ارتباط زیرساخت جاسوس‌افزار اسرائیلی کاندیرو با عربستان و مجارستان

به گزارش کارگروه تروریسم سایبری سایبربان؛ محققان زیرساخت جدیدی را یافته‌اند که گمان می‌رود توسط سازنده‌ی جاسوس‌افزار اسرائیلی کاندیرو (Candiru) برای حمله به رایانه‌ها از طریق بدافزار ویندوز استفاده می‌شود.

این تحقیق که توسط گروه «Insikt» متعلق به وبگاه تخصصی «Recorded Future» منتشر شد، 8 خوشه‌ی عملیاتی مجزا مرتبط با این جاسوس‌افزار را آشکار کرد که با نام «DevilsTongue» ردیابی می‌شود. در این گزارش آمده است که 5 مورد از آنها به احتمال زیاد فعال هستند، از جمله خوشه‌هایی که به مجارستان و عربستان سعودی مرتبط هستند.

طبق گزارش فوق، این زیرساخت شامل اجزایی است که احتمالاً در استقرار و [فرماندهی و کنترل] جاسوس‌افزار DevilsTongue متعلق به کاندیرو استفاده می‌شوند و همچنین زیرساخت‌های سطح بالاتر که توسط اپراتورهای جاسوس‌افزار استفاده می‌شوند.

محققان گفتند:

«درحالی‌که برخی خوشه‌ها زیرساخت‌های خود را مستقیماً مدیریت می‌کنند، برخی دیگر این کار را از طریق لایه‌های زیرساخت واسطه یا از طریق شبکه‌ی تور (Tor) انجام می‌دهند که امکان استفاده از وب تاریک را فراهم می‌کند.»

علاوه بر خوشه‌های فعال مرتبط با مجارستان و عربستان سعودی، محققان یک خوشه‌ی دیگر مرتبط با اندونزی یافتند که به نظر می‌رسد تا نوامبر 2024 فعال بوده است.

در این گزارش آمده است که محققان نتوانستند تعیین کنند که آیا دو خوشه‌ی دیگر مرتبط با آذربایجان همچنان فعال هستند یا خیر. DevilsTongue نامی است که خود مایکروسافت به این جاسوس‌افزار ویندوز داده است. به گفته جولیان-فردیناند وُگل (Julian-Ferdinand Vögele)، نویسنده این مطالعه و محقق ارشد تهدیدات در Recorded Future، گزارش‌های عمومی محدودی در مورد طیف کامل روش‌های استقرار آن وجود دارد. با این حال، وُگل گفت که اطلاعات فاش شده نشان داده است که این بدافزار از لحاظ تئوری می‌تواند از طریق لینک‌ها و فایل‌های مخرب، حملات مرد میانی و دسترسی فیزیکی به یک دستگاه ویندوزی منتقل شود. وی افزود که DevilsTongue هم از طریق URLهای تحت کنترل مهاجم مانند آدرس‌های موجود در ایمیل‌های اسپیر فیشینگ و هم از طریق نفوذهای استراتژیک وب‌سایت معروف به حملات گودال آب (watering hole) مستقر شده که معمولاً از آسیب‌پذیری‌های مرورگرهای وب سوءاستفاده می‌کنند. طبق گزارش کارشناسان، گروه Insikt همچنین یک نهاد جدید در شبکه شرکتی کاندیرو کشف کرده که به نظر می‌رسد زمانی راه‌اندازی شده که دارایی‌های کاندیرو توسط صندوق سرمایه‌گذاری مستقر در ایالات متحده به نام «Integrity Partners»، خریداری شده است. این گزارش، نهاد جدید را یک شرکت خصوصی اسرائیلی به نام «Integrity Labs» معرفی می‌کند.

محققان معتقدند که زمان‌بندی این موضوع نشان می‌دهد که این شرکت جداگانه می‌توانسته در فرآیند خرید دخیل بوده باشد.

خبرگزاری فناوری «CTech» در ماه آوریل امسال گزارش داد که Integrity Partners دارایی‌های کاندیرو را به مبلغ 30 میلیون دلار خریداری کرده است.

CTech اعلام کرد که Integrity Partners دارایی‌ها و کارمندان کاندیرو را به یک نهاد جدید منتقل و از این طریق از تحریم‌های دولت ایالات متحده اجتناب کرده است.

Integrity Partners هیچ تماس رسانه‌ای یا آدرس ایمیلی را در وب‌سایت خود فهرست نمی‌کند. یکی از شرکای این شرکت بلافاصله به پیام لینکدین پاسخ نداد.

وزارت بازرگانی کاندیرو را در سال 2021 به فهرست نهادهای خود اضافه کرد. قرار گرفتن در این فهرست نشان می‌دهد که یک شرکت خطری برای امنیت ملی محسوب می‌شود و محدودیت‌های عمده‌ای را در صادرات و سایر معاملات ایجاد می‌کند.

طبق گزارش سیتیزن‌لب (Citizen Lab) در سال 2022 که عملیات نظارتی گسترده‌ای را توسط دولت اسپانیا آشکار می‌کند، اعضای کمپین استقلال کاتالونیا اسپانیا با نرم‌افزار جاسوسی کاندیرو هدف قرار گرفته‌اند.