فضيحة Candiru الجزء الاول

ملخص
Candiru هي شركة سرية مقرها إسرائيل تبيع برامج التجسس للحكومات حصريًا. وبحسب ما ورد ، يمكن لبرامج التجسس الخاصة بهم إصابة ومراقبة أجهزة iPhone و Android و Macs و PCs والحسابات السحابية.
باستخدام فحص الإنترنت ، حددنا أكثر من 750 موقع ويب مرتبطة بالبنية التحتية لبرامج التجسس في Candiru. وجدنا العديد من المجالات التي تتنكر كمنظمات مناصرة مثل منظمة العفو الدولية ، وحركة Black Lives Matter ، فضلاً عن الشركات الإعلامية ، وغيرها من الكيانات ذات الطابع الخاص بالمجتمع المدني.
حددنا ضحية نشطة سياسيًا في أوروبا الغربية واستعدنا نسخة من برنامج تجسس Windows من Candiru.
من خلال العمل مع Microsoft Threat Intelligence Center (MSTIC) ، قمنا بتحليل برنامج التجسس ، مما أدى إلى اكتشاف CVE-2021-31979 و CVE-2021-33771 بواسطة Microsoft ، وهما ثغرتان من ثغرات تصعيد الامتيازات التي استغلها Candiru. قامت Microsoft بإصلاح كلتا الثغرات الأمنية في 13 يوليو 2021.
كجزء من تحقيقها ، لاحظت Microsoft ما لا يقل عن 100 ضحية في فلسطين وإسرائيل وإيران ولبنان واليمن وإسبانيا والمملكة المتحدة وتركيا وأرمينيا وسنغافورة. يشمل الضحايا مدافعين عن حقوق الإنسان ومعارضين وصحفيين ونشطاء وسياسيين.
نقدم لمحة فنية موجزة عن آلية استمرار برنامج التجسس Candiru وبعض التفاصيل حول وظائف برامج التجسس.
بذلت Candiru جهودًا لإخفاء هيكل ملكيتها وموظفيها وشركائها في الاستثمار. ومع ذلك ، فقد تمكنا من إلقاء بعض الضوء على تلك المجالات في هذا التقرير.

1. من هو كانديرو؟
   الشركة المعروفة باسم “كانديرو” ، ومقرها تل أبيب ، إسرائيل ، هي شركة برامج تجسس مرتزقة تقوم بتسويق برامج تجسس “لا يمكن تعقبها” لعملاء حكوميين. يتضمن عرض منتجاتهم حلولًا للتجسس على أجهزة الكمبيوتر والأجهزة المحمولة والحسابات السحابية.

الشكل 1: لوحة جدارية مميزة لخمسة رجال برؤوس فارغة يرتدون بدلات وقبعات البولينج معروضة في هذه الصورة “Happy Hour” لمكتب كانديرو السابق المنشور على Facebook بواسطة شركة تموين.
هيكل مؤسسي معتم بشكل متعمد
تبذل Candiru جهودًا لإبقاء عملياتها وبنيتها التحتية وهويات موظفيها مبهمة أمام التدقيق العام. تأسست شركة Candiru Ltd. في عام 2014 وخضعت لعدة تغييرات في الأسماء (انظر: الجدول 1). مثل العديد من شركات برامج التجسس المرتزقة ، ورد أن الشركة تجند من صفوف الوحدة 8200 ، وحدة استخبارات الإشارات في جيش الدفاع الإسرائيلي.

بينما الاسم الحالي للشركة هو Saito Tech Ltd ، سنشير إليها باسم “Candiru” لأنها أكثر شهرة بهذا الاسم. يبدو أن شعار الشركة عبارة عن صورة ظلية لسمكة Candiru الشنيعة المشهورة على شكل حرف “C.”

اسم الشركة تاريخ التسجيل المعنى المحتمل
سايتو للتكنولوجيا المحدودة (סאייטו טק בעיימ) 2020 “سايتو” هي مدينة في اليابان
تافيتا المحدودة (טאבטה בעיימ) 2019 “تافيتا” هي مدينة في كينيا
Grindavik حلول المحدودة (גרינדוויק פתרונות בעיימ) 2018 “Grindavik” هي مدينة في أيسلندا
DF شركاه المحدودة (ד. אפ אסוסיאייטס בעיימ) 2017؟
كانديرو المحدودة (קנדירו בעיימ) 2014 وأسماك المياه العذبة الطفيلية
الجدول 1: تسجيلات شركة Candiru بمرور الوقت

لدى Candiru شركة فرعية واحدة على الأقل: Sokoto Ltd. القسم 5 يوفر مزيدًا من الوثائق لهيكل شركة Candiru وملكيتها.

المبيعات والاستثمارات المبلغ عنها
وفقًا لدعوى رفعها موظف سابق ، بلغت مبيعات كانديرو “ما يقرب من 30 مليون دولار” في غضون عامين من تأسيسها. يقع عملاء الشركة المبلغ عنه في “أوروبا والاتحاد السوفيتي السابق والخليج العربي وآسيا وأمريكا اللاتينية.” بالإضافة إلى ذلك ، تم نشر تقارير عن الصفقات المحتملة مع عدة دول:

أوزبكستان: في عرض تقديمي عام 2019 في مؤتمر أمن نشرة الفيروسات ، صرح باحث في كاسبرسكي لاب أن كانديرو قد باع برامج التجسس الخاصة به إلى جهاز الأمن القومي في أوزبكستان.
المملكة العربية السعودية والإمارات العربية المتحدة: ذكر نفس العرض التقديمي أيضًا المملكة العربية السعودية والإمارات العربية المتحدة على أنهما عملاء محتملون في Candiru.
سنغافورة: يشير تقرير 2019 Intelligence Online إلى أن Candiru كانت نشطة في طلب الأعمال التجارية من أجهزة الاستخبارات السنغافورية.
قطر: يشير تقرير نشرته على الإنترنت لعام 2020 إلى أن كانديرو “أصبحت أقرب إلى قطر”. استثمرت شركة مرتبطة بصندوق الثروة السيادية القطري في كانديرو. لم تظهر بعد أي معلومات عن العملاء المقيمين في قطر ،
عروض برامج التجسس Candiru
يُظهر اقتراح مشروع Candiru الذي تم تسريبه والذي نشرته TheMarker أنه يمكن تثبيت برامج التجسس الخاصة بـ Candiru باستخدام عدد من المتجهات المختلفة ، بما في ذلك الروابط الضارة وهجمات man-in-the-middle والهجمات الجسدية. يتم أيضًا تقديم متجه يسمى “Sherlock” ، يزعمون أنه يعمل على Windows و iOS و Android. قد يكون هذا متجهًا بنقرة صفرية يعتمد على المستعرض.

الشكل 2: نواقل العدوى التي تقدمها Candiru.
مثل العديد من أقرانها ، يبدو أن Candiru ترخص برامج التجسس الخاصة بها من خلال عدد من الإصابات المتزامنة ، مما يعكس عدد الأهداف التي يمكن أن تكون تحت المراقبة النشطة في أي مؤسسة واحدة.

في الوقت المناسب. مثل NSO Group ، يبدو أن Candiru تقصر العميل على مجموعة من البلدان المعتمدة.

يسمح اقتراح المشروع الذي تبلغ قيمته 16 مليون يورو بعدد غير محدود من محاولات الإصابة ببرامج التجسس ، ولكن مراقبة 10 أجهزة فقط في وقت واحد. مقابل 1.5 مليون يورو إضافية ، يمكن للعميل شراء القدرة على مراقبة 15 جهازًا إضافيًا في وقت واحد ، وإصابة الأجهزة في بلد إضافي واحد. مقابل 5.5 مليون يورو إضافية ، يمكن للعميل مراقبة 25 جهازًا إضافيًا في وقت واحد ، وإجراء تجسس في خمسة بلدان أخرى.

الشكل 3: اقتراح لعميل Candiru يشير إلى عدد الإصابات المتزامنة بموجب عقد معين.
تنص الطباعة الدقيقة في الاقتراح على أن المنتج سيعمل في “جميع الأراضي المتفق عليها” ، ثم يذكر قائمة بالدول المحظورة بما في ذلك الولايات المتحدة وروسيا والصين وإسرائيل وإيران. تم ذكر هذه القائمة نفسها من الدول المحظورة من قبل مجموعة NSO. ومع ذلك ، لاحظت Microsoft ضحايا Candiru في إيران ، مما يشير إلى أنه في بعض الحالات ، تعمل منتجات Candiru في مناطق محظورة. بالإضافة إلى ذلك ، يشمل استهداف البنية التحتية التي تم الكشف عنها في هذا التقرير المجالات التي تتنكر في شكل الخدمة البريدية الروسية.

ينص الاقتراح على أن برامج التجسس يمكنها سرقة البيانات الخاصة من عدد من التطبيقات والحسابات بما في ذلك Gmail و Skype و Telegram و Facebook. يمكن لبرامج التجسس أيضًا التقاط محفوظات الاستعراض وكلمات المرور وتشغيل كاميرا الويب والميكروفون للهدف والتقاط صور للشاشة. يُباع التقاط البيانات من تطبيقات إضافية ، مثل Signal Private Messenger كإضافة.

الشكل 4: يمكن للعملاء دفع أموال إضافية للحصول على البيانات من Signal.
مقابل رسوم إضافية بقيمة 1.5 مليون يورو ، يمكن للعملاء شراء قدرة shell عن بُعد ، والتي تتيح لهم الوصول الكامل لتشغيل أي أمر أو برنامج على جهاز الكمبيوتر الهدف. هذا النوع من الإمكانيات مثير للقلق بشكل خاص ، نظرًا لإمكانية استخدامه أيضًا لتنزيل الملفات ، مثل زرع مواد مُجرمة ، على جهاز مصاب.

2. العثور على البرامج الضارة لـ Candiru في البرية
   باستخدام بيانات القياس عن بعد من Team Cymru ، إلى جانب المساعدة من شركاء المجتمع المدني ، تمكن Citizen Lab من تحديد جهاز كمبيوتر نشتبه في احتوائه على عدوى Candiru مستمرة. اتصلنا بمالك الكمبيوتر ، وهو فرد نشط سياسيًا في أوروبا الغربية ، ورتبنا لتصوير محرك الأقراص الثابتة بجهاز الكمبيوتر. استخرجنا في النهاية نسخة من برنامج التجسس الخاص بـ Candiru من صورة القرص.

أثناء استمرار تحليل برامج التجسس المستخرجة ، يوضح هذا القسم النتائج الأولية حول استمرارية برامج التجسس

إصرار
تم تثبيت برامج التجسس الخاصة بـ Candiru باستمرار على جهاز الكمبيوتر من خلال اختطاف COM لمفتاح التسجيل التالي:

HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} \ InprocServer32
عادةً ، تشير قيمة مفتاح التسجيل هذا إلى ملف Windows Management Instrumentation wmiutils.dll الحميد ، ولكن تم تعديل القيمة الموجودة على الكمبيوتر المصاب للإشارة إلى ملف DLL ضار تم إسقاطه داخل مجلد نظام Windows المرتبط بأسلوب الإدخال الياباني (IMEJP) C: \ WINDOWS \ system32 \ ime \ IMEJP \ IMJPUEXP.DLL. هذا المجلد حميد ويتم تضمينه في تثبيت افتراضي لنظام التشغيل Windows 10 ، ولكن IMJPUEXP.DLL ليس اسمًا لمكون Windows شرعي.

عندما يقوم Windows بالتمهيد ، يقوم تلقائيًا بتحميل خدمة Windows Management Instrumentation ، والتي تتضمن البحث عن مسار DLL في مفتاح التسجيل ، ثم استدعاء DLL.

تحميل تكوين برامج التجسس
يحتوي ملف IMJPUEXP DLL على ثماني نقاط في قسم موارد PE مع المعرفات 102 ، 103 ، 105 ، 106 ، 107 ، 108 ، 109 ، 110. يقوم DLL بفك تشفيرها باستخدام مفتاح AES و IV الذي تم ترميزه بشكل ثابت في DLL. يتم فك التشفير عبر Windows CryptoAPI ، باستخدام AES-256-CBC.

وتجدر الإشارة بشكل خاص إلى المورد 102 ، الذي يحتوي على المسار إلى wmiutils.dll الشرعي ، والذي يتم تحميله بعد برنامج التجسس ، مما يضمن أن اختطاف COM لا يعطل وظائف Windows العادية. يشير المورد 103 إلى ملف AgentService.dat في مجلد تم إنشاؤه بواسطة برنامج التجسس ، C: \ WINDOWS \ system32 \ config \ spp \ Licenses \ curv \ config \ tracing . يشير المورد 105 إلى ملف ثانٍ في نفس الدليل ، KBDMAORI.dat.

يقوم IMJPUEXP.DLL بفك تشفير وتحميل ملف AgentService.dat الذي يكون مساره في المورد 103 ، باستخدام نفس مفتاح AES و IV ، ويفك ضغطه عبر zlib. يقوم ملف AgentService.dat بعد ذلك بتحميل الملف في المورد 105 ، KBDMAORI.dat ، باستخدام مفتاح AES ثاني و IV مشفر في AgentService.dat ، ويقوم بفك التشفير باستخدام OpenSSL المرتبط بشكل ثابت. يؤدي فك تشفير KBDMAORI.DAT إلى إنتاج ملف به سلسلة من تسعة نقاط ثنائية مشفرة ، كل منها مسبوقًا بحقل بطول 8 بايت صغير. يتم تشفير كل blob بنفس مفتاح AES و IV المستخدم لفك تشفير KBDMAORI.DAT ، ثم يتم ضغط zlib.

يبدو أن أول أربعة blobs مشفرة هي DLLs من Microsoft Visual C ++ القابلة لإعادة التوزيع: vcruntime140.dll ، msvcp140.dll ، ucrtbase.dll ، concrt140.dll. النقط اللاحقة هي جزء

f برامج التجسس ، بما في ذلك المكونات التي تسمى على ما يبدو Internals.dll و Help.dll. كل من Microsoft DLLs وبرامج التجسس DLLs في KBDMAORI.DAT غامضة قليلاً. يؤدي إرجاع التعديلات التالية إلى جعل الملفات DLLs صالحة:

تم صفير أول وحدتي بايت من الملف (MZ).
تم صفير أول 4 بايت من رأس NT (\ x50 \ x45 \ x00 \ x00).
تم صفير أول 2 بايت من الرأس الاختياري (\ x0b \ x02).
تم تعتيم السلاسل في دليل الاستيراد XOR ، باستخدام مفتاح XOR 48 بايت مشفر في AgentService.dat:
6604F922F90B65F2B10CE372555C0A0C0C5258B6842A83C7DC2EE4E58B363349F496E6B6A587A88D0164B74DAB9E6B58
النقطة الأخيرة في KBDMAORI.DAT هي تكوين برامج التجسس بتنسيق JSON. التهيئة مشوشة إلى حد ما ، لكنها تحتوي بوضوح على عناوين URL المشفرة Base64 UTF-16 للقيادة والتحكم.

الشكل 5: تكوين القيادة والتحكم لبرامج التجسس المبهمة بتنسيق JSON.
خوادم القيادة والتحكم في التكوين هي:

https: // msstore [.] io
https: // adtracker [.] رابط
https: // cdnmobile [.] io
أشارت أسماء النطاقات الثلاثة جميعها إلى 185.181.8 [.] 155. تم توصيل عنوان IP هذا بثلاثة عناوين IP أخرى تطابق بصمة Candiru CF1 الخاصة بنا (القسم 3).

وظائف برامج التجسس
ما زلنا نعكس معظم وظائف برامج التجسس ، ولكن يبدو أن حمولة Windows الخاصة بـ Candiru تتضمن ميزات لاستخراج الملفات وتصدير جميع الرسائل المحفوظة في إصدار Windows من تطبيق المراسلة المشفر الشهير Signal وسرقة ملفات تعريف الارتباط وكلمات المرور من Chrome و Internet Explorer و Firefox و Safari و Opera. تستخدم برامج التجسس أيضًا برنامج تشغيل شرعيًا موقعًا تابعًا لجهة خارجية ، physmem.sys:

c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d
أثبت تحليل Microsoft أيضًا أن برامج التجسس يمكنها إرسال رسائل من البريد الإلكتروني وحسابات الوسائط الاجتماعية التي تم تسجيل الدخول إليها مباشرةً على كمبيوتر الضحية. قد يسمح هذا بإرسال روابط ضارة أو رسائل أخرى مباشرة من جهاز كمبيوتر المستخدم المخترق. قد يكون إثبات أن المستخدم المخترق لم يرسل الرسالة أمرًا صعبًا للغاية.

3. رسم خرائط البنية التحتية للقيادة والتحكم في Candiru
   لتحديد مواقع الويب التي تستخدمها برامج التجسس الخاصة بـ Candiru ، قمنا بتطوير أربع بصمات أصابع وتقنية جديدة لمسح الإنترنت. بحثنا في البيانات التاريخية من Censys وأجرينا عمليات المسح الخاصة بنا في عام 2021. قادنا ذلك إلى تحديد ما لا يقل عن 764 اسم نطاق نقيمها بثقة متوسطة إلى عالية لاستخدامها من قبل Candiru وعملائها. يشير فحص أسماء النطاقات إلى وجود اهتمام محتمل بأهداف في آسيا وأوروبا والشرق الأوسط وأمريكا الشمالية.

بالإضافة إلى ذلك ، بناءً على تحليلنا لبيانات مسح الإنترنت ، نعتقد أن هناك أنظمة Candiru تعمل من المملكة العربية السعودية وإسرائيل والإمارات العربية المتحدة والمجر وإندونيسيا ، من بين دول أخرى.

خطأ OPSEC من قبل Candiru يؤدي إلى بنيتهم ​​التحتية
باستخدام Censys ، وجدنا شهادة TLS موقعة ذاتيًا تتضمن عنوان البريد الإلكتروني “amitn@candirusecurity.com”. نسبنا اسم المجال candirusecurity [.] com إلى Candiru Ltd ، لأنه تم تسجيل اسم نطاق ثانٍ (مركز التحقق [.]) في عام 2015 بعنوان بريد إلكتروني com [.] com ورقم هاتف (+ 972-54-2552428 ) مدرج من قبل Dun & Bradstreet كرقم فاكس لشركة Candiru Ltd ، والمعروف أيضًا باسم Saito Tech Ltd.

الشكل 6: شهادة Candiru التي وجدناها في Censys كانت نقطة البداية لتحليلنا.
تسجل بيانات Censys أن إجمالي ستة عناوين IP أعادت هذه الشهادة: 151.236.23 [.] 93 ، 69.28.67 [.] 162 ، 176.123.26 [.] 67 ، 52.8.109 [.] 170 ، 5.135.115 [.] .] 40 ، 185.56.89 [.] 66. أعادت عناوين IP الأربعة الأخيرة بعد ذلك شهادة أخرى ، قمنا بأخذ بصماتها (Fingerprint CF1) بناءً على ميزات مميزة. بحثنا في بيانات Censys عن بصمة الإصبع هذه.

حدد معربا
منcensys-io.certificates_public.certificates
أين parsed.issuer_dn هو NULL
و parsed.subject_dn هو NULL
AND parsed.validity.length = 8639913600
AND parsed.extensions.basic_constraints.is_ca
الجدول 2: بصمة CF1
وجدنا 42 شهادة على Censys مطابقة CF1. لاحظنا أن ستة عناوين IP مطابقة لشهادات CF1 أعادت لاحقًا شهادات تطابق بصمة إصبع ثانية ابتكرناها ، CF2. تستند بصمة CF2 على الشهادات التي تطابق تلك التي تم إنشاؤها بواسطة منشئ “الاسم المزيف”. قمنا أولاً بتشغيل استعلام SQL على بيانات Censys لبصمة الإصبع ، ثم تمت تصفيته من خلال قائمة بالأسماء المزيفة.

SELECT parsed.fingerprint_sha256، parsed.subject_dn
منcensys-io.certificates_public.certificates
أين (parsed.subject_dn = parsed.issuer_dn
AND REGEXP_CONTAINS (parsed.subject_dn، r “^ O = [A-Z] [a-z] + ،،؟
CN = [a-z] + . (com | net | org) + $ “)
AND parsed.extensions.basic_constraints.is_ca
الجدول 3: استعلام SQL CF2 بصمة الإصبع.
أسفر استعلام SQL عن 572 نتيجة. قمنا بتصفية النتائج ، مطالبتين منظمة شهادة TLS في الحقل parsed.subject_dn بأن تحتوي على إدخال من قائمة 475 اسمًا أخيرًا في وحدة Perl Data-Faker. نشك في أن Candiru يستخدم إما وحدة Perl هذه ، أو وحدة أخرى تستخدم الامتداد

قائمة الكلمات نفسها ، لإنشاء أسماء وهمية لشهادات TLS. لا يبدو أن وحدة Perl Data-Faker ، ولا وحدات أخرى مماثلة (على سبيل المثال ، Ruby Faker Gem ، أو وحدة PHP Faker) تحتوي على وظائف مضمنة لإنشاء شهادات TLS مزيفة. وبالتالي ، نشك في أن رمز إنشاء شهادة TLS هو رمز مخصص كتبه Candiru. بعد التصفية ، وجدنا 542 شهادة مطابقة.

قمنا بعد ذلك بتطوير بصمة HTTP ، تسمى BRIDGE ، والتي قمنا من خلالها بمسح الإنترنت وإنشاء بصمة TLS ثالثة ، CF3. نحن نحافظ على سرية بصمات أصابع BRIDGE و CF3 في الوقت الحالي من أجل الحفاظ على الرؤية في البنية التحتية لـ Candiru.

تداخل مع CHAINSHOT
تمت الإشارة إلى أحد عناوين IP التي تطابقت مع بصمة CF1 ، 185.25.50 [.] 194 ، بواسطة dl.nmcyclingexperience [.] com ، والذي تم ذكره باعتباره عنوان URL النهائي لحمولة برامج التجسس التي تم تسليمها بواسطة مجموعة استغلال CHAINSHOT في 2018 أبلغ عن. يُعتقد أن CHAINSHOT مرتبط بـ Candiru ، على الرغم من عدم وجود تقارير عامة حددت أساس هذا الإسناد ، حتى الآن. رصدت Kaspersky مجموعة Stealth Falcon الإماراتية للقرصنة باستخدام CHAINSHOT ، بالإضافة إلى عميل مقره أوزبكستان يسمونه SandCat. في حين ركزت العديد من التحليلات على تقنيات استغلال CHAINSHOT المختلفة ، لم نر أي عمل عام يفحص حمولة Windows النهائية لـ Candiru.

تداخل مع Google TAG Research
في 14 تموز (يوليو) 2021 ، نشرت مجموعة تحليل التهديدات (TAG) من Google تقريرًا يشير إلى اثنين من عمليات استغلال Chrome في اليوم الصفري التي لاحظتها TAG تستخدم ضد الأهداف (CVE-2021-21166 و CVE-2021-30551). يذكر التقرير تسعة مواقع ويب قررت Google أنها استخدمت لتوزيع الثغرات. أشارت ثمانية من هذه المواقع إلى عناوين IP التي تطابق بصمة CF3 Candiru الخاصة بنا. لذلك نعتقد أن الهجمات التي لاحظتها Google والتي تتضمن مآثر Chrome هذه كانت مرتبطة بـ Candiru.

ربطت Google أيضًا استغلالًا إضافيًا لـ Microsoft Office لاحظوه (CVE-2021-33742) بنفس المشغل.

استهداف الموضوعات
يسمح لنا فحص البنية التحتية المستهدفة في Candiru بعمل تخمينات حول موقع الأهداف المحتملة والموضوعات والموضوعات التي يعتقد مشغلو Candiru أن الأهداف ستجدها ذات صلة ومغرية.

تشير بعض الموضوعات بقوة إلى أن الاستهداف من المحتمل أن يكون معنيًا بالمجتمع المدني والنشاط السياسي. يتطابق هذا المؤشر المقلق مع ملاحظة Microsoft للاستهداف المكثف لأعضاء المجتمع المدني والأكاديميين ووسائل الإعلام باستخدام برنامج التجسس الخاص بـ Candiru. لقد لاحظنا أدلة على استهداف البنية التحتية التي تتنكر في صورة وسائل الإعلام ومنظمات المناصرة والمنظمات الدولية وغيرها (انظر: الجدول 4).

وجدنا العديد من الجوانب المتعلقة بهذا الاستهداف ، مثل معلومات المجال blacklivesmatters [.] ، والتي يمكن استخدامها لاستهداف الأفراد المهتمين أو المنتسبين إلى هذه الحركة. وبالمثل ، فإن البنية التحتية التي تتنكر بزي منظمة العفو الدولية ومنظمة اللاجئين الدولية تثير القلق ، وكذلك المجالات المشابهة للأمم المتحدة ، ومنظمة الصحة العالمية ، والمنظمات الدولية الأخرى. وجدنا أيضًا أن موضوع الاستهداف لدراسات النوع الاجتماعي (على سبيل المثال دراسات المرأة [.] المؤتمر المشترك والجنساني [.] org) مثير للاهتمام بشكل خاص ويستدعي مزيدًا من التحقيق.

مثال على المجالات التي تتنكر باسم
وسائل الإعلام الدولية cnn24-7 [.] على الإنترنت CNN
dw-arabic [.] com Deutsche Welle
أخبار اليورو [.] على الإنترنت يورونيوز
rasef22 [.] كوم Raseef22
فرنسا 24 [.] أخبار فرنسا 24
منظمات المناصرة تقارير العفو [.] كوم منظمة العفو الدولية
blacklivesmatters [.] info حركة Black Lives Matter
للاجئين الدولية [.] منظمة اللاجئين الدولية
دراسات النوع الاجتماعي – Womanstudies [.] موضوع أكاديمي مشترك
genderconference [.] org مؤتمر أكاديمي
شركات التكنولوجيا cortanaupdates [.] com Microsoft
googlplay [.] متجر Google
تحديثات أبل [.] عبر الإنترنت أبل
amazon-cz [.] eu Amazon
تحديث drpbx [.] net Dropbox
إعداد lenovo [.] tk Lenovo
konferenciya-zoom [.] com Zoom
zcombinator [.] co Y Combinator
وسائل التواصل الاجتماعي LinkedIn-jobs [.] com LinkedIn
faceb00k-live [.] com Facebook
minstagram [.] صافي Instagram
تويت لايف [.] كوم تويتر
youtubee [.] الحياة يوتيوب
مواقع الإنترنت الشعبية wikipediaathome [.] net Wikipedia
المنظمات الدولية OSESGY-UNMissions [.] org مكتب المبعوث الخاص للأمين العام إلى اليمن
الأمم المتحدة [.] الأمم المتحدة
whoint [.] co منظمة الصحة العالمية
المقاولون الحكوميون vesteldefnce [.] io مقاول دفاع تركي
vfsglobal [.] fr مزود خدمات التأشيرات
الجدول 4: بعض موضوعات الاستهداف التي لوحظت في مجالات Candiru.

يبدو أن مجموعة من نطاقات الاستهداف خاصة بالبلد بشكل معقول (انظر: الجدول 5). نعتقد أن موضوعات المجال هذه تشير إلى البلدان المحتملة للأهداف وليس بالضرورة بلدان المشغلين أنفسهم.

البلد مثال المجال ما هو هذا على الأرجح انتحال الشخصية؟
إندونيسيا منشورة [.] مشاركة إندونيسية ذات ميول يسارية
روسيا pochtarossiy [.] info الخدمة البريدية الروسية
التشيك kupony-rohlik [.] cz بقالة التشيك
أرمينيا armenpress [.] صافي وكالة أنباء أرمينيا الحكومية
إيران tehrantimes [.] org صحيفة يومية تصدر باللغة الإنجليزية في

إيران
صحيفة يني-سافاك التركية كوم التركية
Cyprus cyprusnet [.] tk بوابة توفر معلومات عن الأعمال التجارية القبرصية.
النمسا oiip [.] org المعهد النمساوي للشؤون الدولية
موقع Palestine lwaeh-iteham-alasra [.] com الذي ينشر لوائح اتهام المحاكم الإسرائيلية ضد الأسرى الفلسطينيين
المملكة العربية السعودية موقع ويب mbsmetoo [.] com لـ “حملة دولية لدعم قضية جمال خاشقجي” وقضايا أخرى ضد ولي العهد السعودي الأمير محمد بن سلمان
سلوفينيا توتال سلوفينيا نيوز موقع إخباري سلوفيني باللغة الإنجليزية.
الجدول 5: بعض الموضوعات القطرية التي تمت ملاحظتها في مجالات كانديرو.

4. كتلة مرتبطة بالسعودية؟
   تم تحميل مستند من إيران إلى VirusTotal يستخدم AutoOpen Macro لبدء تشغيل مستعرض ويب ، وانتقل المتصفح إلى عنوان URL https: // cuturl [.] space / lty7uw ، والذي سجله VirusTotal كإعادة توجيه إلى عنوان URL ، https: / /useproof[.]cc/1tUAE7A2Jn8WMmq/api ، الذي يذكر المجال الذي ربطناه بـ Candiru ، useproof [.] cc. يشير المجال useproof [.] cc إلى 109.70.236.107 ، والذي يطابق بصمة إصبعنا CF3.

كانت الوثيقة فارغة ، باستثناء رسم يحتوي على نص “وزير خارجية جمهورية إيران الإسلامية”.