Кандиру (компания по производству шпионского ПО)

Кандиру
Промышленность	Технология наблюдения
Основан	2014 г .; 10 лет назад
Основатели	Эран Шорер, ; Яаков Вейцман
Штаб-квартира	Tel Aviv , Израиль
Ключевые люди	Исаак Зак (председатель) Эйтан Ахлоу (генеральный директор)
Продукты	Шерлок ( шпионское ПО )
Владелец	Исаак Зак (крупнейший акционер)

Candiru — в Тель-Авиве . технологическая компания со штаб-квартирой ^{[ 1 ]} наблюдения и кибершпионажа предлагая технологии ^{[ 3 ]} государственным клиентам. ^{[ 4 ]}

Candiru предлагает инструменты кибершпионажа, которые можно использовать для проникновения в компьютеры, серверы, мобильные устройства, ^{[ 2 ]} и облачные аккаунты. ^{[ 5 ]} Похоже, его специальностью является проникновение в компьютеры. ^{[ 2 ]} особенно те, кто работает под управлением ОС Windows . ^{[ 6 ]}

Компанию называют секретной. ^{[ 1 ]}^{[ 3 ]} а газета Haaretz назвала ее «одной из самых загадочных компаний Израиля, занимающихся кибервойной». ^{[ 2 ]} У компании нет веб-сайта, и она требует от сотрудников подписывать соглашения о неразглашении информации и не раскрывать свое место работы в LinkedIn . ^{[ 2 ]} Компания активно набирает сотрудников из ЦАХАЛа разведывательного подразделения « Отряд 8200» . ^{[ 3 ]}

Компания названа в честь кандиру , амазонской рыбы-паразита, печально известной своей удивительной способностью проникать в уретру человека и паразитировать на ней. ^{[ 3 ]} В качестве логотипа компания также использует силуэт рыбы кандиру. ^{[ 3 ]}^{[ 5 ]}

Корпоративный профиль

Обзор

Компания Candiru была основана Эраном Шорером и Яаковом Вейцманом. ^{[ 2 ]} в 2014 году как Candiru Ltd. ^{[ 5 ]} Ее председателем и крупнейшим акционером является Исаак Зак, который также является одним из основателей NSO Group . ^{[ 2 ]} Кроме того, как сообщается, Кандиру пользовался финансовой поддержкой Founders Group, соучредителем которой является Омри Лави, который также является одним из основателей NSO Group. ^{[ 6 ]} Candiru считается второй по величине компанией по кибершпионажу в Израиле после NSO Group . ^{[ 3 ]} и было высказано предположение, что Кандиру может попытаться объединиться с NSO Group. ^{[ 2 ]}

Компания часто меняла офисы. ^{[ 2 ]} и – хотя до сих пор известен под своим первоначальным названием Кандиру ^{[ 1 ]}^{[ 2 ]}^{[ 5 ]} - также претерпел несколько изменений своего зарегистрированного названия ^{[ 1 ]}^{[ 2 ]}^{[ 7 ]} (в том числе Grindavik Solutions, LDF Associates, ^{[ 3 ]} Тавета, ^{[ 5 ]} DF Associates, Greenwick Solutions, Tabatha и, наконец, Saito Tech (текущее зарегистрированное название) ^{[ 2 ]}). ^{[ нужны разъяснения ]}

Корпоративная история

Компания Candiru была основана Эраном Шорером и Яаковом Вейцманом. ^{[ 2 ]} в 2014 году как Candiru Ltd. ^{[ 5 ]}

Согласно информации из судебных документов по иску, поданному против Кандиру бывшим высокопоставленным сотрудником, на конец 2015 года в компании работало 12 сотрудников, на конец 2018 года — 70, а с тех пор их число выросло до 150 человек. В течение первого года после основания у компании не было клиентов, но к началу 2016 года компания имела ряд сделок на продвинутой стадии с клиентами из Европы, бывшего Советского Союза, стран Персидского залива, Азии и Латинской Америки. По словам истца, объем продаж компании в 2016 году составил 10 миллионов долларов, а в 2017 году — почти 30 миллионов долларов, хотя цифры, похоже, относятся к многолетним сделкам. В другой части иска истец указывает, что выручка компании за 2018 год составила около $20 млн. Из документа, приложенного к иску, следует, что компания вела переговоры с потенциальными клиентами из более чем 60 стран на общую сумму 367 миллионов долларов. Согласно информации из иска, предоставленной суду ответчиком (Кандиру), компания сотрудничает с посредниками в целевых странах, которые помогают совершать сделки и получать комиссию в размере 15% за свои услуги. По словам истца, высшее руководство Candiru решило начать разработку шпионского ПО для мобильных телефонов в 2017 году, однако продажа и маркетинг телефонного шпионского ПО были приостановлены председателем компании в начале 2018 года. Как ответчик, Кандиру жаловался, что истец раскрыл секретную информацию. секретную информацию в иске и потребовал, чтобы разбирательство продолжалось в закрытом режиме и чтобы информация о разбирательстве была скрыта от общественности. ^{[ 2 ]}

По данным за январь 2019 года, в Candiru работало 120 человек, а годовой объем продаж составил 30 миллионов долларов, что сделало бы ее второй по величине фирмой по кибершпионажу в Израиле. ^{[ 3 ]}

Согласно отчету за декабрь 2019 года, рыночная капитализация Candiru составила 90 миллионов долларов (на основе продажи 10% акций Candiru, которые венчурный капиталист Эли Вартман продал компании Universal Motors за 9 миллионов долларов). ^{[ 2 ]}

Сообщается, что Кандиру вел деловые переговоры с Сингапуром (сообщено в 2019 году) и Катаром (сообщено в 2020 году). Компания, связанная с Катарским суверенным фондом благосостояния, инвестировала в Кандиру. ^{[ 5 ]}

Согласно отчету CitizenLab за июль 2021 года , эксплойты Candiru были связаны с атаками вредоносного ПО на уровне национальных государств , наблюдавшимися в Узбекистане, Саудовской Аравии, Катаре, Сингапуре и Объединенных Арабских Эмиратах. ^{[ 8 ]}

Киберфирма получает поддержку от инвесторов Катара, поскольку несколько инвестиционных фондов, связанных с Qatar Investment Authority, приобрели долю в фирме по производству шпионского ПО Candiru. ^{[ 9 ]}

У Candiru есть как минимум одна дочерняя компания — Sokoto, зарегистрированная в марте 2020 года. ^{[ 5 ]}

компании По состоянию на декабрь 2020 года в состав совета директоров входили Шорер, Вайцман, Зак и представитель Universal Motors Israel (которая является акционером Candiru). Согласно отчетности за 2021 год, крупнейшими акционерами были Шорер, Вайцман и Зак. Другими акционерами были Universal Motors Israel LTD, ESOP Management and Trust Services и Optas Industry Ltd. ^{[ 5 ]}

История

В 2019 году исследователь «Лаборатории Касперского» обнаружил, что шпионское ПО Candiru использовалось спецслужбой Узбекистана. Нарушения операционной безопасности, допущенные узбекским клиентом при тестировании инструментов против различных антивирусных систем (включая антивирус Касперского), насторожили исследователей. Исследователи идентифицировали узбекский тестовый компьютер и обнаружили веб-адрес, к которому он регулярно подключался и который был зарегистрирован Службой национальной безопасности Узбекистана. Полученные данные впоследствии позволили исследователям идентифицировать еще двух клиентов Кандиру: Саудовскую Аравию и Объединенные Арабские Эмираты . Отслеживание тактики проникновения Кандиру позволило экспертам по кибербезопасности выявить и исправить до восьми эксплойтов нулевого дня в Windows . ^{[ 6 ]}

В апреле 2021 года лондонское издание Middle East Eye было скомпрометировано в течение двух дней и использовалось для размещения вредоносного кода на устройствах посетителей . Целых 20 организаций, включая посольство Ирана, итальянские аэрокосмические компании, а также правительственные учреждения Сирии и Йемена, подверглись нападению. Атака была раскрыта компанией ESET , которая связала использованный в атаке вредоносный код с Candiru. ^{[ 10 ]}

Согласно результатам совместного расследования CitizenLab и Microsoft (отчет, опубликованный в июле 2021 года), Кандиру использовал ложные URL-адреса веб-сайтов, которые выглядели как веб-адреса НПО, групп активистов, организаций здравоохранения и средств массовой информации, чтобы заманить в ловушку цели. Расследование выявило более 750 доменов, которые, по всей видимости, были связаны с Candiru. Среди фиктивных URL-адресов были те, которые, по-видимому, имитировали веб-сайт, на котором публикуются обвинительные заключения израильского суда в отношении палестинских заключенных, а также веб-сайт, критикующий наследного принца Саудовской Аравии Мухаммеда бен Салмана . Результаты показали, что инструменты кибершпионажа Кандиру использовались для нападения на гражданское общество. Microsoft выявила не менее 100 целей, среди которых были политики, правозащитники, журналисты, ученые, сотрудники посольств и политические диссиденты. Microsoft определила цели во многих странах Европы и Азии. ^{[ 1 ]} Было обнаружено, что системы Кандиру эксплуатировались в нескольких странах, включая (но не ограничиваясь ими) Саудовскую Аравию, Израиль, ОАЭ, Венгрию и Индонезию. ^{[ 4 ]} Расследование началось после того, как CitizenLab с помощью данных телеметрии выявила компьютер, подозреваемый в постоянном заражении Candiru. Затем CitizenLab обратилась к пользователю устройства – политически активному человеку из Западной Европы – с просьбой получить образ жесткого диска устройства. ^{[ 5 ]}

В ноябре 2021 года Министерство торговли США добавило Candiru (а также NSO Group , другого крупного израильского поставщика шпионского ПО) в свой торговый черный список за поставку шпионского ПО иностранным правительствам, которые затем использовали его в злонамеренных целях, что Министерство торговли сочло коммерческой деятельностью. противоречит интересам национальной безопасности или внешней политики США. ^{[ 11 ]} Впоследствии Министерство торговли США направило Кандиру список вопросов о том, как работает шпионское ПО Кандиру. ^{[ 12 ]}

В апреле 2022 года CitizenLab опубликовала отчет, в котором выяснилось, что четверо сторонников независимости Каталонии подверглись атаке с помощью шпионского ПО Candiru в рамках более крупной кампании по слежке за сторонниками независимости Каталонии ( CatalanGate ), которая в основном проводилась с использованием шпионского ПО Pegasus . Целевых лиц побуждали щелкнуть ссылку в отправленном им электронном сообщении, при этом их персональные компьютеры заражались шпионским ПО Candiru после перехода по ссылке. CitizenLab выявила в общей сложности семь таких вредоносных писем; Некоторые электронные письма выглядели как сообщения испанского государственного учреждения с рекомендациями общественного здравоохранения в связи с эпидемией коронавируса 2019 года . ^{[ 13 ]}

Продукты и услуги

Candiru предлагает свои продукты и услуги правительственным правоохранительным органам и спецслужбам для помощи в наблюдении, краже данных и наступательных кибероперациях. ^{[ 2 ]} Работает только с государственными заказчиками. ^{[ 4 ]} Компания заявляет, что запрещает размещение своей продукции на территории США, Израиля, России, Китая, ^{[ 2 ]} или Иран (хотя Microsoft определила цели Candiru в Израиле и Иране). ^{[ 1 ]}

Целевые платформы-кандидаты, методы проникновения и возможности.

Похоже, что Candiru специализируется на компьютерном шпионском ПО (особенно для устройств Windows, хотя компания также разработала шпионское ПО для компьютеров под управлением Apple MacOS). ^{[ 6 ]}). ^{[ 2 ]} Он также предлагает шпионское ПО для мобильных платформ, серверов, ^{[ 2 ]} и облачные аккаунты. ^{[ 5 ]} Кандиру якобы предлагает целый ряд подходов к целевому проникновению, включая проникновение через гиперссылки, ^{[ 1 ]}^{[ 5 ]} атаки «человек посередине» , ^{[ 5 ]} файлы с оружием, ^{[ 5 ]} физическое нападение, ^{[ 1 ]}^{[ 5 ]} и программа под названием «Шерлок» ^{[ 1 ]}^{[ 5 ]} (непонятно, что делает программа, ^{[ 1 ]} но, по словам Кандиру, утверждается, что он эффективен для Windows, iOS и Android. ^{[ 5 ]}). ^{[ 1 ]} Сообщается, что компания также будет разрабатывать новые специальные шпионские программы в тех случаях, когда ни один из инструментов ее стандартного набора не сможет проникнуть в цель. ^{[ 3 ]}

Согласно просочившемуся документу компании, опубликованному в 2020 году, продукты компании могут использоваться для проникновения в компьютеры, сети, мобильные телефоны, совместимы с несколькими операционными средами («ПК/Windows, iOX и Android»), требуют минимального взаимодействия с целью. для достижения проникновения, они «тихо развернуты» и «неотслеживаемы». Далее в просочившемся документе говорится, что после развертывания шпионское ПО может извлекать данные из скомпрометированного устройства (включая данные из учетных записей социальных сетей, коммуникационных программ/приложений или микрофона или камеры устройства), а также может идентифицировать и отображать сети, в которых находится цель. подключен к. ^{[ 2 ]} Согласно маркетинговому документу 2019 года, шпионское ПО не вызывает сбоев в работе целевого устройства. ^{[ 4 ]}

Услуги и цены

Согласно просочившемуся документу Candiru, компания предлагает клиентам различные пакеты услуг, цена которых варьируется в зависимости от количества целевых устройств и количества стран, в которых шпионское ПО развернуто против целей (клиенту предлагается неограниченное количество попыток развертывания). . С клиентов также взимается дополнительная плата, если они решают собирать данные файлов cookie браузера или данные из приложений (включая Twitter, Viber и Signal) или если они хотят получить полный доступ к управлению и контролю к целевому устройству (который может быть использован для имплантировать компрометирующие материалы на устройства). Базовый пакет стоил 16 миллионов евро и позволял отслеживать 10 устройств, возможность контролировать 15 дополнительных устройств и работать в одной дополнительной стране стоила еще 1,5 миллиона евро, возможность контролировать 25 дополнительных устройств и вести шпионаж еще в 5. страны обходятся еще в 5,5 миллиона евро, а доступ к удаленному управлению устройством стоит еще 1,5 миллиона евро, при этом утечка файлов cookie или данных приложений обходится в 200 000 евро или – в случае с Signal – в 500 000 евро. ^{[ 5 ]}

Обнаружены уязвимости шпионского ПО Candiru

Согласно результатам совместного расследования CitizenLab и Microsoft (опубликованного в июле 2021 года), Candiru использует фиктивные веб-сайты с URL-адресами, напоминающими реальные веб-сайты, для скрытого проникновения на устройства, потенциально обеспечивая постоянный доступ к устройству (включая возможности эксфильтрации). Центр анализа угроз Microsoft обнаружил и исправил уязвимость Windows, используемую шпионским ПО Candiru. ^{[ 1 ]} в июле 2021 года. ^{[ 4 ]} Анализ шпионского ПО, проведенный Microsoft, показал, что помимо возможности кражи файлов, сообщений и паролей, шпионское ПО также позволяет оператору отправлять сообщения из зарегистрированных учетных записей электронной почты и социальных сетей непосредственно с компьютера жертвы. ^{[ 5 ]} Кроме того, CitizenLab сообщила, что Кандиру воспользовался двумя уязвимостями в браузере Google Chrome . ^{[ 4 ]} Google также связал с Candiru эксплойт Microsoft Office. ^{[ 5 ]}

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот «Израильская фирма, занимающаяся шпионским ПО, связана с фейковыми веб-сайтами Black Lives Matter и Amnesty – доклад» . Хранитель . 15 июля 2021 г. Проверено 19 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v ^В ^х ^и «Взлом мобильных телефонов, сделки в Персидском заливе: раскрыта сверхсекретная израильская фирма, занимающаяся кибератаками» . Гаарец . Проверено 19 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я «Раскрыта сверхсекретная израильская фирма по кибератакам» . Гаарец . Проверено 19 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж «Израильский Кандиру продавал государству шпионское ПО для взлома журналистов и диссидентов» . Файнэншл Таймс . 15 июля 2021 г. Архивировано из оригинала 15 июля 2021 г. Проверено 20 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т Марчак, Билл; Скотт-Рейлтон, Джон; Бердан, Кристин; Раззак, Бахр Абдул; Дейберт, Рон (15 июля 2021 г.). «На крючке Кандиру: в центре внимания еще один наемный поставщик шпионского ПО» . Гражданская лаборатория . Проверено 20 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д Брюстер, Томас. «Знакомьтесь, Кандиру — загадочные наемники, взламывающие компьютеры Apple и Microsoft с целью получения прибыли» . Форбс . Проверено 19 июля 2021 г.
^ Маркс, Джозеф (15 июля 2021 г.). «Частная израильская фирма помогла правительствам взломать журналистов и правозащитников» . Вашингтон Пост . Согласно отчету Citizen Lab, фирма поддерживала высокий уровень секретности, в том числе четыре раза меняла свое официальное название за шесть лет работы. Фирма теперь официально называется Saito Tech Ltd., хотя она по-прежнему широко известна как Candiru, говорится в отчете.
^ «Секретная израильская компания, занимающаяся эксплойтами, стоит за волной эксплойтов нулевого дня» . Неделя безопасности . Проводные деловые СМИ. 15 июля 2021 г. Проверено 15 июля 2021 г.
^ «Кандиру получает поддержку от инвесторов, связанных с Катаром» . Разведка онлайн . 26 августа 2020 г. Проверено 26 августа 2020 г.
^ Брюстер, Томас. «Израильская компания по наблюдению, занесенная в черный список, связанная с хакерами на Ближнем Востоке, отрицает, что знает, за кем шпионят клиенты» . Форбс . Проверено 30 января 2022 г.
^ Бинг, Кристофер (3 ноября 2021 г.). «США внесли в черный список израильского поставщика хакерских инструментов NSO Group» . Рейтер . Проверено 4 ноября 2021 г.
^ Маццетти, Марк; Бергман, Ронен (10 июля 2022 г.). «Оборонная фирма заявила, что американские шпионы поддержали ее заявку на приобретение производителя шпионского ПО Pegasus» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 11 июля 2022 г.
^ Скотт-Рейлтон, Джон; Филд, Элис; Марчак, Билл; Раззак, Бахр Абдул; Анстис, Сиена; Бёкю, Гёзде; Сулеймано, Сальваторе; Дейберт, Рон (18 апреля 2022 г.). «CatalanGate: обширная операция наемников-шпионов против каталонцев с использованием Pegasus и Candiru» . ГражданинЛаб . Проверено 26 апреля 2022 г.

[GraunActivist-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот «Израильская фирма, занимающаяся шпионским ПО, связана с фейковыми веб-сайтами Black Lives Matter и Amnesty – доклад» . Хранитель . 15 июля 2021 г. Проверено 19 июля 2021 г.

[CHGD-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v ^В ^х ^и «Взлом мобильных телефонов, сделки в Персидском заливе: раскрыта сверхсекретная израильская фирма, занимающаяся кибератаками» . Гаарец . Проверено 19 июля 2021 г.

[Top_Secret_Haaretz-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я «Раскрыта сверхсекретная израильская фирма по кибератакам» . Гаарец . Проверено 19 июля 2021 г.

[FT_-_Sold_States-4] Jump up to: ^а ^б ^с ^д ^и ^ж «Израильский Кандиру продавал государству шпионское ПО для взлома журналистов и диссидентов» . Файнэншл Таймс . 15 июля 2021 г. Архивировано из оригинала 15 июля 2021 г. Проверено 20 июля 2021 г.

[Citizen_Lab-5] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т Марчак, Билл; Скотт-Рейлтон, Джон; Бердан, Кристин; Раззак, Бахр Абдул; Дейберт, Рон (15 июля 2021 г.). «На крючке Кандиру: в центре внимания еще один наемный поставщик шпионского ПО» . Гражданская лаборатория . Проверено 20 июля 2021 г.

[Brewster-6] Jump up to: ^а ^б ^с ^д Брюстер, Томас. «Знакомьтесь, Кандиру — загадочные наемники, взламывающие компьютеры Apple и Microsoft с целью получения прибыли» . Форбс . Проверено 19 июля 2021 г.

[WaPo_2021-07-15-7] Маркс, Джозеф (15 июля 2021 г.). «Частная израильская фирма помогла правительствам взломать журналистов и правозащитников» . Вашингтон Пост . Согласно отчету Citizen Lab, фирма поддерживала высокий уровень секретности, в том числе четыре раза меняла свое официальное название за шесть лет работы. Фирма теперь официально называется Saito Tech Ltd., хотя она по-прежнему широко известна как Candiru, говорится в отчете.

[8] «Секретная израильская компания, занимающаяся эксплойтами, стоит за волной эксплойтов нулевого дня» . Неделя безопасности . Проводные деловые СМИ. 15 июля 2021 г. Проверено 15 июля 2021 г.

[9] «Кандиру получает поддержку от инвесторов, связанных с Катаром» . Разведка онлайн . 26 августа 2020 г. Проверено 26 августа 2020 г.

[10] Брюстер, Томас. «Израильская компания по наблюдению, занесенная в черный список, связанная с хакерами на Ближнем Востоке, отрицает, что знает, за кем шпионят клиенты» . Форбс . Проверено 30 января 2022 г.

[11] Бинг, Кристофер (3 ноября 2021 г.). «США внесли в черный список израильского поставщика хакерских инструментов NSO Group» . Рейтер . Проверено 4 ноября 2021 г.

[12] Маццетти, Марк; Бергман, Ронен (10 июля 2022 г.). «Оборонная фирма заявила, что американские шпионы поддержали ее заявку на приобретение производителя шпионского ПО Pegasus» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 11 июля 2022 г.

[13] Скотт-Рейлтон, Джон; Филд, Элис; Марчак, Билл; Раззак, Бахр Абдул; Анстис, Сиена; Бёкю, Гёзде; Сулеймано, Сальваторе; Дейберт, Рон (18 апреля 2022 г.). «CatalanGate: обширная операция наемников-шпионов против каталонцев с использованием Pegasus и Candiru» . ГражданинЛаб . Проверено 26 апреля 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]