根据加拿大公民实验室(The Citizen Lab)的最新报告,澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡六国政府疑似成为以色列公司Paragon Solutions开发的间谍软件的客户。该间谍软件名为Graphite,能够从设备上的即时通讯应用程序中窃取敏感数据。
Graphite间谍软件的攻击模式
Paragon Solutions由Ehud Barak和Ehud Schneorson于2019年创立,其开发的Graphite是一款功能强大的监控工具。公民实验室通过分析疑似与该间谍软件相关的服务器基础设施,确认了这六国政府为“疑似Paragon部署”的客户。
此次事件的背景是,两个月前,Meta旗下的WhatsApp曾通知约90名记者和民间社会成员,称他们成为Graphite的攻击目标。这些攻击在2024年12月被成功阻止。
攻击目标遍布20多个国家,包括比利时、希腊、拉脱维亚、立陶宛、奥地利、塞浦路斯、捷克、丹麦、德国、荷兰、葡萄牙、西班牙和瑞典等欧洲国家。WhatsApp发言人当时表示:“这是间谍软件公司必须对其非法行为负责的最新例证。WhatsApp将继续保护人们的私密通信能力。”
攻击手法与后期发现
在这些攻击中,攻击者将目标用户添加到WhatsApp群组,并发送一个PDF文档。该文档随后会自动解析,触发一个已被修复的零日漏洞,并加载Graphite间谍软件。最终阶段,攻击者会突破Android沙箱,入侵目标设备上的其他应用程序。
进一步的调查显示,被黑的Android设备中存在一个名为BIGPRETZEL的取证痕迹,这被认为是唯一标识Paragon Graphite间谍软件感染的证据。
此外,调查还发现,2024年6月,意大利某位创始人在利比亚难民组织的iPhone设备也疑似感染了Paragon间谍软件。苹果随后在iOS 18的发布中修复了相关攻击向量。
苹果在一份声明中表示:“像这类雇佣间谍软件攻击极为复杂,开发成本高达数百万美元,通常生命周期较短,且针对特定个人。在检测到这些攻击后,我们的安全团队迅速开发并部署了修复程序,以保护iPhone用户,并向可能受影响的用户发送了Apple威胁通知。”
此次事件再次凸显了间谍软件的危害性和复杂性,同时也提醒用户和开发者必须保持警惕,及时更新系统和应用程序,以防止类似攻击的发生。
