埃及总统候选人成为 Predator 间谍软件的目标

公民实验室表示，“高度确信”埃及政府对此次失败的黑客攻击负有责任。 这些企图针对的是记者兼前议员艾哈迈德·坦塔维 由 Mada Masr 首先报道，一个独立的埃及新闻机构。 坦塔维在黎巴嫩短暂居住，但于五月返回埃及。

零日漏洞利用特别危险且有价值，因为它们利用了尚未发现的漏洞。 在这种情况下，El Tantawi 无需点击任何内容即可被感染。

“像这样的完整零日漏洞利用链，能够在最新、最好的 iPhone 上安装间谍软件——被发现的软件并不多，每年只有几个，”高级研究员 Bill Marczak 说。公民实验室。 “这些东西的开发成本非常昂贵。如果你看看在线买卖和发布价目表的经纪人，这将是数百万美元。

7月，拜登政府将Predator的Cytrox和Cytrox所属的商业联盟Intellexa列入黑名单，将它们添加到商务部的实体清单中，对它们施加严格的许可和贸易限制。 该部门表示，他们“从事用于访问信息系统的互联网漏洞利用交易，从而威胁到世界各地个人和组织的隐私和安全”。

马尔扎克说，一旦安装在手机上，它就可以窃取密码、记录击键、从各种应用程序获取数据、复制聊天消息和记录通话，包括在加密应用程序内进行的通话。

与其他复杂的间谍软件供应商一样，Cytrox 表示它只向政府机构出售产品。 由于埃及是 Predator 的知名客户，而且其中一次感染尝试是使用位于埃及境内的设备进行的，公民实验室表示“高度确信”埃及政府对此次攻击负责。

左翼卡拉马党前党魁坦塔维是埃及政府的直言不讳的批评者。 今年三月，他成为第一位宣布计划在总统选举中挑战塞西的政治家。

Al-Tantawi 告诉《华盛顿邮报》，他在 9 月中旬收到包含链接的可疑消息后首次担心手机的安全性，一位朋友建议他联系公民实验室，以便分析他的手机。

埃及政府代表拒绝置评或没有立即回应置评请求。

根据 Citizen Lab 的说法，感染 El-Tantawy 手机的尝试涉及使用由该公司创建的名为 PacketLogic 的产品。 桑德文，一家加拿大网络设备公司。 2017 年，Sandvine 被私募股权公司 Francisco Partners 收购，直到 2019 年，该公司还拥有 Pegasus 间谍软件制造商 NSO Group，政府利用该软件来监视记者、活动人士、政治异见人士和其他人。 桑德文没有回应置评请求。

谷歌的威胁分析小组在一篇博客文章中写道：“这场活动是商业监控供应商激增及其对用户在线安全造成严重风险所造成的滥用行为的又一个例子。”

根据公民实验室的研究，在 El-Tantawy 宣布参选后，从 5 月到 9 月期间，曾多次尝试在他的手机上安装 Predator。 从 5 月开始，Al-Tantawi 收到了包含诱杀网页链接的短信和 WhatsApp 消息。 研究人员称，他显然没有点击它。

公民实验室表示，在 8 月和 9 月，Eltantawy 遭受了一种更严重的攻击，称为网络注入，这种攻击不需要他点击任何内容。 根据谷歌威胁分析小组的说法，当 El-Tantawi 试图访问任何以“http”前缀开头的网页时，就会发生“中间人”攻击。 当他这样做时，攻击者将他重定向到 Intellexa 网站，然后重定向到在他的手机上执行漏洞利用的服务器。

公民实验室表示“有很高的信心” 攻击者使用 Sandvine 的 PacketLogic 重定向 Eltantawy 的浏览器，这是他们第一次看到以这种方式提供的零日漏洞。 根据他们的分析，这次黑客攻击之所以失败，是因为 El-Tantawy 激活了苹果的“锁定模式”，这是 2022 年推出的一种安全设置，可以减少手机的功能，但阻止许多攻击方法。

谷歌表示，使用 Android 设备的用户可能会遇到不同的漏洞。 该 Android 漏洞是由其他人发现并报告的，谷歌于 9 月 5 日发布了补丁。

这 袭击坦塔维 它需要将 PacketLogic 安装在 El Tantawy 的电信提供商 Vodafone Egypt 的网络上。 虽然 Citizen Lab 并未声称沃达丰参与了这次攻击，但 Marczak 表示，在沃达丰网络上安装 PacketLogic 的“最简单”方法是与沃达丰合作。

“埃及并不被认为是最民主的政府，”他说。 “你可以想象，政府将能够向企业施加压力，要求其合作。”

沃达丰埃及公司没有回应置评请求。

在研究过程中，公民实验室还发现，El-Tantawi 之前拥有的一部手机于 2021 年 11 月通过一条包含链接的短信成功感染了 Predator 病毒。

坦塔维拒绝将这次袭击归咎于埃及政府，但他表示，他相信自己之所以成为攻击目标是因为他的政治活动，并推测这次黑客攻击的目的是寻找材料来“抹黑”他。

“即使有两年的违规行为，也没有什么可以让我难堪的，”他说。

坦塔维表示，更糟糕的是埃及政府逮捕了许多与他关系密切的人。 自8月以来，至少有35名参与坦塔维竞选活动的志愿者在全国各地被捕。 根据埃及个人权利倡议。 坦塔维的两个叔叔也在其中 其数十名亲属被捕 四月至五月之间。 埃及内政部已 他否认逮捕任何人 表彰他参加总统竞选活动。

公民实验室的技术专家正在研究对 Al-Tantawi 的攻击 他们能够引发复发 Marczak 称，在一场“巨型猫捉老鼠游戏”之后，测试设备上发生了感染，该游戏涉及欺骗这个设下陷阱的网站，该网站本可以设计为仅针对特定受害者一次，让其认为应该执行漏洞利用再次。 他们将该恶意软件与之前的 Predator 样本进行了比较，发现有足够的重叠来表明匹配。 苹果 青睐 公民实验室和谷歌威胁分析小组都在周四发布紧急补丁。

2021年， 公民实验室报道 包括反对派政治家艾曼·努尔在内的两名埃及流亡者通过一键式攻击感染了 Pegasus 间谍软件。

九月初，公民实验室 发现 Pegasus 间谍软件 华盛顿特区一家设有国际办事处的民间社会组织的一名员工的设备被感染，促使苹果实施安全更新。 该实验室的研究使苹果最近的许多补丁超出了通常的更新频率。