Các chính phủ của Úc, Canada, Síp, Đan Mạch, Israel và Singapore được cho là các khách hàng tiềm năng của Paragon Solutions, một công ty phần mềm gián điệp của Israel, theo một báo cáo kỹ thuật mới của một phòng thí nghiệm bảo mật kỹ thuật số nổi tiếng.
Vào thứ Tư, Citizen Lab, một nhóm các học giả và nghiên cứu viên về bảo mật đặt tại Đại học Toronto đã điều tra ngành công nghiệp phần mềm gián điệp trong hơn mười năm, đã công bố một báo cáo về công ty giám sát có trụ sở tại Israel, xác định sáu chính phủ là "bài toán sử dụng Paragon bị nghi ngờ".
Vào cuối tháng 1, WhatsApp thông báo khoảng 90 người dùng mà công ty tin rằng đã bị nhắm mục tiêu bằng phần mềm gián điệp của Paragon, gây ra một vụ scandal tại Italy, nơi một số mục tiêu sống.
Paragon đã cố gắng phân biệt mình với đối thủ, như NSO Group - một công ty phần mềm gián điệp đã bị lạm dụng trong một số quốc gia - bằng cách tuyên bố mình là một nhà cung cấp phần mềm gián điệp có trách nhiệm hơn. Năm 2021, một người quản lý cấp cao không nêu tên của Paragon nói với Forbes rằng các chế độ độc tài hoặc không dân chủ sẽ không bao giờ là khách hàng của họ.
Đáp lại vụ scandal do các thông báo WhatsApp gây ra vào tháng 1, và có lẽ đó là một cố gắng để củng cố tuyên bố về việc là một nhà cung cấp phần mềm gián điệp có trách nhiệm, Chủ tịch điều hành của Paragon, John Fleming, nói với TechCrunch rằng công ty "cấp phép công nghệ của mình cho một nhóm chọn lọc các nước dân chủ toàn cầu - đặc biệt là Hoa Kỳ và các đồng minh của nó".
Các phương tiện truyền thông Israel thông báo vào cuối năm 2024 rằng công ty mạo hiểm vốn riêng AE Industrial Partners của Mỹ đã mua Paragon với ít nhất $500 triệu trước.
Trong báo cáo được công bố vào thứ Tư, Citizen Lab nói rằng họ đã thể hiện được cơ sở hạ tầng máy chủ sử dụng bởi Paragon cho công cụ gián điệp của họ, mà công ty mã hóa dưới tên mã Graphite, dựa trên "một gợi ý từ một cộng tác viên."
Bắt đầu từ gợi ý đó, và sau khi phát triển một số vân tay có khả năng xác định các máy chủ Paragon liên quan và chứng chỉ số, các nhà nghiên cứu của Citizen Lab đã tìm thấy một số địa chỉ IP được đặt tại các công ty viễn thông địa phương. Citizen Lab nói rằng họ tin rằng đây là các máy chủ thuộc sở hữu của khách hàng của Paragon, một phần dựa trên các chữ cái đầu tiên của các chứng chỉ, dường như phù hợp với tên các quốc gia mà các máy chủ đó được đặt.
Theo Citizen Lab, một trong những dấu vân tay được phát triển bởi các nhà nghiên cứu của họ dẫn đến một chứng chỉ số được đăng ký cho Graphite, trong những gì có vẻ như là một sai lầm hoạt động quan trọng của nhà sản xuất phần mềm gián điệp.
"Bằng chứng biến hình mạnh mẽ ủng hộ một liên kết giữa Paragon và cơ sở hạ tầng mà chúng tôi đã thể hiện," Citizen Lab viết trong báo cáo.
"Cơ sở hạ tầng mà chúng tôi tìm thấy được liên kết với các trang web có tiêu đề 'Paragon' được trả lại bởi các địa chỉ IP tại Israel (nơi Paragon đặt trụ sở), cũng như chứng chỉ TLS chứa tên tổ chức 'Graphite'," báo cáo nói.
Citizen Lab lưu ý rằng các nhà nghiên cứu của họ đã xác định một số mã bí danh khác, cho thấy các khách hàng tiềm năng khác của Paragon. Trong số các nước khách hàng bị nghi ngờ, Citizen Lab tập trung vào Cảnh sát Tuân thủ Ontario (OPP) của Canada, mà có vẻ là khách hàng của Paragon với một địa chỉ IP trực tiếp liên kết với OPP.
Liên hệ với chúng tôi
Bạn có thêm thông tin về Paragon và chiến dịch gián điệp này? Từ một thiết bị không phải làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal tại +1 917 257 1382, hoặc qua Telegram và Keybase @lorenzofb, hoặc email. Bạn cũng có thể liên hệ với TechCrunch qua SecureDrop.TechCrunch đã liên hệ với người phát ngôn của các chính phủ sau đây: Úc, Canada, Síp, Đan Mạch, Israel và Singapore. Không có đại diện nào trả lời yêu cầu của chúng tôi để có bình luận.
Jeffrey Del Guidice, người phát ngôn của OPP, không phủ nhận các kết luận của Citizen Lab. Thay vào đó, ông cho biết rằng “công bố thông tin về các kỹ thuật điều tra cụ thể và công nghệ có thể đe dọa các điều tra đang diễn ra và đe dọa an toàn của công chúng và cảnh sát.”
Khi được TechCrunch liên hệ, John Fleming của Paragon nói rằng Citizen Lab đã liên hệ với công ty và cung cấp "một lượng thông tin rất hạn chế, một số trong đó có vẻ như là không chính xác."
Fleming thêm: “Với số lượng thông tin hạn chế như vậy, chúng tôi không thể cung cấp bình luận trong thời gian này.” Fleming không phản hồi khi TechCrunch hỏi điều gì không chính xác về báo cáo của Citizen Lab, cũng như về việc các quốc gia được xác định bởi Citizen Lab có phải là khách hàng của Paragon không, hay tình trạng của mối quan hệ của công ty với khách hàng Italy của họ.
Citizen Lab lưu ý rằng tất cả những người đã nhận thông báo từ WhatsApp, sau đó liên hệ với tổ chức để cho phép kiểm tra điện thoại của họ, đều sử dụng điện thoại Android. Điều này giúp các nhà nghiên cứu xác định một "tác phẩm nghệ thuật pháp lý" bị bỏ quên bởi phần mềm gián điệp của Paragon, mà các nhà nghiên cứu gọi là "BIGPRETZEL."
Người phát ngôn của Meta Zade Alsawah nói với TechCrunch trong một tuyên bố cho biết công ty "có thể xác nhận rằng chúng tôi tin rằng chỉ số mà Citizen Lab đề cập là BIGPRETZEL liên quan đến Paragon."
“Chúng tôi đã thấy với tay cầm của mình làm thế nào phần mềm gián điệp thương mại có thể được vũ khi hóa để nhắm mục tiêu các nhà báo và xã hội dân sự, và những công ty này phải chịu trách nhiệm,” tuyên bố của Meta cho biết. “Đội ngũ bảo mật của chúng tôi liên tục làm việc để đi trước các mối đe dọa, và chúng tôi sẽ tiếp tục làm việc để bảo vệ khả năng giao tiếp riêng tư của mọi người.”
Vì điện thoại Android không luôn bảo tồn một số log thiết bị cụ thể, Citizen Lab lưu ý rằng có khả năng nhiều người hơn đã bị nhắm mục tiêu bởi phần mềm gián điệp Graphite, ngay cả khi không có bằng chứng về phần mềm gián điệp của Paragon trên điện thoại của họ. Và đối với những người được xác định là nạn nhân, không rõ liệu họ có bị nhắm mục tiêu vào những dịp trước hay không.
Citizen Lab cũng lưu ý rằng phần mềm gián điệp Graphite của Paragon nhắm mục tiêu và chiếm quyền kiểm soát đặc biệt các ứng dụng trên điện thoại - mà không cần bất kỳ tương tác nào từ phía mục tiêu - thay vì chiếm quyền kiểm soát toàn bộ hệ điều hành và dữ liệu của thiết bị. Trong trường hợp của Beppe Caccia, một trong số những nạn nhân tại Italy, người làm việc cho một tổ chức phi chính phủ giúp đỡ người di cư, Citizen Lab tìm thấy bằng chứng cho thấy phần mềm gián điệp đã xâm nhập vào hai ứng dụng khác trên thiết bị Android của ông, mà không đề cập tên của các ứng dụng.
Mục tiêu các ứng dụng cụ thể thay vì hệ điều hành của thiết bị, Citizen Lab lưu ý, có thể làm cho việc tìm bằng chứng về một cuộc tấn công gián điệp trở nên khó hơn cho nhà điều tra pháp y, nhưng có thể cung cấp cho nhà sản xuất ứng dụng cái nhìn rõ hơn về hoạt động của phần mềm gián điệp.
“Phần mềm gián điệp của Paragon khó xác định hơn so với đối thủ như [NSO Group’s] Pegasus, nhưng, cuối cùng, không có cuộc tấn công phần mềm gián điệp nào là 'hoàn hảo',” Bill Marczak, một nhà nghiên cứu cấp cao tại Citizen Lab, nói với TechCrunch. “Có lẽ các dấu vết đang ở các nơi khác so với chúng ta vẫn quen thuộc, nhưng với sự hợp tác và chia sẻ thông tin, ngay cả các trường hợp khó nhằn nhất cũng sẽ rơi rối.”
Citizen Lab cũng nói rằng họ đã phân tích iPhone của David Yambio, người làm việc rất gần với Caccia và những người khác tại tổ chức phi chính phủ của ông. Yambio nhận được một thông báo từ Apple về việc điện thoại của ông bị nhắm mục tiêu bởi phần mềm gián điệp lính đánh thuê, nhưng các nhà nghiên cứu không thể tìm thấy bằng chứng cho thấy ông bị nhắm mục tiêu bởi phần mềm gián điệp của Paragon.
Apple không phản hồi yêu cầu bình luận.
Câu chuyện này đã được cập nhật để bao gồm bình luận của OPP.
