Candiru), firma współpracuje z pośrednikami w krajach docelowych, którzy pomagają sfinalizować transakcje i uzyskują 15% prowizję za swoje usługi. Według powoda kierownictwo wyższego szczebla Candiru zdecydowało się rozpocząć tworzenie oprogramowania szpiegującego dla telefonów komórkowych w 2017 r., jednak sprzedaż i marketing oprogramowania szpiegującego do telefonów zostało wstrzymane przez prezesa firmy na początku 2018 r. Jako pozwany Candiru skarżył się, że powód ujawnił tajne informacji zabezpieczających w pozwie i zażądał kontynuowania postępowania w trybie rozprawy niejawnej oraz ukrycia informacji o postępowaniu przed opinią publiczną.
Według doniesień ze stycznia 2019 r. uważano, że Candiru zatrudnia 120 osób i generuje roczną sprzedaż w wysokości 30 mln USD, co czyni z niej drugą co do wielkości firmę zajmującą się cyberszpiegostwem w Izraelu.
Według doniesień z grudnia 2019 r. kapitalizacja rynkowa Candiru wyniosła 90 mln USD (na podstawie sprzedaży 10% udziałów w Candiru, które inwestor venture capital Eli Wartman sprzedał firmie Universal Motors za 9 mln USD).
Podobno Candiru prowadził negocjacje biznesowe z Singapurem (zgłoszenie w 2019 r.) I Katarem (zgłoszenie w 2020 r.). Firma powiązana z państwowym funduszem majątkowym Kataru zainwestowała w Candiru.
Według raportu CitizenLab z lipca 2021 r., exploity Candiru zostały powiązane z atakami złośliwego oprogramowania w państwach narodowych zaobserwowanymi w Uzbekistanie, Arabii Saudyjskiej, Katarze, Singapurze i Zjednoczonych Emiratach Arabskich.
Firma cybernetyczna otrzymuje impuls od inwestorów z Kataru, ponieważ kilka funduszy inwestycyjnych powiązanych z Qatar Investment Authority przejęło udziały w firmie spyware Candiru.
Candiru ma co najmniej jedną spółkę zależną – Sokoto – która została założona w marcu 2020 r.
członkami zarządu spółki byli Shorer, Weitzman, Zach oraz przedstawiciel Universal Motors Israel (który jest akcjonariuszem Candiru). Według zgłoszeń z 2021 r. największymi akcjonariuszami byli Shorer, Weitzman i Zach. Inni akcjonariusze to Universal Motors Israel LTD, ESOP Management and Trust Services oraz Optas Industry Ltd.
Historia
W 2019 roku badacz z Kaspersky Lab ujawnił, że agencja wywiadowcza Uzbekistanu używała oprogramowania szpiegującego Candiru. Luki w zabezpieczeniach operacyjnych popełnione przez klienta z Uzbekistanu podczas testowania narzędzi pod kątem różnych systemów antywirusowych (w tym Kaspersky Antivirus) zwróciły uwagę badaczy. Badacze zidentyfikowali komputer testowy Uzbekistanu i odkryli adres internetowy, z którym regularnie się łączył, który został zarejestrowany przez Narodową Służbę Bezpieczeństwa Uzbekistanu. Odkrycia pozwoliły następnie naukowcom zidentyfikować dwóch kolejnych klientów Candiru: Arabię Saudyjską i Zjednoczone Emiraty Arabskie . Śledzenie taktyk infiltracji Candiru pozwoliło ekspertom ds. cyberbezpieczeństwa zidentyfikować i naprawić aż osiem exploitów dnia zerowego w systemie Windows .
W kwietniu 2021 r. londyńska publikacja Middle East Eye była atakowana przez dwa dni i wykorzystywana do instalowania złośliwego kodu na urządzeniach odwiedzających . Atakowano aż 20 organizacji, w tym ambasadę Iranu, włoskie firmy lotnicze oraz jednostki rządowe Syrii i Jemenu. Atak został wykryty przez firmę ESET , która powiązała szkodliwy kod użyty w ataku z Candiru.
Zgodnie z ustaleniami wspólnego dochodzenia przeprowadzonego przez CitizenLab i Microsoft (raport opublikowany w lipcu 2021 r.), Candiru wykorzystywał fałszywe adresy URL stron internetowych, które wyglądały jak adresy internetowe organizacji pozarządowych, grup aktywistów, organizacji zdrowotnych i organizacji mediów informacyjnych, aby usidlić cele. Dochodzenie ujawniło ponad 750 domen, które wydawały się być powiązane z Candiru. Wśród fałszywych adresów URL były te, które wydawały się imitować stronę internetową, która publikuje izraelskie akty oskarżenia wobec palestyńskich więźniów, oraz stronę internetową krytyczną wobec saudyjskiego księcia Mohammeda bin Salmana . Odkrycia wskazują, że narzędzia cyberszpiegowskie Candiru były wykorzystywane do atakowania społeczeństwa obywatelskiego. Microsoft zidentyfikował co najmniej 100 celów, wśród których byli politycy, obrońcy praw człowieka, dziennikarze, naukowcy, pracownicy ambasad i dysydenci polityczni. Microsoft zidentyfikował cele w wielu krajach w Europie i Azji. Stwierdzono, że systemy Candiru były obsługiwane z wielu krajów, w tym (między innymi) z Arabii Saudyjskiej, Izraela, Zjednoczonych Emiratów Arabskich, Węgier i Indonezji. Dochodzenie rozpoczęło się po tym, jak firma CitizenLab zidentyfikowała komputer podejrzany o utrzymywanie infekcji Candiru za pomocą danych telemetrycznych. Następnie firma CitizenLab zwróciła się do użytkownika urządzenia – osoby aktywnej politycznie w Europie Zachodniej – w celu uzyskania obrazu dysku twardego urządzenia.
W listopadzie 2021 roku Departament Handlu Stanów Zjednoczonych dodał Candiru (a także NSO Group , innego głównego izraelskiego dostawcę oprogramowania szpiegującego) do swojej czarnej listy handlowej za dostarczanie oprogramowania szpiegującego zagranicznym rządom, które następnie wykorzystywały je do złych celów, co Departament Handlu uznał za działania komercyjne sprzeczne z interesami bezpieczeństwa narodowego USA lub polityki zagranicznej. Departament Handlu Stanów Zjednoczonych przesłał następnie Candiru listę pytań dotyczących działania oprogramowania szpiegującego Candiru.
W kwietniu 2022 r. firma CitizenLab opublikowała raport, w którym ujawniła, że czterech katalońskich orędowników niepodległości stało się celem oprogramowania szpiegującego Candiru w ramach większej kampanii mającej na celu szpiegowanie zwolenników niepodległości Katalonii (CatalanGate), która była prowadzona głównie przy użyciu oprogramowania szpiegującego Pegasus . Cele były zachęcane do kliknięcia łącza w wiadomości e-mail, która została do nich wysłana, a ich komputery osobiste zostały zainfekowane oprogramowaniem szpiegującym Candiru po kliknięciu łącza. Firma CitizenLab zidentyfikowała łącznie siedem takich złośliwych wiadomości e-mail; niektóre e-maile wydawały się być wiadomościami od hiszpańskiej instytucji rządowej z zaleceniami dotyczącymi zdrowia publicznego w związku z epidemią koronawirusa w 2019 roku .
Produkty i usługi
Candiru oferuje swoje produkty i usługi rządowym organom ścigania i agencjom wywiadowczym, aby wspomóc nadzór, eksfiltrację danych i ofensywne operacje cybernetyczne. Obsługuje wyłącznie klientów rządowych. Firma twierdzi, że zabrania wdrażania swoich produktów w USA, Izraelu, Rosji, Chinach lub Iranie (chociaż Microsoft zidentyfikował cele Candiru w Izraelu i Iranie).
Potencjalne platformy docelowe, metody infiltracji i możliwości
Specjalnością Candiru wydaje się być komputerowe oprogramowanie szpiegujące (szczególnie dla urządzeń z systemem Windows, chociaż opracowało również oprogramowanie szpiegujące dla komputerów z systemem MacOS firmy Apple). Oferuje również oprogramowanie szpiegujące dla platform mobilnych, serwerów i kont w chmurze . Candiru rzekomo oferuje szereg podejść do infiltracji celu, w tym infiltrację za pośrednictwem hiperłączy, ataki typu man-in-the-middle , pliki z bronią, atak fizyczny oraz program o nazwie „Sherlock” (nie jest jasne, co robi program, ale twierdzi się, że będzie skuteczny w systemach Windows, iOS i Android, według Candiru). Firma podobno zaprojektowałaby również nowe niestandardowe oprogramowanie szpiegowskie w przypadkach, gdy żadne z narzędzi w jej standardowym repertuarze nie jest skuteczne w infiltracji celu.
Zgodnie z ujawnionym dokumentem firmy opublikowanym w 2020 roku, produkty firmy mogą być wykorzystywane do infiltracji komputerów PC, sieci, telefonów komórkowych, są kompatybilne z wieloma środowiskami systemów operacyjnych („PC/Windows, iOX i Android”), wymagają minimalnej interakcji z celem w celu osiągnięcia infiltracji i są „rozmieszczane po cichu” i „niewykrywalne”. Dokument, który wyciekł, stwierdza dalej, że po wdrożeniu oprogramowanie szpiegujące może wykraść dane z zaatakowanego urządzenia (w tym dane z kont w mediach społecznościowych, programów/aplikacji komunikacyjnych lub mikrofonu lub kamery urządzenia), a także może identyfikować i mapować sieci, które są celem połączony z. Zgodnie z dokumentem marketingowym z 2019 r. oprogramowanie szpiegujące nie powoduje żadnych zakłóceń w działaniu urządzenia docelowego.
Usługi i ceny
Zgodnie z dokumentem Candiru, który wyciekł, firma oferuje klientom różne pakiety usług, które różnią się ceną w zależności od liczby docelowych urządzeń i liczby krajów, w których oprogramowanie szpiegujące jest wdrażane przeciwko celom (klientowi oferowana jest nieograniczona liczba prób wdrożenia) . Klienci są również obciążani dodatkową opłatą, jeśli zdecydują się na przechwytywanie danych plików cookie przeglądarki lub danych z aplikacji (w tym Twittera, Viber i Signal) lub jeśli chcą uzyskać pełny dostęp do sterowania i kontroli urządzenia docelowego (który może być używany do wszczepianie obciążających materiałów do urządzeń). Podstawowy pakiet został wyceniony na 16 mln euro i pozwalał na monitorowanie 10 urządzeń, możliwość monitorowania 15 dodatkowych urządzeń i działania w jednym dodatkowym kraju kosztowała kolejne 1,5 mln euro, możliwość monitorowania 25 dodatkowych urządzeń i prowadzenia szpiegostwa w 5 kolejnych kraje kosztują kolejne 5,5 miliona euro, a zdalny dostęp do urządzenia kosztuje kolejne 1,5 miliona euro, a eksfiltracja plików cookie lub danych aplikacji kosztuje 200 000 euro lub – w przypadku Signal – 500 000 euro.
Odkryto luki w oprogramowaniu szpiegującym Candiru
Zgodnie z ustaleniami wspólnego dochodzenia przeprowadzonego przez CitizenLab i Microsoft (opublikowanego w lipcu 2021 r.), Candiru używa fałszywych stron internetowych z adresami URL przypominającymi prawdziwe strony internetowe, aby potajemnie infiltrować urządzenia, potencjalnie umożliwiając trwały dostęp do urządzenia (w tym możliwości eksfiltracji). Centrum analizy zagrożeń firmy Microsoft zidentyfikowało i załatało lukę w zabezpieczeniach systemu Windows wykorzystywaną przez oprogramowanie szpiegujące Candiru w lipcu 2021 r. Analiza oprogramowania szpiegującego przeprowadzona przez firmę Microsoft ujawniła, że oprócz umożliwienia eksfiltracji plików, wiadomości i haseł, oprogramowanie szpiegujące umożliwia również operatorowi wysyłanie wiadomości z zalogowanych e-mail i konta w mediach społecznościowych bezpośrednio z komputera celu. Dodatkowo firma CitizenLab poinformowała, że Candiru wykorzystał dwie luki w przeglądarce Google Chrome . Google powiązał również exploit Microsoft Office z Candiru.