Candiru (spionprogramföretag)

Candiru , idag känd som SAITO TECH är ett Tel Aviv -baserat teknikföretag som erbjuder övervaknings- och cyberspionageteknik till statliga kunder.

Candiru erbjuder cyberspionageverktyg som kan användas för att infiltrera datorer, servrar, mobila enheter och molnkonton . Dess specialitet verkar vara infiltration av datorer, särskilt de som kör Windows OS , även om företaget på senare år har börjat utveckla verktyg mot både iOS- och Android-enheter. En del ansträngningar har också lagts ner på att utveckla macOS attackverktyg.

Företaget har beskrivits som hemlighetsfullt, där Haaretz beskriver det som "ett av Israels mest mystiska cyberkrigföringsföretag". Den har ingen webbplats och kräver att anställda undertecknar sekretessavtal och inte avslöjar sin anställningsplats på LinkedIn . Företaget rekryterar kraftigt från IDF :s underrättelseenhet Unit 8200 .

Företaget är uppkallat efter candiru , en parasitfisk från Amazonas som är ökänd för sin apokryfiska förmåga att invadera och parasitera människans urinrör. Företaget använder också en siluett av candiru-fisken som sin logotyp. Företaget byter namn ofta (senast till Saito Tech) i ett försök att dölja dess existens.

Företagsprofil

Översikt

Candiru grundades av Eran Shorer och Yaakov Weizman 2014 som Candiru Ltd. Dess ordförande och största aktieägare är Isaac Zach, som också är en av grundarna av NSO Group . Dessutom var Candiru enligt uppgift ekonomiskt backad av Founders Group, som var medgrundad av Omri Lavie, som också är en av grundarna av NSO Groups. Candiru tros vara Israels näst största cyberspionageföretag efter NSO Group , och det har föreslagits att Candiru kan försöka gå samman med NSO Group.

Företaget har ofta flyttat sina kontor och – även om det fortfarande är känt under sitt ursprungliga namn Candiru – har det också genomgått flera ändringar av sitt registrerade namn (inklusive till Grindavik Solutions, LDF Associates, Taveta, DF Associates, Greenwick Solutions, Tabatha, och slutligen, Saito Tech (nuvarande registrerat namn)). ^{[ förtydligande behövs ]}

Företagshistoria

Candiru grundades av Eran Shorer och Yaakov Weizman 2014 som Candiru Ltd.

Enligt information från domstolshandlingar om en stämningsansökan mot Candiru av en tidigare ledande anställd hade företaget 12 anställda i slutet av 2015, 70 anställda i slutet av 2018 och hade sedan dess vuxit till 150 anställda. Under det första året efter grundandet hade företaget inga kunder, men i början av 2016 hade företaget ett antal affärer i framskridet skede med kunder från Europa, fd Sovjetunionen, Persiska viken, Asien och Latinamerika. Enligt käranden tjänade företaget 10 miljoner dollar i försäljning 2016 och nästan 30 miljoner dollar 2017, även om siffrorna verkar hänvisa till fleråriga affärer. I en annan del av rättegången indikerar käranden att företagets intäkter för 2018 var värda cirka 20 miljoner dollar. Ett dokument som bifogats stämningsansökan tyder på att företaget höll i förhandlingar med potentiella kunder från över 60 länder till ett totalt värde av 367 miljoner dollar. Enligt information från stämningsansökan som den tilltalade (Candiru) lämnade till domstolen, samarbetar företaget med mellanhänder i målländer som hjälper till att slutföra affärerna och tjänar 15 % i provision för sina tjänster. Enligt käranden beslutade Candirus högsta ledning att påbörja utvecklingen av spionprogram för mobiltelefoner 2017, men försäljningen och marknadsföringen av telefonspionprogram stoppades av företagets ordförande i början av 2018. Som svarande klagade Candiru över att käranden hade avslöjat hemlighet säkerhetsinformation i rättegången och yrkade att förhandlingarna skulle fortsätta som slutna förhandlingar och att uppgifter om förhandlingarna skulle döljas för allmänheten.

Enligt rapporter från januari 2019 troddes Candiru sysselsätta 120 personer och ha genererat en årlig försäljning på 30 miljoner dollar, vilket skulle göra det till Israels näst största cyberspionageföretag.

Enligt rapporter från december 2019 var Candirus börsvärde 90 miljoner dollar (baserat på försäljningen av en 10-procentig andel i Candiru som såldes av riskkapitalisten Eli Wartman till Universal Motors för 9 miljoner dollar).

Candiru har enligt uppgift genomfört affärsförhandlingar med Singapore (rapporterad 2019) och Qatar (rapporterad 2020). Ett företag kopplat till Qatars suveräna förmögenhetsfond har investerat i Candiru.

Enligt en rapport i juli 2021 av CitizenLab har Candirus bedrifter kopplats till nationalstatliga skadliga attacker som observerats i Uzbekistan, Saudiarabien, Qatar, Singapore och Förenade Arabemiraten.

Cyberföretaget får uppsving från investerarna i Qatar, eftersom flera investeringsfonder med anknytning till Qatar Investment Authority tog en andel i spionprogramföretaget Candiru.

Candiru har minst ett dotterbolag – Sokoto – som bildades i mars 2020.

var bolagets styrelsemedlemmar Shorer, Weitzman, Zach och en representant för Universal Motors Israel (som är aktieägare i Candiru). Enligt anmälningar 2021 var de största aktieägarna Shorer, Weitzman och Zach. Andra aktieägare var Universal Motors Israel LTD, ESOP management and trust services och Optas Industry Ltd.

Historia

2019 avslöjade en forskare vid Kaspersky Lab att Candiru spionprogram användes av Uzbekistans underrättelsetjänst. Driftsäkerheten förfaller som begåtts av den uzbekiska klienten när de testade verktygen mot olika antivirussystem (inklusive Kaspersky antivirus) tipsade forskarna. Forskarna identifierade den uzbekiska testdatorn och upptäckte en webbadress som den regelbundet ansluter till, som registrerades av den uzbekiska nationella säkerhetstjänsten. Resultaten gjorde det sedan möjligt för forskare att identifiera ytterligare två av Candirus kunder: Saudiarabien och Förenade Arabemiraten . Att spåra Candirus infiltrationstaktik gjorde det möjligt för cybersäkerhetsexperter att identifiera och fixa så många som åtta Windows zero-day exploits .

komprometterades den London-baserade publikationen Middle East Eye i två dagar och användes för att distribuera skadlig kod på besökarnas enheter . Så många som 20 organisationer – inklusive en iransk ambassad, italienska flygbolag och syriska och jemenitiska myndigheter – var måltavla. Attacken avslöjades av ESET , som knöt den skadliga koden som användes i attacken till Candiru.

Enligt resultaten av en gemensam undersökning av CitizenLab och Microsoft (rapport som släpptes i juli 2021) har Candiru använt falska webbadresser för att se ut som webbadresser till icke-statliga organisationer, aktivistgrupper, hälsoorganisationer och nyhetsmedieorganisationer för att fånga in mål. Undersökningen avslöjade över 750 domäner som verkade vara kopplade till Candiru. Bland skenwebbadresserna fanns sådana som verkade imitera en webbplats som publicerar israeliska domstolsanklagelser mot palestinska fångar, och en webbplats som är kritisk mot den saudiska kronprinsen Mohammed bin Salman . Resultaten visade att Candirus cyberspionageverktyg användes för att rikta in sig på det civila samhället. Microsoft identifierade minst 100 mål som inkluderade politiker, människorättsaktivister, journalister, akademiker, ambassadarbetare och politiska dissidenter. Microsoft identifierade mål i flera länder i Europa och Asien. Candirus system visade sig ha drivits från flera länder, inklusive (men inte begränsat till) Saudiarabien, Israel, Förenade Arabemiraten, Ungern och Indonesien. Utredningen inleddes efter att CitizenLab identifierat en dator som misstänks vara värd för en ihållande Candiru-infektion med hjälp av telemetridata. CitizenLab vände sig sedan till användaren av enheten – en politiskt aktiv individ i Västeuropa – för att få en bild av enhetens hårddisk.

I november 2021 lade USA:s handelsdepartement till Candiru (liksom NSO Group , den andra stora israeliska spionprogramsleverantören) till sin svarta lista för handel med spionprogram till utländska regeringar som sedan använde det i skadliga syften, vilket handelsdepartementet bedömde som kommersiella aktiviteter strider mot USA:s nationella säkerhet eller utrikespolitiska intressen. Det amerikanska handelsdepartementet skickade därefter till Candiru en lista med frågor om hur Candirus spionprogram fungerar.

I april 2022 publicerade CitizenLab en rapport där den avslöjade att fyra katalanska självständighetsförespråkare riktades mot Candiru-spionprogram som en del av en större kampanj för att spionera på förespråkare för katalansk självständighet ( CatalanGate ) som huvudsakligen genomfördes med Pegasus - spionprogram . Målen lockades att klicka på en länk i ett e-postmeddelande som skickades till dem, och deras persondatorer blev infekterade med Candiru-spionprogram när de klickade på länken. CitizenLab identifierade totalt sju sådana skadliga e-postmeddelanden; några av e-postmeddelandena verkade vara meddelanden från en spansk statlig institution med folkhälsorekommendationer i samband med 2019 års coronavirusepidemin .

Produkter och tjänster

Candiru erbjuder sina produkter och tjänster till statliga brottsbekämpande myndigheter och underrättelseorgan för att hjälpa till med övervakning, dataexfiltrering och stötande cyberoperationer. Det handlar endast om statliga kunder. Företaget uppger att det förbjuder distribution av sina produkter i USA, Israel, Ryssland, Kina eller Iran (även om Microsoft identifierade Candiru-mål i Israel och Iran).

Kandidatmålplattformar, infiltrationsmetoder och kapacitet

Candirus specialitet verkar vara spionprogram för datorer (särskilt för Windows-enheter, även om det också har utvecklat spionprogram för datorer som kör Apples MacOS). Den erbjuder också spionprogram för mobila plattformar, servrar och molnkonton . Candiru påstås erbjuda en rad målinfiltrationsmetoder, inklusive infiltration genom hyperlänkar, man-in-the-middle-attacker , beväpnade filer, fysisk attack och ett program som heter "Sherlock" (det är oklart vad programmet gör, men påstås att vara effektiv för Windows, iOS och Android, enligt Candiru). Företaget skulle enligt uppgift också designa nya anpassade spionprogram i fall där inget av verktygen i dess standardrepertoar lyckas infiltrera målet.

Enligt ett läckt företagsdokument publicerat 2020 kan företagets produkter användas för att infiltrera PC-datorer, nätverk, mobiltelefoner, är kompatibla med flera operativsystemmiljöer ("PC/Windows, iOX och Android"), kräver minimal målinteraktion för att uppnå infiltration, och är "tyst utplacerade" och "ospårbara". Det läckta dokumentet fortsätter med att säga att när spionprogrammet väl har distribuerats kan det exfiltrera data från den komprometterade enheten (inklusive data från sociala mediekonton, kommunikationsprogram/appar eller enhetens mikrofon eller kamera) och kan även identifiera och kartlägga nätverk som målet är ansluten till. Enligt ett marknadsföringsdokument från 2019 orsakar inte spionprogrammet något avbrott i målenheten.

Tjänster och priser

Enligt ett läckt Candiru-dokument erbjuder företaget olika tjänstepaket till kunder som varierar i pris beroende på antalet enheter som riktas mot och antalet länder där spionprogrammet är utplacerat mot mål (klienten erbjuds ett obegränsat antal implementeringsförsök) . Klienter debiteras också extra om de väljer att fånga webbläsarcookiedata eller data från appar (inklusive Twitter, Viber och Signal), eller om de vill få full kommando-och-kontroll åtkomst till målets enhet (som kan användas för att implantera inkriminerande material på enheterna). Grundpaketet kostade 16 miljoner euro och gjorde det möjligt för övervakning av 10 enheter, möjligheten att övervaka 15 ytterligare enheter och arbeta i ytterligare ett land kostade ytterligare 1,5 miljoner euro, möjligheten att övervaka 25 ytterligare enheter och bedriva spionage i ytterligare 5 länder kostar ytterligare 5,5 miljoner euro och fjärrstyrning av en enhet kostar ytterligare 1,5 miljoner euro, med exfiltrering av cookies eller appdata som kostar 200 000 euro eller – i fallet med Signal – 500 000 euro.

Exploaterade Candiru spionprogram sårbarhet exploater

Enligt resultaten från en gemensam utredning av CitizenLab och Microsoft (publicerad i juli 2021) använder Candiru falska webbplatser med webbadresser som är gjorda för att likna riktiga webbplatser för att hemligt infiltrera enheter, vilket potentiellt möjliggör beständig åtkomst till enheten (inklusive exfiltreringsmöjligheter). Microsofts hotintelligenscenter identifierade och korrigerade en Windows-sårbarhet som utnyttjades av Candiru spionprogram i juli 2021. Microsofts analys av spionprogrammet avslöjade att förutom att möjliggöra exfiltrering av filer, meddelanden och lösenord, gör spionprogrammet också att operatören kan skicka meddelanden från inloggade e-post och sociala mediekonton direkt från målets dator. Dessutom rapporterade CitizenLab att Candiru utnyttjade två sårbarheter i webbläsaren Google Chrome . Google kopplade också en Microsoft Office-exploat till Candiru.