埃塞俄比亞政府從以色列公司購得間諜軟件監控該國境內與境外的異見人士,但由于操作人員在配置命令與控制(C&C)服務器時犯下嚴重錯誤,導致攻擊目標被暴露。
埃塞俄比亞似乎是從去年開始通過魚叉式網絡釣魚電子郵件實施秘密監控行動。這些釣魚郵件中包含多個網站的鏈接。在這些網站上,用戶會被誘騙下載包含惡意軟件的虛假Adobe Flash Player更新或一個名為Adobe PdfWriter的應用程序。
操作人員犯下嚴重錯誤這起魚叉式網絡釣魚活動存在“漏洞”,讓某些目標產生了懷疑。有人將網絡釣魚電子郵件轉發給了公民實驗室(Citizen Lab)---長期追蹤并暴露政治動機監控活動的組織機構。
埃塞俄比亞政府網絡間諜并未放棄自己的基礎設施,而是決定向參與調查的一名公民實驗室的研究人員發起魚叉式網絡釣魚攻擊。
公民實驗室最終發現,惡意軟件偽裝的虛假Flash Player更新和PdfWriter應用程序與一個在線C&C服務器通信,而該服務器卻暴露了它的Web文件夾。研究人員在這些Web文件夾中發現了解攻擊者的必要信息,包括攻擊者的IP地址,以及埃塞俄比亞政府間諜試圖感染并監控的目標列表。
將目標瞄向埃塞俄比亞境內與境外異見人士公民實驗室的研究人員及時通知了這些目標,包括參與埃塞俄比亞奧羅米亞州地區反政府抗議活動的記者、活動分子和持不同政見者,此外還包括鄰國厄立特里亞國政府官員。
除了感染埃塞俄比亞當地的目標,而且也感染了大量身居其他國家的埃塞俄比亞僑民,見下圖:
公民實驗室指出,這些攻擊中使用的惡意軟件是一款名為“PC Surveillance System”(簡稱PSS)的Windows程序,其由以色列網絡安全公司Cyberbit出售。
Cyberbit有意將PSS作為合法監控軟件銷售給全球的情報和執法機構。出售此類工具的公司還包括Hacking Team(產品:RCS - Remote Control Systems)、Gamma Group(產品:FinSpy)和NSO Group(多款產品)。
公民實驗室的研究人員指出,這并非埃塞俄比亞政府首次購買監控軟件,該國政府官員還是Hacking Team和Gamma Group的客戶。
公民實驗室的調查人員聯系了Cyberbit,但該公司的管理層撇清了責任,并告知研究人員他們只是供應商,并不操作產品。Cyberbit稱僅向主權政府當局和執法機構提供PSS,購買方有責任確保經合法授權在管轄范圍內使用產品。
京公網安備 11010502049343號