Citrox

Empresa de software espía

Cytrox es una empresa fundada en 2017 que fabrica malware que se utiliza para ciberataques y vigilancia encubierta. Su software espía Predator se utilizó para atacar al político egipcio Ayman Nour en 2021 y para espiar 92 teléfonos pertenecientes a empresarios, periodistas, políticos, ministros del gobierno y sus asociados en Grecia. En 2023, el Departamento de Comercio de EE. UU. agregó las empresas Cytrox, Cytrox AD en Macedonia del Norte y Cytrox Holdings Crt en Hungría, a su Lista de Entidades y el 5 de marzo de 2024, el Departamento del Tesoro de EE. UU. impuso sanciones a Cytrox AD de Macedonia del Norte y al Consorcio Intellexa, que es la empresa matriz de Cytrox AD, "por traficar con exploits cibernéticos utilizados para obtener acceso a sistemas de información, amenazando la privacidad y la seguridad de personas y organizaciones en todo el mundo". ^{[1] [2] [3]}

Historia

Cytrox se estableció en 2017, según se informa como una startup en Macedonia del Norte y recibió financiación inicial de Israel Aerospace Industries. ^[4] Su artículo de Crunchbase lo describe como un proveedor de una "solución cibernética operativa" para los gobiernos, que incluye la recopilación de información de dispositivos y servicios en la nube. ^[5] El director ejecutivo de Cytrox es Ivo Malinkovski. ^{[5] [6]} Una revisión de los documentos de registro corporativo por parte del Citizen Lab de la Universidad de Toronto indicó que Cytrox tiene presencia en Israel y Hungría. ^[5]

En 2019, Forbes informó que Cytrox fue rescatada por Tal Dilian , un ex comandante de las Fuerzas de Defensa de Israel (FDI), quien adquirió la empresa por menos de $ 5 millones. ^[7] Dilian sirvió en las FDI durante 25 años antes de su partida, luego de acusaciones de que se había enriquecido ilegalmente. ^[8] Dilian demostró el kit de vigilancia de la empresa a Forbes pirateando un dispositivo Huawei y obteniendo sus mensajes de WhatsApp sin clics de la víctima. ^{[7] [8]}

En 2021, Citizen Lab afirmó que Cytrox formaba parte de una alianza conocida como Intellexa, a la que denominó "una etiqueta de marketing para una gama de proveedores de vigilancia mercenaria que surgieron en 2019" . ^{[5] [9]} Dilian fundó el Grupo Intellexa en 2018; la Alianza Intellexa combina el Grupo Intellexa y Nexa, un grupo de empresas de vigilancia que opera principalmente en Francia. ^[10]

En diciembre de 2021, Meta Platforms anunció que a Cytrox y a otros seis grupos de vigilancia a sueldo se les había prohibido utilizar sus plataformas para atacar a otros usuarios, en respuesta a los hallazgos de Citizen Lab sobre el uso del software espía Predator de Cytrox para atacar a dos disidentes egipcios en junio. Meta también anunció que había eliminado más de 1.500 cuentas de Facebook e Instagram asociadas con las siete empresas, que, según dijo, se utilizaban para realizar ingeniería social , reconocimiento y envío de enlaces maliciosos a víctimas en más de 100 países. ^{[11] [6]}

En julio de 2023, el Departamento de Comercio de EE. UU. agregó las empresas Cytrox, Cytrox AD en Macedonia del Norte y Cytrox Holdings Crt en Hungría, a su Lista de entidades , después de determinar que representaban una amenaza para la seguridad nacional y los intereses de política exterior de EE. UU. ^{[12] [13] [14] [15]}

Depredador

Predator es un software espía desarrollado por Cytrox que ataca los sistemas operativos Android e iOS . ^[9] En mayo de 2022, los investigadores del Grupo de Análisis de Amenazas (TAG) de Google informaron que Predator agrupaba cinco exploits de día cero en un solo paquete y lo vendió a varios actores respaldados por el gobierno, quienes lo usaron en tres campañas separadas. Según los investigadores, Predator trabajaba en estrecha colaboración con un componente llamado Alien, que "vive dentro de múltiples procesos privilegiados y recibe comandos de Predator". ^{[16] [9]}

Un análisis del spyware realizado por Cisco Talos en mayo de 2023 reveló que el componente Alien del spyware implementa activamente la funcionalidad de bajo nivel requerida por Predator para vigilar a sus objetivos, en lugar de simplemente actuar como un cargador para Predator como se entendía anteriormente. En la muestra de Talos, Alien explotó cinco vulnerabilidades, cuatro de las cuales afectaron a Google Chrome y la última a Linux y Android, para infectar los dispositivos objetivo. ^{[17] [9]} Después de infectar un dispositivo, Predator tiene acceso completo a su micrófono, cámara y datos del usuario, como contactos y mensajes de texto. ^{[18] [19]} Además, Predator tiene acceso a los servicios de ubicación de un dispositivo y aplicaciones de mensajería como WhatsApp, Telegram y Signal . También permite a los piratas informáticos interceptar y falsificar mensajes. ^[19]

Una investigación de octubre de 2023 realizada por organizaciones de noticias lideradas por la red European Investigative Collaborations , conocida como Predator Files, descubrió que Predator se había vendido a al menos 25 países, incluidos Austria, Alemania, Suiza, la República Democrática del Congo, Jordania, Kenia, Omán, Pakistán, Qatar, Singapur, los Emiratos Árabes Unidos y Vietnam. ^[18] Según se informa, también se vendió a las Fuerzas de Apoyo Rápido en Sudán . ^{[20] [21]}

En marzo de 2024, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos nombró a varias personas y entidades jurídicas asociadas con el Consorcio Intellexa por su participación en el desarrollo, operación y distribución de software espía comercial. Según la OFAC, el Consorcio Intellexa actuaba como marca de marketing para numerosas empresas cibernéticas maliciosas, lo que permitía una vigilancia masiva y dirigida mediante el suministro de software espía comercial y herramientas de vigilancia incluidas en la suite de software espía Predator. ^[22]

En septiembre de 2024, el Tesoro de Estados Unidos anunció cinco nuevos objetivos de sanciones, incluidos altos ejecutivos y asociados de Intellexa. Se alega que los objetivos de las sanciones estuvieron involucrados en la venta de "Predator" a gobiernos autoritarios: ^[23]
– Felix Bitzios, propietario de una empresa del consorcio Intellexa que presuntamente vendió Predator a un gobierno extranjero anónimo;
– Merom Harpaz y Panagiota Karaoli, nombrados por el Tesoro como altos ejecutivos de Intellexa;
– Andrea Nicola Constantino Hermes Gambazzi, quien según el Tesoro procesó transacciones para empresas dentro del consorcio Intellexa;
– Aliada Group, una empresa con sede en las Islas Vírgenes Británicas y miembro del grupo Intellexa, presuntamente permitió decenas de millones de dólares en transacciones para el consorcio.

Objetivos de alto perfil

Egipto

En diciembre de 2021, Citizen Lab informó que Predator se utilizó para hackear los dispositivos de dos personas, el político opositor egipcio Ayman Nour y un periodista exiliado anónimo, en junio. ^{[5] [6] [9]} Como resultado, Apple se vio obligada a lanzar una actualización de software para iOS para cerrar los exploits de día cero utilizados para realizar el ataque. ^[24]

En septiembre de 2023, los investigadores del Citizen Lab y del TAG informaron que el político opositor egipcio Ahmed Tantawi fue atacado con Predator después de anunciar su candidatura presidencial. El Citizen Lab dijo que el intento probablemente fracasó debido a que Tantawi tenía su teléfono en "modo de bloqueo", que es recomendado por Apple para los usuarios de iPhone con alto riesgo. ^{[25] [26] [27]} También dijo que tenía " alta confianza " en que el ataque fue realizado por el gobierno egipcio. ^[26] Posteriormente, Apple emitió actualizaciones de seguridad para parchear las vulnerabilidades explotadas por Predator. ^{[26] [27]}

Grecia

Durante el escándalo de escuchas telefónicas griegas de 2022 , se reveló que Predator se estaba utilizando para vigilar a varios políticos (incluido el político de la oposición Nikos Androulakis ) y periodistas, y que el gobierno griego estaría implicado en la compra y utilización de Predator. ^{[28] [29]} El gobierno griego admitió haber espiado al periodista Thanasis Koukakis, pero negó haber utilizado Predator o mantener alguna asociación con Intellexa. ^[30] En octubre de 2022, Koukakis demandó a Intellexa y a su ejecutivo por violación de la privacidad . ^{[31] [30]}

En marzo de 2023, The New York Times informó que Artemis Seaford, ciudadana estadounidense y griega y exgerente de políticas de seguridad en Meta, tuvo su teléfono infectado con Predator mientras estaba en Grecia. ^{[32] [33]}

En julio de 2023, el equipo de investigación de la Autoridad de Protección de Datos de Grecia anunció que había encontrado 220 mensajes de texto que contenían un enlace contaminado con Predator y que habían sido enviados a 92 números de teléfono para convertirlos en dispositivos de espionaje. El sitio web de noticias Inside Story publicó el contenido de muchos de ellos, ^{[34] [35]} que habían sido enviados en su mayoría en 2021. Entre sus destinatarios se encontraban muchos políticos, ministros y sus asociados, incluidos asociados del Primer Ministro (por ejemplo , Dimitris Avramopoulos , Giorgos Patoulis , Giorgos Gerapetritis , Kostis Hatzidakis , Thanos Plevris , Michalis Chrysochoidis , Adonis Georgiadis , Nikos Dendias , Christos Spirtzis ), empresarios (por ejemplo, Theodoros Karipidis  [el] ), periodistas, cuadros del EYP, al menos un obispo y el editor del periódico Kathimerini , Alexis Papachelas. Estos nombres habían sido incluidos en una lista de personas presuntamente espiadas por EYP y Predator, que había sido publicada en noviembre de 2022 por el periódico Documento . ^[35]

Estados Unidos

En octubre de 2023, varios legisladores estadounidenses fueron atacados por Vietnam utilizando Predator, incluido el representante Michael McCaul (R-TX) y los senadores John Hoeven (R-ND), Chris Murphy (D-CT) y Gary Peters (D-MI). ^[36] Expertos en Asia en varios think tanks y varios periodistas, incluido el principal reportero de seguridad nacional de CNN , Jim Sciutto , también fueron atacados. ^[37]

Sanciones

El Secretario de Estado de los Estados Unidos, Antony Blinken, en una foto familiar con los firmantes de la Declaración Conjunta sobre Software Espía Comercial en Seúl, República de Corea, el 18 de marzo de 2024

El 5 de marzo de 2024, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos impuso sanciones contra cinco entidades y dos personas que describió como facilitadores clave del Consorcio Intellexa y el software espía Predator al colocarlos en la Lista de Nacionales Especialmente Designados (SDN) de la OFAC : ^{[3] [38]}

• el Consorcio Intellexa;
• su fundador Tal Jonathan Dilian , ^[a] a quien el Tesoro describió como el arquitecto detrás de sus herramientas de spyware;
• Sara Aleksandra Fayssal Hamou, especialista en filiales corporativas del Consorcio Intellexa; ^[b]
• la empresa Intellexa SA, con sede en Grecia;
• Cytrox Holdings Zartkoruen Mukodo Reszvenytarsasag (Cytrox Holdings ZRT), con sede en Hungría, que el Tesoro describió como la empresa que originalmente desarrolló Predator antes de que el consorcio trasladara su producción de software a Cytrox AD de Macedonia del Norte;
• Intellexa Limited, con sede en Irlanda;
• Thalestris Limited, con sede en Irlanda;
• y Cytrox AD, con sede en Macedonia del Norte.

Véase también

• Pegaso
• Grupo NSO

Notas

1. Tal Dilian sirvió en las Fuerzas de Defensa de Israel (FDI) como oficial de inteligencia y alcanzó el rango de general. En agosto de 2019, su fortuna se estimaba en más de 12 mil millones de dólares. Utiliza Chipre como base para sus actividades de vigilancia. ^{[7] [38] [39] [40]}
2. Sara Aleksandra Fayssal Hamou nació en Varsovia de madre polaca y padre libanés, estudió derecho en Inglaterra, se unió a Trident Trust en diciembre de 2008, está estrechamente asociada con DJC Accountants of Cyprus y supuestamente estableció numerosas entidades en apoyo de los intereses de Tal Dilian utilizando Chipre como centro. Trident Trust supuestamente apoya a miembros del círculo íntimo de Vladimir Putin . Sara Hamou es la ex esposa de Tal Dilian y su socia comercial y es una abogada con sede en Chipre que supuestamente ha implementado numerosos proyectos de vigilancia en Asia, África, Oriente Medio y Europa. ^{[38] [40] [41]}

Referencias

1. "El Departamento de Comercio agrega cuatro entidades a la lista de entidades que trafican con exploits cibernéticos". Oficina de Industria y Seguridad del Departamento de Comercio de los Estados Unidos (bis.doc.gov). 18 de julio de 2023. Archivado desde el original el 7 de marzo de 2024 . Consultado el 6 de marzo de 2024 .
2. Benjakob, Omer. "Estados Unidos incluye en la lista negra a empresas de armas cibernéticas de propiedad israelí". Haaretz . Archivado desde el original el 2 de agosto de 2023. Consultado el 1 de octubre de 2023 .
3. "El Tesoro sanciona a miembros del consorcio de software espía comercial Intellexa". Departamento del Tesoro de los Estados Unidos (treasury.gov). 5 de marzo de 2024. Archivado desde el original el 7 de marzo de 2024 . Consultado el 7 de marzo de 2024 .
4. Benjakob, Omer. «Cómo Israel invirtió en software espía en el centro del escándalo griego y la investigación de la UE». Haaretz . Archivado desde el original el 19 de julio de 2023. Consultado el 1 de octubre de 2023 .
5. Marczak, Bill; Scott-Railton, John; Razzak, Bahr Abdul; Al-Jizawi, Noura; Anstis, Siena; Berdan, Kristin; Deibert, Ron (16 de diciembre de 2021). Pegasus vs. Predator: el iPhone doblemente infectado de Dissident revela el software espía mercenario Cytrox (informe). Universidad de Toronto. Archivado desde el original el 25 de septiembre de 2023. Consultado el 25 de septiembre de 2023 .
6. Whittaker, Zack (16 de diciembre de 2021). «Un nuevo programa espía contratado, Predator, fue descubierto hackeando teléfonos de políticos y periodistas». TechCrunch . Archivado desde el original el 25 de septiembre de 2023 . Consultado el 25 de septiembre de 2023 .
7. Brewster, Thomas (5 de agosto de 2019). "Un comerciante de vigilancia multimillonario sale de las sombras... y de su furgoneta de 9 millones de dólares para hackear WhatsApp". Forbes . Archivado desde el original el 25 de septiembre de 2023 . Consultado el 25 de septiembre de 2023 .
8. Becker, Sven; Buschmann, Rafael; Hoppenstedt, Max; Naber, Nicola; Rosenbach, Marcel (5 de octubre de 2023). «Los archivos de los depredadores: déspotas y dictadores suministrados por el consorcio europeo de software espía». Der Spiegel . ISSN  2195-1349. Archivado desde el original el 11 de octubre de 2023. Consultado el 11 de octubre de 2023 .
9. Goodin, Dan (26 de mayo de 2023). «Revelan el funcionamiento interno de «Predator», el malware para Android que explotó 5 vulnerabilidades de día cero». Ars Technica . Archivado desde el original el 25 de septiembre de 2023 . Consultado el 25 de septiembre de 2023 .
10. Starks, Tim (6 de octubre de 2023). «Análisis | Conozca los 'Predator Files', el último proyecto de investigación sobre software espía». Washington Post . ISSN  0190-8286 . Consultado el 6 de octubre de 2023 .
11. Agranovich, David; Dvilyanski, Mike (16 de diciembre de 2021). «Tomando medidas contra la industria de la vigilancia por encargo». Meta . Archivado desde el original el 24 de septiembre de 2023 . Consultado el 25 de septiembre de 2023 .
12. DiMolfetta, David; Gregg, Aaron (18 de julio de 2023). «Estados Unidos incluye en la lista negra a empresas de software espía, citando amenazas a la seguridad». Washington Post . ISSN  0190-8286. Archivado desde el original el 21 de julio de 2023. Consultado el 23 de septiembre de 2023 .
13. Paganini, Pierluigi (19 de julio de 2023). «El gobierno de Estados Unidos incluye a las empresas de vigilancia Cytrox e Intellexa en la lista de entidades por tráfico de exploits cibernéticos». Security Affairs . Archivado desde el original el 30 de septiembre de 2023. Consultado el 23 de septiembre de 2023 .
14. "Estados Unidos agrega empresas extranjeras a la lista de entidades por actividades cibernéticas maliciosas". Departamento de Estado de los Estados Unidos . Archivado desde el original el 23 de septiembre de 2023. Consultado el 23 de septiembre de 2023 .
15. "La Oficina de Industria y Seguridad (BIS) del Departamento de Comercio agregó cuatro entidades, Intellexa SA en Grecia, Cytrox Holdings Crt en Hungría, Intellexa Limited en Irlanda y Cytrox AD en Macedonia del Norte a la Lista de entidades por tráfico de vulnerabilidades cibernéticas utilizadas para obtener acceso a sistemas de información, lo que amenaza la privacidad y seguridad de personas y organizaciones en todo el mundo". Archivado desde el original el 6 de abril de 2024 . Consultado el 6 de abril de 2024 .
16. Lecigne, Clement; Resell, Christian (19 de mayo de 2022). «Protección de los usuarios de Android frente a ataques de día cero». Google . Archivado desde el original el 26 de septiembre de 2023 . Consultado el 26 de septiembre de 2023 .
17. "Mercenary mayhem: A technical analysis of Intellexa's PREDATOR spyware". Cisco Talos . 25 de mayo de 2023. Archivado desde el original el 26 de septiembre de 2023. Consultado el 26 de septiembre de 2023 .
18. «Global: El escándalo del software espía 'Predator Files' revela un ataque descarado contra la sociedad civil, políticos y funcionarios». Amnistía Internacional . 9 de octubre de 2023. Archivado desde el original el 12 de octubre de 2023. Consultado el 11 de octubre de 2023 .
19. Jikhareva, Anna; Jirat, Jan; Kormann, Judith; Naegeli, Lorenz; Surber, Kaspar (4 de octubre de 2023). "Permanente Überwachung: Der Spion in der Hosentasche" [Vigilancia permanente: El espía en tu bolsillo]. WOZ Die Wochenzeitung (en alemán). Archivado desde el original el 3 de enero de 2024 . Consultado el 6 de octubre de 2023 .
20. Schat, Julien (1 de diciembre de 2022). "Europäische Überwachungsexporte: Intellexa believeert sudanesische Paramilitärs". netzpolitik.org (en alemán) . Consultado el 15 de junio de 2024 .
21. "El vuelo del depredador". Lighthouse Reports . Consultado el 15 de junio de 2024 .
22. https://home.treasury.gov/news/press-releases/jy2155
23. https://techcrunch.com/2024/09/16/us-government-expands-sanctions-against-spyware-maker-intellexa
24. "Exploits de iOS rastreados hasta el software espía israelí 'Predator' utilizado contra un político egipcio". PCMag UK . 22 de septiembre de 2023. Archivado desde el original el 23 de septiembre de 2023 . Consultado el 23 de septiembre de 2023 .
25. Attalah, Lina (14 de septiembre de 2023). «El aspirante a candidato presidencial Ahmed Tantawi es blanco del software espía Predator». Mada Masr . Archivado desde el original el 4 de octubre de 2023. Consultado el 22 de septiembre de 2023 .
26. Bajak, Frank (23 de septiembre de 2023). «Investigadores descubren que un importante político de la oposición egipcia fue blanco de un programa espía». Associated Press . Archivado desde el original el 26 de septiembre de 2023. Consultado el 26 de septiembre de 2023 .
27. "El principal candidato presidencial de la oposición egipcia es blanco de software espía". Al Jazeera . 24 de septiembre de 2023. Archivado desde el original el 5 de octubre de 2023 . Consultado el 26 de septiembre de 2023 .
28. Stamouli, Nektaria (5 de noviembre de 2022). «El escándalo del software espía en Grecia se expande aún más». Politico . Archivado desde el original el 27 de septiembre de 2023. Consultado el 26 de septiembre de 2023 .
29. Lavelle, Moira (17 de noviembre de 2022). «Los periodistas descubren más vínculos entre el gobierno griego y el software espía». Al Jazeera . Archivado desde el original el 27 de septiembre de 2023. Consultado el 26 de septiembre de 2023 .
30. Ropek, Lucas (6 de octubre de 2022). "Periodista demanda a empresa de software espía por presuntamente ayudar al gobierno a vigilarlo". Gizmodo . Archivado desde el original el 27 de abril de 2023 . Consultado el 27 de abril de 2023 .
31. Benjakob, Omer (6 de octubre de 2022). "Acusaciones criminales contra software espía vinculado a Israel y excomandante de inteligencia en escándalo de piratería informática griega". Haaretz . Archivado desde el original el 2 de agosto de 2023. Consultado el 27 de septiembre de 2023 .
32. Stevis-Gridneff, Matina (20 de marzo de 2023). «Meta Manager fue hackeado con software espía y interceptado en Grecia». The New York Times . ISSN  0362-4331. Archivado desde el original el 22 de septiembre de 2023. Consultado el 27 de septiembre de 2023 .
33. Roth, Emma (21 de marzo de 2023). «Según se informa, la agencia de inteligencia griega ha pirateado el gestor de seguridad de Meta». The Verge . Archivado desde el original el 6 de junio de 2023. Consultado el 27 de septiembre de 2023 .
34. Γιάννης Σουλιώτης (28 de julio de 2023). "Παρακολουθήσεις: Τα 92 πρόσωπα που δέχθηκαν επίθεση Predator". Η Καθημερινή . Archivado desde el original el 17 de agosto de 2023 . Consultado el 17 de agosto de 2023 .
35. Ελίζα Τριανταφύλλου, Τάσος Τέλλογλου (27 de julio de 2023). "Predatorgate: Τι έγραφαν τα SMS-παγίδα που έλαβαν επιχειρηματίες, υπουργοί και φοι". Historia interior. Archivado del original el 17 de agosto de 2023. Consultado el 17 de agosto de 2023 .
36. Shapero, Julia (9 de octubre de 2023). «Agentes de Vietnam intentaron instalar software espía en teléfonos de legisladores y periodistas estadounidenses: investigación». The Hill . Archivado desde el original el 10 de octubre de 2023. Consultado el 9 de octubre de 2023 .
37. Greenberg, Andy (14 de octubre de 2023). «El Congreso de Estados Unidos fue blanco de un software espía depredador». Wired . ISSN  1059-1028. Archivado desde el original el 15 de octubre de 2023 . Consultado el 15 de octubre de 2023 .
38. Kenner, David (15 de noviembre de 2023). «El espía, el abogado y su imperio de vigilancia global: cómo un capo israelí de la cibervigilancia y su exesposa abogada explotaron las lagunas legales chipriotas para construir una de las empresas de software espía más notorias del mundo». ICIJ . Archivado desde el original el 7 de marzo de 2024 . Consultado el 7 de marzo de 2024 .
39. Mazzetti, Mark (18 de julio de 2023). «Estados Unidos incluye en la lista negra a dos empresas de software espía dirigidas por un exgeneral israelí: las medidas del Departamento de Comercio contra las empresas con sede en Europa son el último esfuerzo por frenar una industria de software espía que se ha salido de control en los últimos años». New York Times . Archivado desde el original el 18 de julio de 2023 . Consultado el 7 de marzo de 2024 .
40. Kenner, David; Sampson, Eve (6 de marzo de 2024). «La empresa de software espía Intellexa recibe sanciones de Estados Unidos tras la revelación de Cyprus Confidential: el Tesoro de Estados Unidos sancionó al grupo de cibervigilancia y a dos de sus principales líderes, Tal Dilian y Sara Hamou, por proliferar el uso de software espía en todo el mundo». ICIJ . Archivado desde el original el 7 de marzo de 2024. Consultado el 7 de marzo de 2024 .
41. "Trident Trust". ICIJ . Octubre de 2022. Archivado desde el original el 27 de octubre de 2022 . Consultado el 7 de marzo de 2024 .