Обнаружена новая инфраструктура израильского разработчика шпионского ПО Candiru

Анализ с использованием данных Recorded Future Network Intelligence показал существенные различия в архитектуре инфраструктуры и административных практиках между различными кластерами Candiru. Некоторые кластеры управляют своей инфраструктурой, нацеленной на жертв, напрямую. Другие используют для этого промежуточные уровни инфраструктуры или скрывают свою активность через сеть Tor, что усложняет отслеживание.

Всего было идентифицировано восемь отдельных операционных кластеров. Пять из них с высокой степенью вероятности оцениваются как активные на текущий момент. Среди активных кластеров фигурируют группы, ассоциируемые с Венгрией и Саудовской Аравией. Еще один кластер, с высокой вероятностью связанный с заказчиком из Индонезии, был активен до ноября 2024 года. Статус двух кластеров, ассоциируемых с Азербайджаном, остается неопределенным из-за отсутствия идентифицированной инфраструктуры, взаимодействующей с жертвами. В ходе расследования Insikt Group также выявила компанию, подозреваемую в принадлежности к корпоративной сети Candiru.

История и деятельность Candiru

Candiru, ныне действующая под названием Saito Tech Ltd., была основана в 2014 году в Израиле Эраном Шорером и Яаковом Вайцманом. Первоначальное название компании отсылает к паразитической рыбе кандиру, известной своей скрытностью и способностью проникать в тело жертвы, что метафорически отражает суть её деятельности. Председателем компании, по сообщениям, являлся Исаак Зак, ранний инвестор печально известной NSO Group. Финансирование Candiru поступало от Founders Group, инвестиционного синдиката, соучредителями которого были Омри Лави и Шалев Хулио, основатели NSO Group. Активность компании также отслеживается Microsoft под псевдонимом SOURGUM.

Компания Candiru неоднократно меняла названия и юридические регистрации, а также перемещала офисы для сохранения операционной секретности. Так, в 2017 году компания перерегистрировалась как DF Associates Ltd., в 2018 году сменила название на Grindavik Solutions Ltd., в 2019 году стала Taveta Ltd., а в 2020 году окончательно преобразовалась в Saito Tech Ltd. В 2020 году также было создано дочернее предприятие Sokoto.

Согласно судебным документам из иска бывшего сотрудника, Candiru быстро росла: с 12 сотрудников в 2015 году до 70 в 2018 году. Компания начала заключать контракты с государственными клиентами в Европе, на Ближнем Востоке, в Азии и Латинской Америке уже в 2016 году. Выручка компании, по имеющимся данным, составила $10 миллионов в 2016 году и выросла до $20-30 миллионов к 2018 году, с дополнительными $367 миллионами по ожидающим завершения сделкам с 60 правительственными клиентами. Переговоры часто велись через местных посредников. В 2017 году, по данным израильской газеты Haaretz, Candiru приступила к разработке шпионского ПО для мобильных устройств. К 2019 году оценка компании достигла примерно $90 миллионов после продажи доли венчурным инвесторам. Сообщалось также об инвестициях со стороны катарского суверенного фонда.

Глобальное развертывание и цели шпионского ПО

Активность Candiru неоднократно документировалась исследователями. В 2019 году Vice News сообщила, что лаборатория Касперского выявила использование шпионского ПО Candiru Службой государственной безопасности Узбекистана (ССБ), которая использовала официальный правительственный домен для управления командным сервером. Эта утечка привела к идентификации других клиентов, включая Саудовскую Аравию и ОАЭ.

В апреле 2021 года компания ESET обнаружила операцию с использованием Candiru, нацеленную на новостное издание Middle East Eye (Великобритания), сайты, связанные с хуситами и "Хезболлой", вероятное диссидентское СМИ в Саудовской Аравии, а также сайты иранского посольства, итальянской и южноафриканской аэрокосмических компаний, правительственные сайты Сирии и Йемена. В июле 2021 года совместное расследование Citizen Lab и Microsoft выявило масштабное развертывание Candiru клиентами по всему миру, скомпрометировавшее не менее 100 жертв. Среди целей были политики, правозащитники, журналисты, ученые, сотрудники посольств и политические диссиденты. Около половины наблюдаемых Microsoft жертв находились в Палестине, остальные - в Израиле, Иране, Ливане, Йемене, Испании (Каталония), Великобритании, Турции, Армении и Сингапуре. Инфраструктура шпионского ПО была связана с Саудовской Аравией, Израилем, ОАЭ, Венгрией и Индонезией. Используемые домены имитировали международные СМИ, правозащитные организации (включая Black Lives Matter, Amnesty International, Refugees International), мероприятия по гендерным исследованиям и международные организации (ООН, ВОЗ, Офис Специального посланника Генерального секретаря ООН по Йемену).

Продолжающаяся угроза и риски

Несмотря на предпринимаемые регуляторные и правовые усилия на международном уровне, Candiru демонстрирует устойчивость. Компания была внесена в "Список организаций" Министерства торговли США, что ограничивает доступ к американским технологиям. ЕС принял резолюцию, направленную на сдерживание злоупотреблений шпионским ПО, а Великобритания и Франция выступили инициаторами проекта Pall Mall по определению и регулированию законного использования подобных инструментов. Тем не менее, Candiru пыталась оспорить свое включение в американский санкционный список и продолжает представлять значительную угрозу.

Использование коммерческого шпионного ПО, такого как DevilsTongue, как внутри стран, так и на международной арене, вне контекста борьбы с серьезной преступностью или терроризмом, создает серьезные риски для конфиденциальности, безопасности и правового поля для самих целей, их организаций и даже операторов. Высокая стоимость одного развертывания DevilsTongue (по оценкам исследователей, основанных на утечках данных о продажах) указывает на то, что основными мишенями часто становятся лица с высокой разведывательной ценностью: политики, бизнес-лидеры и лица, занимающие чувствительные должности. По мере роста рынка коммерческого шпионного ПО, появления новых вендоров и продуктов, а также увеличения числа стран, стремящихся получить передовые кибервозможности, риск стать целью теперь распространяется далеко за пределы гражданского общества на любого, кто представляет интерес для акторов, имеющих доступ к подобным инструментам.

Рекомендации по защите

В краткосрочной перспективе эксперты Insikt Group рекомендуют организациям и частным лицам придерживаться базовых практик кибербезопасности. К ним относятся регулярное обновление программного обеспечения, активный поиск известных индикаторов компрометации (IoC), проведение инструктажей по безопасности перед командировками и строгое разделение личных и корпоративных устройств. Эти меры должны подкрепляться постоянным обучением сотрудников вопросам безопасности для повышения осведомленности о векторах заражения и возможностях вредоносного ПО, а также для формирования культуры минимального раскрытия данных.

В долгосрочной перспективе организациям следует инвестировать в тщательные оценки рисков, которые лягут в основу более гибких и адаптивных политик безопасности. Эффективное противодействие растущей угрозе коммерческого шпионного ПО требует непрерывного мониторинга экосистемы таких угроз, всесторонней оценки рисков и более решительных регуляторных действий со стороны законодателей. Устойчивая прибыльность рынка, усиление конкуренции и повышение уровня ИТ-защиты стимулируют инновации среди вендоров, что проявляется в сообщениях об инфекциях через рекламу, прямых атаках на серверы мессенджеров и усилении механизмов персистентности вредоносного ПО. Эти тенденции ведут к созданию более скрытных цепочек заражения, атакам на облачные резервные копии, профессионализации экосистемы шпионского ПО и расширению портфелей инструментов.

IPv4

• 104.207.153.0
• 107.170.37.216
• 107.170.42.32
• 107.170.42.56
• 134.209.220.157
• 134.209.3.89
• 136.244.69.219
• 137.184.254.107
• 138.197.43.97
• 139.59.14.26
• 139.84.208.188
• 140.82.5.20
• 143.198.64.22
• 146.70.102.108
• 146.70.102.110
• 146.70.102.121
• 146.70.102.134
• 146.70.116.7
• 146.70.131.224
• 146.70.147.9
• 146.70.160.49
• 146.70.169.165
• 146.70.20.203
• 146.70.29.228
• 146.70.53.156
• 146.70.81.218
• 146.70.86.251
• 147.182.161.167
• 149.248.1.147
• 149.28.142.211
• 149.28.242.133
• 149.28.250.35
• 149.28.253.112
• 149.28.57.173
• 149.28.71.25
• 149.28.77.207
• 152.42.226.197
• 155.138.163.117
• 155.138.202.66
• 155.138.240.74
• 157.230.128.10
• 157.245.176.133
• 158.247.194.199
• 159.223.151.126
• 159.223.208.191
• 159.89.14.225
• 161.35.150.79
• 164.92.225.66
• 164.92.235.125
• 165.22.5.231
• 165.22.51.81
• 165.22.71.71
• 165.227.145.109
• 167.99.3.150
• 167.99.85.48
• 174.138.34.46
• 178.128.49.106
• 185.234.52.230
• 188.208.141.190
• 194.180.158.45
• 194.180.158.71
• 194.180.191.84
• 194.37.97.159
• 198.211.98.248
• 199.247.10.38
• 206.81.14.237
• 207.246.105.206
• 207.246.113.7
• 207.246.87.188
• 207.246.90.6
• 208.76.221.167
• 208.76.223.59
• 208.85.18.104
• 213.252.232.129
• 213.252.232.141
• 216.128.178.12
• 216.238.77.17
• 216.238.80.164
• 216.238.86.164
• 216.238.91.249
• 217.69.10.11
• 217.69.6.58
• 23.227.198.196
• 23.29.115.188
• 38.132.101.35
• 45.32.109.170
• 45.32.150.100
• 45.76.252.109
• 45.76.31.6
• 45.77.105.76
• 45.77.57.173
• 5.181.159.109
• 5.252.178.158
• 64.225.3.138
• 64.226.103.163
• 65.20.105.177
• 65.20.106.49
• 65.20.96.9
• 66.42.126.125
• 66.42.73.169
• 68.183.169.21
• 68.183.186.185
• 70.34.194.5
• 70.34.251.208
• 84.247.51.183
• 88.119.175.56
• 88.119.175.75
• 91.207.173.115
• 95.179.215.54

Domains

• ambiguouscommerce.com
• antperspective.com
• aperturebelt.com
• asknapkin.com
• barnsecret.com
• baseagriculture.com
• basicstraw.com
• basinapposite.com
• beneathbreadth.com
• bizarreclassify.com
• blockroster.net
• bondmuscle.com
• breadgroomer.com
• bronzemonth.com
• browniebell.com
• bypassbirch.com
• bypasscalculate.com
• bypasscommerce.com
• calmbase.org
• cartoondrop.net
• chickenstrawberry.com
• citecivilization.com
• closetmeat.com
• commonclever.com
• concretebottle.com
• conquerconfess.com
• containsnow.com
• contradictionblindness.com
• convincechaotic.com
• cooperatedisinfect.net
• cottonbread.com
• cranberrybear.com
• cropcritique.com
• crossoverdue.com
• damageconsider.com
• deardrill.com
• dediccatedconsideration.com
• deducedefend.com
• deliverconcern.net
• densefoot.com
• desireeclipse.com
• detaincharity.net
• deterdiffusion.com
• devotionbelief.com
• distractionfar.com
• drivesplash.com
• drummerjourney.com
• dumplingbell.com
• electric-prime.com
• elifluousscintillam.com
• eminententwine.com
• exhibitexpanse.com
• fallaciousessential.net
• fearevolve.com
• fileswaper.com
• finalsalami.com
• flexibleelevator.com
• foamdirection.com
• forecastgarden.com
• goatsandals.com
• golfconcert.com
• groundbreakinginitative.com
• guitarcalculate.com
• hostilefauna.com
• isolatelecture.com
• jellybat.net
• jobmarcher.com
• journeyjest.net
• kartingrumble.com
• labyrinthextravagance.org
• leafconfuse.net
• lessonhandle.com
• macrodrop.net
• macromint.net
• maturitygenesis.com
• measurecabin.com
• mushroompalm.com
• notableexam.org
• notionnowadays.com
• outdooutcome.com
• parkourbus.com
• patternperiod.com
• penslice.com
• pepperdominate.com
• prawnbasket.com
• predictproper.com
• pressaviation.com
• profligatecensure.com
• rollstrech.com
• romancedrum.com
• sacrificeprincipal.net
• salmonpride.net
• scoreparade.com
• selectedpazzle.com
• shareitwork.com
• signifyslight.com
• spongefruit.com
• stablesurface.com
• strangegarden.org
• stylebrakedown.com
• suggestutterly.com
• sunsetpotential.com
• tacticscheap.net
• tidalscreen.com
• tubeshape.com
• ultimatematter.info
• velvetpremier.com
• windomination.com

SHA256

• 255869de85e2a171993fc5eb8a556d873a1b8966e040f6f55926f2fa2d595cc8

• cta-2025-0805.pdf