علیرغم تحریمهای گسترده آمریکا، محصولات جاسوسی متعلق به کنسرسیوم Intellexa همچنان در حال رونق هستند. این موضوع در پی انتشار فاشسازی اسناد و مدارک بسیار حساس نشت کرده از این شرکت توسط Inside Story، Haaretz و WAV Research Collective با نام “IntellexaLeaks” آشکار شده است.
پس از انتشار این تحقیقات، سه گزارش مجزا اما هماهنگ در مورد فعالیتهای این کنسرسیوم جاسوسی منتشر شده که بردار حمله (attack vector) جدید و لیست قربانیان را مشخص میکند. این گزارشها توسط گروه اطلاعاتی تهدید گوگل (Google Threat Intelligence Group – GTIG)، گروه Insikt از Recorded Future و آزمایشگاه امنیت Amnesty International تهیه شده است، همان گروهی که تیم فنی برای کار روی IntellexaLeaks را نیز تشکیل داده بود و نشان داد سازنده نرمافزار جاسوسی همچنان سلاحهای دیجیتالی را به بالاترین پیشنهاددهندگان میفروشد.
نقاط کلیدی فاششده در تحقیقات
یکی از مهمترین یافتهها، این است که GTIG تأکید کرده است Intellexa بهعنوان یکی از پربارترین فروشندگان نرمافزار جاسوسی جای گرفته و از آسیبپذیریهای (zero-day vulnerabilities) موبایلی در برابر مرورگرها بهره میبرد.
این فروشنده نرمافزار جاسوسی که متشکل از چندین نهاد حقوقی در سراسر یونان، ایرلند، مجارستان، مقدونیه شمالی و فراتر از آن است، مسئول حداقل 15 مورد از 70 آسیبپذیری روز صفر ثبتشده توسط GTIG و گروه تجزیه و تحلیل تهدید گوگل (TAG) از سال 2021 تاکنون است.
این در حالی است که چندین دور تحریم علیه مشاغل Intellexa و افراد مرتبط با این کنسرسیوم اعمال شده است، از جمله تحریمهای دفتر کنترل داراییهای خارجی ایالات متحده (OFAC) در مارس و سپتامبر 2024 که هفت نفر را هدف قرار داد.
علاوه بر این، Intellexa در سال 2023 توسط مرجع حفاظت از دادههای یونان به دلیل عدم رعایت تحقیقات شرکت جریمه شد.
روش نفوذ نرمافزار Predator
گزارش آزمایشگاه امنیت Amnesty International همچنین بر روش آلوده کردن دستگاههای هدف با Predator، محصول پیشرو Intellexa که گاهی اوقات به عنوان Helios، Nova، Green Arrow یا Red Arrow بازاریابی میشود، تمرکز کرده است.
به طور سنتی، Predator تقریباً منحصراً از حملات «یک کلیکی» (one-click attacks) برای آلوده کردن دستگاه استفاده میکرد که نیاز به باز شدن یک لینک مخرب در تلفن هدف دارد. این روش نسبت به بهرهبرداری از حملات «بدون کلیکی» (zero-click attacks) که معمولاً توسط رقبا مانند NSO Group با نرمافزار Pegasus انجام میشود، کمتهاجمیتر است.
با این حال، گزارش Amnesty نشان میدهد که Intellexa اخیراً یک بردار آلوده سازی جدید به نام ‘Aladdin’ را توسعه داده است که میتواند به طور پنهانی دستگاههای هدف را در هر نقطه از جهان آلوده کند.
بردار آلودهسازی Aladdin
این بردار که برای اولین بار توسط Haaretz و Inside Story افشا شد، از اکوسیستم تبلیغات موبایلی تجاری برای انجام حملات استفاده میکند. Amnesty این زنجیره حمله را به عنوان “از نظر فنی پیچیده برای اجرا اما از نظر مفهومی ساده” توصیف میکند.
گزارش Recorded Future همچنین نشان داد که دو نهاد جدیدی که ظاهراً در بخش تبلیغات فعالیت میکنند ممکن است با Aladdin مرتبط باشند.
دسترسی مستقیم به سیستمهای جاسوسی
یافتههای آزمایشگاه امنیت Amnesty International نشاندهنده دسترسی عمیق Intellexa به عملیات نظارتی زنده و حفظ دسترسی مستقیم به سیستمهای نرمافزاری جاسوسی مشتریان است.
گزارش Recorded Future همچنین چندین نهاد جدید مرتبط با Intellexa را شناسایی کرده است، از جمله برخی که به خوشه (cluster) چچنی کنسرسیوم و یکی در فیلیپین مرتبط هستند.
استفاده از Predator در قزاقستان
گزارش Recorded Future همچنین تأیید کرد که قزاقستان حداقل تا اوت 2025 به استفاده از نرمافزار جاسوسی Predator ادامه داده است. این یافتهها با توجه به اینکه قبلاً هک غیرقانونی دست کم چهار فعال جوان قزاقستانی توسط نرمافزار جاسوسی Pegasus در سال 2021 مستند شده بود، اهمیت ویژهای دارد.
بر اساس تجزیه و تحلیل زیرساخت، گروه Insikt از Recorded Future ارزیابی کرد که قزاقستان حداقل تا اوت 2025 به استفاده از نرمافزار جاسوسی Predator ادامه داده است. این گزارش همچنین چندین نهاد جدید مرتبط با Intellexa را کشف کرد، از جمله برخی که به خوشه چچنی کنسرسیوم و یکی در فیلیپین مرتبط هستند.
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.