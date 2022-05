Googlen paljastamat haittaohjelmakampanjat todistavat valtioille hyökkäysmenetelmiä kehittävien yritysten alati lisääntyvästä osaamisesta.

Google kertoo viidestä Chrome-selaimen ja Android-käyttöjärjestelmän haavoittuvuudesta, jotka kaupallinen vakoojayritys Cytrox paketoi myytäväksi tuotteeksi viime vuonna.

Kaikki aukot olivat Googlelle etukäteen tuntemattomia ja niitä käytettiin muiden jo tunnettujen aukkojen kanssa. Hyökkäysmenetelmien ostajiksi Google mainitsee todennäköisesti valtioiden tukemia tahoja ainakin Egyptissä, Armeniassa, Kreikassa, Madagaskarissa, Norsunluurannikolla, Serbiassa, Espanjassa ja Indonesiassa.

Google tietää vähintään kolmesta kampanjasta, joissa aukkoja käytettiin hyväksi. Kaikissa kohteita lähestyttiin sähköposteilla, joissa olevat linkit veivät kohteen ensin hyökkääjän omistamalle verkkosivulle. Se latasi haittakoodin laitteelle ennen kuin uhri toimitettiin turvalliselle verkkosivulle.

Kohteiden määrä laskettiin kaikissa kampanjoissa kymmenissä. Google sanoo nähneensä hyökkäysten kohdistuneen journalisteja ja useita tunnistamattomia kohteita vastaan, ja käyttäjiä on varoitettu aina kun mahdollista.

Kampanjoissa levitettiin yksinkertaista Android-haittaohjelmaa nimeltä Alien. Sen tehtävänä oli toimittaa laitteisiin Predator-haittaohjelma ja yhdessä ne pystyvät muun muassa tallentamaan ääntä puhelimessa ja piilottamaan sovelluksia.

Toronton yliopiston Citizen Labin mukaan Cytrox aloitti tiettävästi pohjoismakedonialaisena yrityksenä, jolla on nykyään toimintaa Israelissa ja Unkarissa. Kyseessä on huonommin tunnettu vastine israelilaiselle NSO Groupille, jonka Pegasus-haittaohjelmasta on uutisoitu paljon. Pegasus on tartuttanut myös suomalaisia diplomaattikohteita.

Predatorin uhreiksi Citizen Lab mainitsee kaksi egyptiläistä henkilöä, maanpaossa olevan poliitikon ja suositun uutisohjelman juontajan. Näissä tapauksissa hyökkäys tosin kohdistui Applen iOS-käyttöjärjestelmään Androidin sijaan.

Meta eli entinen Facebook nimesi Cytroxin viime vuoden lopulla yhdeksi niistä yrityksistä, joita vastaan somejätti iski taistelussaan kansainvälistä vakoilubisnestä vastaan. Metan mukaan yritykset vakoilevat mielivaltaisesti ihmisiä maksaville asiakkailleen.

Google tietää viime vuodelta kaikkiaan seitsemän hyökkäysmenetelmää, jotka kohdistuivat yhtiölle tuntemattomiin haavoittuvuuksiin ja joita kaupalliset toimijat myivät valtioiden tukemille tahoille. Google kertoo seuraavansa yli 30 tällaista kauppiasta, joiden tunnettuus ja tekninen osaaminen vaihtelee.

– Löydöksemme alleviivaavat sitä, kuinka kaupallisten vakoojayritysten kyvykkyys on laajentunut aiemmin vain valtioiden käyttämälle tasolle, Google korostaa.