>
Research (Insikt)

Predator-Spyware-Infrastruktur kehrt nach Aufdeckung und Sanktionen zurück

Veröffentlicht: 5. September 2024
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Nach der Aufdeckung und den Sanktionen durch die US-Regierung schien die Predator-Spyware-Aktivität von Intellexa zurückzugehen. Jüngste Erkenntnisse der Insikt Group zeigen jedoch, dass die Infrastruktur von Predator mit Modifikationen zurückgekehrt ist, um der Erkennung zu entgehen und Benutzer zu anonymisieren. Dieses Wiederaufleben unterstreicht die anhaltende Nutzung von Predator durch Kunden in Ländern wie der Demokratischen Republik Kongo (DRC) und Angola. Während Predator nach wie vor erhebliche Datenschutz- und Sicherheitsrisiken birgt, insbesondere für hochkarätige Personen wie Politiker und Führungskräfte, erschweren neue Infrastrukturänderungen die Verfolgung von Benutzern. Trotz dieser Bemühungen können Verteidiger Risiken minimieren, indem sie Best Practices für die Cybersicherheit befolgen, einschließlich regelmäßiger Geräteupdates, der Verwendung des Sperrmodus und des Einsatzes von Systemen zur Verwaltung mobiler Geräte. Während sich Spyware wie Predator weiterentwickelt, bleiben globale Bemühungen zur Regulierung und Eindämmung ihrer Nutzung von entscheidender Bedeutung.

Predator-Spyware taucht wieder auf: Was Sie über die Bedrohung wissen müssen

Nachdem Intellexa, die Schöpfer der berüchtigten Predator-Spyware, mit Sanktionen und der Entlarvung konfrontiert waren, wurde ein deutlicher Rückgang der Predator-Aktivitäten beobachtet. Laut einer aktuellen Analyse der Insikt Group ist Predator jedoch noch lange nicht verschwunden. Die Spyware-Infrastruktur ist wieder aufgetaucht und birgt erneute Risiken für Privatsphäre und Sicherheit. Mit der Rückkehr haben die Betreiber neue Methoden eingeführt, um ihre Aktivitäten zu verschleiern, was die Verfolgung und Zuordnung ihrer Angriffe erschwert.

Das Wiederaufleben der Predator-Spyware-Infrastruktur

Im Jahr 2024 führten die öffentliche Berichterstattung und die Sanktionen der US-Regierung zu einem starken Rückgang der Predator-Spyware-Aktivitäten. Zu dieser Zeit schien es, dass die globalen politischen Bemühungen zur Eindämmung des Spyware-Missbrauchs erhebliche Fortschritte machten. Die jüngsten Ergebnisse der Insikt Group deuten jedoch auf ein Wiederauftauchen der Infrastruktur von Predator hin. Neue Infrastruktur, die mit Predator in Verbindung steht, wurde in mehreren Ländern entdeckt, darunter die Demokratische Republik Kongo (DRK) und Angola.

Diese ausgeklügelte Spyware, die hauptsächlich von staatlichen Akteuren verwendet wird, ermöglicht es den Betreibern, Geräte zu infiltrieren, Zugriff auf sensible Daten wie Nachrichten und Kontakte zu erhalten und sogar Kameras und Mikrofone ohne Wissen des Benutzers zu aktivieren.

Änderungen in der Infrastruktur und Umgehungstaktiken

Die Betreiber von Predator haben ihre Infrastruktur erheblich verbessert und die Komplexität erhöht, um der Entdeckung zu entgehen. Die neue Infrastruktur umfasst eine zusätzliche Stufe in ihrem mehrstufigen Bereitstellungssystem, die die Kundenvorgänge anonymisiert und es noch schwieriger macht, zu identifizieren, in welchen Ländern die Spyware eingesetzt wird. Diese Änderung erschwert es Forschern und Cybersicherheitsverteidigern, die Ausbreitung von Predator zu verfolgen.

Trotz dieser Änderungen bleibt die Funktionsweise weitgehend gleich. Die Spyware verwendet wahrscheinlich weiterhin sowohl "Ein-Klick"- als auch "Null-Klick"-Angriffsmethoden und nutzt Browser-Schwachstellen und Netzwerkzugriff aus, um sich auf den Zielgeräten zu installieren. Auch wenn es keine Berichte über Zero-Click-Angriffe aus der Ferne, wie sie mit Pegasus in Verbindung gebracht werden, gibt, bleibt Predator ein gefährliches Werkzeug in den Händen derjenigen, die es auf hochkarätige Personen abgesehen haben.

Hochkarätige Ziele bleiben gefährdet

Einer der besorgniserregendsten Aspekte der Rückkehr von Predator ist wahrscheinlich die fortgesetzte Verfolgung hochkarätiger Personen. Politiker, Führungskräfte, Journalisten und Aktivisten sind aufgrund des nachrichtendienstlichen Wertes, den sie für Regierungen oder andere böswillige Akteure haben, dem höchsten Risiko ausgesetzt. Die kostspielige Lizenzierung von Predator deutet außerdem darauf hin, dass die Betreiber den Einsatz für strategische, hochwertige Ziele reservieren.

Der weit verbreitete Einsatz von Söldnerspionage, insbesondere gegen politische Oppositionelle, hat in Regionen wie der Europäischen Union Besorgnis ausgelöst. Ermittlungen in Griechenland und Polen haben bereits aufgedeckt, wie Spionagesoftware gegen Oppositionelle und Journalisten eingesetzt wurde, was ernsthafte Fragen über die Rechtmäßigkeit und Ethik einer solchen Überwachung aufwirft.

Best Practices für die Verteidigung

Angesichts der erneuten Präsenz von Predator und der Raffinesse seiner Infrastruktur müssen Einzelpersonen und Organisationen wachsam bleiben. Die Insikt Group hat mehrere Abwehrmaßnahmen skizziert, die dazu beitragen können, das Risiko einer Infiltration durch Predator-Spyware zu verringern:

  1. Regelmäßige Software-Updates – Geräte mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten, ist entscheidend, um Schwachstellen zu reduzieren, die Spyware wie Predator ausnutzt.
  2. Neustart des Geräts – Regelmäßige Neustarts von Geräten können den Spyware-Betrieb stören, obwohl fortgeschrittene Spyware möglicherweise nicht vollständig beseitigt wird.
  3. Lockdown-Modus – Die Aktivierung des Sperrmodus auf Geräten kann dazu beitragen, unbefugte Zugriffe und Ausnutzungsversuche zu blockieren.
  4. Verwaltung mobiler Geräte (MDM) – Die Implementierung von MDM-Systemen ermöglicht es Unternehmen, Mitarbeitergeräte zu verwalten und zu sichern und sicherzustellen, dass sie die Sicherheitsprotokolle einhalten.
  5. Schulung zum Sicherheitsbewusstsein – Die Aufklärung der Mitarbeiter über Spearphishing und andere Social-Engineering-Taktiken kann die Wahrscheinlichkeit verringern, Opfer von Spyware-Angriffen zu werden.

Diese Maßnahmen sind besonders wichtig für Personen in sensiblen Funktionen, z. B. in der Regierung, in der Zivilgesellschaft oder in Führungspositionen in Unternehmen.

Die Zukunft von Spyware und globalen Vorschriften

Trotz der Bemühungen, den Einsatz von Spyware einzudämmen, wird erwartet, dass der Markt für Söldner-Spyware wachsen wird. Mit der anhaltenden Nachfrage nach Überwachungstools werden wahrscheinlich mehr Unternehmen entstehen, die neue Produkte entwickeln und Wege finden, Sicherheitsvorkehrungen zu umgehen. Die Rentabilität von Spyware und der Wettbewerb innerhalb der Branche machen es wahrscheinlich, dass wir in Zukunft noch ausgefeiltere Tools sehen werden.

Als Reaktion auf diese Bedrohungen werden die weltweiten Bemühungen zur Regulierung von Spyware fortgesetzt. Ermittlungen, wie sie in der Europäischen Union laufen, können zu strengeren Vorschriften für den Verkauf und die Nutzung von Spyware führen. Solange jedoch keine signifikanten internationalen Maßnahmen ergriffen werden, werden Predator und ähnliche Tools eine anhaltende Bedrohung bleiben.

Abschluss

Das Wiederauftauchen von Predator-Spyware ist eine deutliche Erinnerung an die wachsenden Gefahren, die von Söldner-Spyware ausgehen. Während die anfänglichen Sanktionen und die öffentliche Bekanntheit seine Präsenz verringert zu haben scheinen, zeigen die jüngsten Entwicklungen, dass Predator immer noch sehr aktiv ist. Die Infrastruktur hat sich weiterentwickelt und macht es schwieriger, Benutzer zu verfolgen und zu identifizieren, aber mit den richtigen Cybersicherheitspraktiken können Einzelpersonen und Organisationen ihr Risiko verringern, zur Zielscheibe zu werden.

Da der Spyware-Markt weiter expandiert, ist es für Regierungen und Cybersicherheitsexperten unerlässlich, diesen Bedrohungen einen Schritt voraus zu sein. Öffentliche Berichterstattung, laufende Forschung und strengere Vorschriften sind entscheidend, um den durch Tools wie Predator verursachten Schaden zu minimieren.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen:
happytotstoys[.] COM
holidaypriceguide[.] COM
lesautreseux[.] COM
masoloyakati[.] COM
noisyball[.] COM
nyirangongovrai[.] COM
toysfourtots[.] COM
yokananu[.] netto


IP-Adressen:
169.239.129[.] 76
185.123.102[.] 40
185.235.137[.] 6
185.243.113[.] 169
185.243.113[.] 169
193.29.56[.] 252
193.29.59[.] 164
45.86.163[.] 178
98.142.253[.] 18



Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik ATT&CK-Code
Ressourcenentwicklung: Infrastruktur erwerben: Domänen T1583.001
Ressourcenentwicklung: Infrastruktur erwerben: Virtual Private Server T1583.003
Ressourcenentwicklung: Infrastruktur erwerben: Server T1583.004
Erstzugriff: Spearphishing-Link T1566.002

Verwandt