Στόχος του λογισμικού Predator έγινε μεταξύ του Μαΐου και του Σεπτεμβρίου 2023 ο πρώην Αιγύπτιος βουλευτής Ahmed Eltantawy, μέσω συνδέσμων που αποστέλλονται με SMS και μηνύματα στο WhatsApp. Η παγίδευσή του πραγματοποιήθηκε αφού ο Eltantawy δήλωσε δημόσια τα σχέδιά του να είναι υποψήφιος πρόεδρος στις αιγυπτιακές εκλογές του 2024.
Τον Αύγουστο και τον Σεπτέμβριο του 2023, η Vodafone Egypt του Eltantawy, είχε βρεθεί επίμονα στον στόχο αγνώστων. Όταν ο Eltantawy επισκεπτόταν ορισμένους ιστότοπους που δεν χρησιμοποιούν HTTPS, μια συσκευή που ήταν εγκατεστημένη στα σύνορα του δικτύου της Vodafone Egypt τον ανακατεύθυνε αυτόματα σε έναν κακόβουλο ιστότοπο για να μολύνει το τηλέφωνό του με το λογισμικό κατασκοπείας Predator της Cytrox.
Το τηλέφωνο του Eltantawy είχε μολυνθεί επιπλέον με το spyware της Cytrox Predator δύο χρόνια νωρίτερα, τον Νοέμβριο του 2021, μέσω μηνύματος κειμένου που περιείχε σύνδεσμο προς έναν ιστότοπο Predator.
Τα τρωτά σημεία στο iOS
Τα ευρήματα προέρχονται από την ομάδα παρακολούθησης λογισμικού κατασκοπείας Citizen Lab, η οποία συνεργάστηκε με την Google για να αναφέρει τα τρωτά σημεία στην Apple νωρίτερα αυτό το μήνα. Την Πέμπτη, η Apple κυκλοφόρησε μια επείγουσα ενημέρωση για να προστατεύσει τα iPhone, iPad και Mac από την απειλή.
Το Citizen Lab λέει ότι ανακάλυψε τα τρωτά σημεία αφού ο υποψήφιος για την προεδρία της Αιγύπτου επικοινώνησε με την οργάνωση για υποψίες ότι το iPhone του είχε παραβιαστεί. «Η ιατροδικαστική μας ανάλυση έδειξε πολυάριθμες προσπάθειες στόχευσης του Eltantawy με το spyware της Cytrox Predator», ανέφερε η Citizen Lab στην έκθεση.
Η Cytrox είναι ένας Ισραηλινο-Ουγγρικός έμπορος όπλων στον κυβερνοχώρο που πουλά σε ξένες κυβερνήσεις. Το spyware «Predator» της εταιρείας είχε προηγουμένως τεκμηριωθεί ότι μόλυνε συσκευές που ανήκαν σε δύο εξόριστους Αιγύπτιους, μαζί με άλλους στόχους, όπως φυσικά στην Ελλάδα με θύματα πολιτικούς και δημοσιογράφους.
Στην περίπτωση του Eltantawy, η επίθεση χρησιμοποίησε τρία τρωτά σημεία του iOS για να εγκαταστήσει κρυφά το λογισμικό κατασκοπείας Predator της Cytrox. Η εκμετάλλευση των τρωτών σημείων μπορεί να επιτρέψει σε έναν χάκερ να παγιδεύσει έναν ιστότοπο για να ενεργοποιήσει κακόβουλο κώδικα υπολογιστή σε ένα iPhone, να αυξήσει τα προνόμιά του hacking στο iOS και επίσης να παρακάμψει το σύστημα ασφαλείας της Apple για να ελέγξει εάν μια εγκατεστημένη εφαρμογή είναι νόμιμη ή όχι. Το αποτέλεσμα ανοίγει το δρόμο για μια επίθεση μηδενικού κλικ, χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη. Ως εκ τούτου, το Citizen Lab προτρέπει όλους τους χρήστες iPhone να επιδιορθώσουν τις συσκευές τους.
2/ Ahmed Eltantawy got in touch with us @citizenlab, worried his devices were targeted in #Egypt.
— John Scott-Railton (@jsrailton) September 22, 2023
He was right. His iPhone on @VodafoneEgypt was targeted for network injection.
As he browsed the net, the attackers were trying to slip a #Predator infection onto his device. pic.twitter.com/gBCepXNZpP
Ποιος είναι ο Ahmed Eltantawy
Ο Ahmed Eltantawy είναι πρώην Αιγύπτιος βουλευτής που είχε διατελέσει στο παρελθόν πρόεδρος του πολιτικού κόμματος al-Karama της Αιγύπτου. Τον Μάρτιο του 2023 ανακοίνωσε την πρόθεσή του να θέσει υποψηφιότητα στις επερχόμενες προεδρικές εκλογές στην Αίγυπτο, δηλώνοντας ότι σχεδίαζε να προσφέρει μια «δημοκρατική» εναλλακτική. Μετά από αυτή την ανακοίνωση, ο Eltantawy, τα μέλη της οικογένειάς του και οι υποστηρικτές του έχουν υποστεί παρενόχληση, συμπεριλαμβανομένων των συλλήψεων 12 μελών της οικογένειας.
Ο σημερινός πρόεδρος της Αιγύπτου Αμπντέλ Φατάχ αλ-Σίσι βρίσκεται στην εξουσία από το 2014, όταν ηγήθηκε της στρατιωτικής ανατροπής του προέδρου Μοχάμεντ Μόρσι. Ο Σίσι έχει χαρακτηριστεί ευρέως ως αυταρχικός. Ομάδες ανθρωπίνων δικαιωμάτων, συμπεριλαμβανομένης της Διεθνούς Αμνηστίας και του Παρατηρητηρίου Ανθρωπίνων Δικαιωμάτων, έχουν τεκμηριώσει εκτεταμένες παραβιάσεις των ανθρωπίνων δικαιωμάτων υπό το καθεστώς του Ελ Σίσι, συμπεριλαμβανομένης της καταστολής εναντίον ομάδων της κοινωνίας των πολιτών, ακτιβιστών και πολιτικής αντιπολίτευσης.
Ο Eltantawy άρχισε να υποψιάζεται την ασφάλεια του τηλεφώνου του και απευθύνθηκε στο Citizen Lab. Πραγματοποιήσαμε ιατροδικαστική ανάλυση στη συσκευή του. Η ιατροδικαστική μας ανάλυση έδειξε πολυάριθμες προσπάθειες στόχευσης του Eltantawy με το λογισμικό κατασκοπείας Predator της Cytrox.
Το Citizen Lab έχει προηγουμένως τεκμηριώσει μολύνσεις από Cytrox Predator που στοχεύουν τις συσκευές δύο εξόριστων Αιγυπτίων: του εξόριστου πολιτικού Ayman Nour και του παρουσιαστή δημοφιλούς ειδησεογραφικού προγράμματος (που επέλεξε να παραμείνει ανώνυμος).