فضيحة Candiru الجزء الثاني
الشكل 7: تم تحميل المستند الذي يحمل عنوان URL الخاص بـ Candiru إلى VirusTotal من إيران ، ويتضمن صورة رأس تشير إلى وزير الخارجية.
لقد أخذنا بصمات أصابع سلوك cuturl [.] الفضاء وتتبعنا ذلك إلى خمسة مختصرات عناوين URL أخرى: llink [.] link و instagrarn [.] co و cuturl [.] app و url-tiny [.] co و bitly [.] هاتف. ومن المثير للاهتمام ، أنه تم وضع علامة على العديد من هذه المجالات من قبل باحث في ThreatConnect في تغريدتين ، بناءً على الخصائص المشبوهة لتسجيلها. نشك في أن تنسيق AutoOpen ومختصرات عناوين URL قد تكون فريدة بالنسبة لعميل Candiru معين.
اتصل بنا أحد مستخدمي Twitter السعوديين وأبلغنا أن المستخدمين السعوديين النشطين على Twitter يتلقون رسائل بعناوين URL قصيرة مشبوهة ، بما في ذلك روابط إلى اسم المجال قليلاً [.] tel. في ضوء ذلك ، نشك في أن أدوات تقصير عناوين URL قد تكون مرتبطة بالمملكة العربية السعودية.
- تفاصيل الشركة الإضافية لـ Candiru
يعقوب فايتسمان (ויצמן יעקב) وعيران Shorer (שורר ערן) التي تأسست في عام 2014. كانديرو إسحاق زاك (זק יעקב)، كما ورد مستثمر في وقت مبكر في المجموعة المكتب الوطني للإحصاء، وأصبح أكبر مساهم في كانديرو بعد أقل من شهرين تأسيسها و شغل مقعدًا في مجلس إدارتها. في يناير 2019، تومر الإسرائيلي ظهر (ישראלי תומר) للمرة الأولى في سجلات الشركة كما في كانديرو “مدير الشؤون المالية،” وإيتان Achlow (אחלאו איתן) عين الرئيس التنفيذي.
يبدو أن عددًا من المستثمرين المستقلين قاموا بتمويل عمليات Candiru على مر السنين. اعتبارًا من إشعار Candiru بتخصيص الأسهم المقدم في فبراير 2021 مع سلطة الشركات الإسرائيلية ، لا يزال Zack و Shorer و Weitzman أكبر المساهمين. ثلاث منظمات هي المقبل أكبر المساهمين: العالمية للسيارات اسرائيل LTD (تسجيل الشركات 511809071)، وإدارة ESOP والخدمات الثقة (איסופ שירותי ניהול) تسجيل الشركات 513699538، وOptas الصناعة المحدودة ESOP (. تسجيل الشركات لم 513699538) هي شركة إسرائيلية تقدم خدمات إدارية لبرنامج مخزون الموظفين لعملاء الشركات. لا نعرف ما إذا كانت شركة ESOP تحتفظ بأسهمها كأمانة لبعض موظفي Candiru. Optas Industry Ltd. هي شركة ملكية خاصة مقرها مالطا (رقم التسجيل C91267 ، المساهم ليونارد جوزيف أوبراين ، المديران هما أوبراين ومايكل إيلول ، تأسست في 28 مارس 2019). يُذكر أن أوبراين شغل على مدار عقد من الزمان منصب رئيس الاستثمار وعضو مجلس إدارة في صندوق الاستثمار الخليجي ، وأن جهاز قطر للاستثمار السيادي يمتلك حصة 12٪ في صندوق الاستثمار الخليجي (من خلال شركة تابعة ، قطر تحتجز). شركة Universal Motors Israel (رقم تسجيل الشركة 511809071) كمستثمر (بما في ذلك مقعد في مجلس إدارة Candiru) تثير فضولها نظرًا لأن عملها الأساسي هو توزيع السيارات الجديدة والمستعملة.
وإلى جانب أميت رون (רון עמית)، ممثل العالمية للسيارات اسرائيل، لوحة كانديرو اعتبارا من ديسمبر 2020 ويشمل إسحاق زاك، يعقوب فايتسمان، وعيران Shorer.
بالإضافة إلى مشاركة Zack ، تشارك Candiru نقاطًا مشتركة أخرى مع NSO Group ، بما في ذلك التمثيل من قبل نفس شركة المحاماة والاستفادة من نفس شركة خدمات إدارة الأسهم والثقة للموظفين.
- الخلاصة
يعد الوجود الواسع النطاق الواضح لـ Candiru ، واستخدام تكنولوجيا المراقبة الخاصة بها ضد المجتمع المدني العالمي ، بمثابة تذكير قوي بأن صناعة برامج التجسس المرتزقة تحتوي على العديد من اللاعبين وهي عرضة للإساءة على نطاق واسع. توضح هذه الحالة ، مرة أخرى ، أنه في حالة عدم وجود أي ضمانات دولية أو ضوابط حكومية قوية للتصدير ، فإن بائعي برامج التجسس سيبيعون لعملاء الحكومة الذين يسيئون استخدام خدماتهم بشكل روتيني. تفتقر العديد من الحكومات التي تتوق إلى الحصول على تقنيات مراقبة متطورة إلى ضمانات قوية على وكالاتها الأمنية المحلية والأجنبية. يتسم الكثير منها بسجلات إنجازات سيئة في مجال حقوق الإنسان. ليس من المستغرب أنه في حالة عدم وجود قيود قانونية قوية ، فإن هذه الأنواع من العملاء الحكوميين سوف تسيء استخدام خدمات برامج التجسس لتعقب الصحفيين والمعارضين السياسيين والمدافعين عن حقوق الإنسان وغيرهم من أعضاء المجتمع المدني العالمي.
المجتمع المدني في مرمى النيران … مرة أخرى
إن الاستهداف الظاهر لفرد بسبب معتقداته السياسية وأنشطته غير الإرهابية أو الإجرامية هو مثال مقلق على هذا الوضع الخطير. كما أن التحليل المستقل لشركة Microsoft مثير للقلق ، حيث اكتشف ما لا يقل عن 100 ضحية لعمليات البرمجيات الخبيثة في Candiru والتي تشمل “السياسيين ونشطاء حقوق الإنسان والصحفيين والأكاديميين والعاملين في السفارات والمعارضين السياسيين”.
ومما يثير الانزعاج بنفس القدر في هذا الصدد تسجيل Candiru للمجالات التي تنتحل صفة المنظمات غير الحكومية لحقوق الإنسان (منظمة العفو الدولية) ، والحركات الاجتماعية المشروعة (Black Lives Matter) ، والمنظمات الصحية الدولية (WHO) ، وموضوعات حقوق المرأة ، والمنظمات الإخبارية. على الرغم من أننا نفتقر إلى سياق حول حالات الاستخدام المحددة المرتبطة بهذه المجالات ، فإن مجرد وجودها كجزء من البنية التحتية لـ Candiru – في ضوء الأضرار الواسعة النطاق ضد المجتمع المدني المرتبط بـ global
صناعة برامج التجسس – مثيرة للقلق للغاية وهي منطقة تستحق مزيدًا من التحقيق.
تصحيح الأضرار حول سوق برامج التجسس التجارية
في نهاية المطاف ، ستتطلب معالجة الممارسات الخاطئة في صناعة برامج التجسس نهجًا قويًا وشاملاً يتجاوز الجهود التي تركز على شركة أو دولة واحدة رفيعة المستوى. لسوء الحظ ، أثبتت وزارة الدفاع الإسرائيلية – التي يجب أن تحصل منها الشركات التي تتخذ من إسرائيل مقراً لها مثل كانديرو على رخصة تصدير قبل البيع في الخارج – حتى الآن على عدم استعدادها لإخضاع شركات المراقبة لنوع من التدقيق الصارم الذي قد يكون مطلوبًا لمنع الانتهاكات من هذا النوع حددنا نحن والمنظمات الأخرى. عملية ترخيص التصدير في ذلك البلد شبه مبهمة بالكامل ، وتفتقر حتى إلى أبسط تدابير المساءلة العامة أو الشفافية. نأمل أن تساعد تقارير مثل هذا التقرير في تحفيز صانعي السياسة والمشرعين في إسرائيل وأماكن أخرى على بذل المزيد من الجهد لمنع الأضرار المتزايدة المرتبطة بسوق برامج التجسس غير المنظم.
وتجدر الإشارة إلى المخاطر المتزايدة التي يواجهها بائعو برامج التجسس ومجموعات الملكية الخاصة بهم نتيجة لمبيعاتهم المتهورة. يقوم بائعو برامج التجسس المرتزقة مثل Candiru بتسويق خدماتهم لعملائهم الحكوميين كأدوات “لا يمكن تعقبها” تتجنب الكشف وبالتالي تمنع الكشف عن عمليات عملائهم. ومع ذلك ، يظهر بحثنا مرة أخرى مدى خداع هذه الادعاءات. على الرغم من كونه صعبًا في بعض الأحيان ، إلا أنه من الممكن للباحثين اكتشاف وكشف التجسس المستهدف باستخدام مجموعة متنوعة من مراقبة الشبكات وتقنيات التحقيق الأخرى ، كما أوضحنا في هذا التقرير (وغيره). حتى أكثر شركات المراقبة التي تتمتع بموارد جيدة ترتكب أخطاء تشغيلية وتترك آثارًا رقمية ، مما يجعل ادعاءاتها التسويقية حول التخفي وعدم الكشف عنها موضع شك كبير. إلى الحد الذي تكون فيه منتجاتهم متورطة في أضرار كبيرة أو حالات استهداف غير قانوني ، فإن التعرض السلبي الذي يأتي من أبحاث المصلحة العامة قد يؤدي إلى التزامات كبيرة للملكية والمساهمين وغيرهم من الشركات المرتبطة ببرامج التجسس هذه.
أخيرًا ، تُظهر هذه القضية قيمة اتباع نهج على مستوى المجتمع للتحقيقات في التجسس المستهدف. من أجل معالجة الأضرار التي تسببها هذه الصناعة للأعضاء الأبرياء في المجتمع المدني العالمي ، فإن التعاون بين الباحثين الأكاديميين والمدافعين عن الشبكة وفرق استخبارات التهديدات ومنصات التكنولوجيا أمر بالغ الأهمية. اعتمد بحثنا على مصادر بيانات متعددة برعاية مجموعات وكيانات أخرى تعاوننا معها ، وساعدنا في النهاية على تحديد نقاط ضعف البرامج في منتج مستخدم على نطاق واسع تم الإبلاغ عنه ثم تصحيحه من قبل البائع.
شكر وتقدير
بفضل Microsoft و Microsoft Threat Intelligence Center (MSTIC) لتعاونهما والعمل على معالجة مشكلات الأمان التي تم تحديدها من خلال أبحاثهما بسرعة.
نحن ممتنون بشكل خاص للأهداف التي تختار العمل معنا للمساعدة في تحديد وفضح الكيانات المشاركة في استهدافهم. لولا مشاركتهم لما كان هذا التقرير ممكنا.
بفضل Team Cymru لتوفير الوصول إلى منتج Pure Signal Recon الخاص بهم. لقد وفرت قدرة أداتهم على إظهار القياس عن بعد لحركة المرور على الإنترنت من الأشهر الثلاثة الماضية الاختراق الذي كنا بحاجة إليه لتحديد الضحية الأولية من البنية التحتية لـ Candiru
تم توفير التمويل لهذا المشروع من خلال منحة سخية من مؤسسة جون دي وكاثرين تي ماك آرثر ومؤسسة فورد ومؤسسة أوك وصندوق سيجريد راوزينج ومؤسسة المجتمعات المفتوحة.
بفضل Miles Kenyon و Mari Zhou و Adam Senft للاتصالات والرسومات والدعم التنظيمي.