Candiru (empresa de software espía)

Proveedor israelí de herramientas de ciberespionaje

Candiru es una empresa privada con sede en Tel Aviv fundada en 2014 que ofrece servicios de software espía y ciberespionaje ^{[1] [2] a clientes gubernamentales. [3]} Su gestión e inversores se superponen significativamente con los de NSO Group . ^[4] Sus operaciones comenzaron a ser descubiertas en 2019 por investigadores de CitizenLab, Kaspersky , ESET (entre otros). Microsoft se refiere a las operaciones de ciberespionaje de la empresa como "Caramel Tsunami/SOURGUM", mientras que Kaspersky se refiere a ellas como "SandCat" ^{[5] [6]}

Sus productos explotan vulnerabilidades de día cero en una variedad de sistemas operativos y navegadores web para implementar un implante de spyware persistente (bautizado "DevilsTongue" por Microsoft) para controlar de forma remota el dispositivo de la víctima. ^[5] Se dice que sus productos también son capaces de comprometer dispositivos Mac, Android y iPhone. Las víctimas suelen ser inducidas mediante ingeniería social a visitar sitios web maliciosos que instalan spyware a través de una cadena de exploits. Su modelo de negocio es similar al de un proveedor de servicios gestionados de ciberespionaje, que proporciona exploits, herramientas e infraestructura para clientes gubernamentales. ^{[7] [4] [8] [9]}

Tiene una presencia pública mínima, y ​​exige a sus empleados que firmen acuerdos de confidencialidad y sigan estrictas prácticas de seguridad operativa para ocultar su fuente de empleo. ^[4] Su nombre corporativo ha cambiado varias veces entre 2014 y 2020. ^[8]

Al igual que muchas empresas tecnológicas israelíes ^[10], recluta en gran medida a miembros de la Unidad 8200 , que se encarga de la inteligencia de señales y la guerra cibernética para el ejército israelí . ^[2] Su nombre y logotipo hacen referencia al pez parásito candirú , que tiene la capacidad (probablemente apócrifa) de implantarse en la uretra humana. ^{[2] [8]}

Historia corporativa

Candiru fue fundada en 2014 por Eran Shorer y Yaakov Weizman. ^{[4] [8]} El primer inversor de NSO Group, Isaac Zach, es su presidente . ^[4] Estos tres tienen una participación mayoritaria en la empresa. Según se informa, recibió inversión de "Founders Group", un sindicato de inversión ángel operado por los cofundadores de NSO Group, Omri Lavie y Shalev Hulio. ^[9] Según se informa, es la segunda empresa de ciberespionaje más grande de Israel después de NSO Group. ^{[2] [4]}

La empresa ha trasladado con frecuencia sus oficinas ^[4] y cambió su registro corporativo entre 2014 y 2020, más recientemente a "Saito Tech Ltd". ^{[1] [8] [4] [11]}

Los documentos judiciales públicos ^[4] relacionados con una demanda presentada por un ex empleado de alto rango indicaron que Candiru creció de 12 empleados en 2015 a 150 en 2018. Para 2016, había comenzado a cerrar acuerdos con clientes de Europa, Medio Oriente, Asia y América Latina. Recaudó $10 millones en 2016 y $20-$30 millones para 2018 con $367 millones en acuerdos pendientes con 60 gobiernos. Supuestamente utiliza intermediarios en el país durante las negociaciones. En 2017, Candiru supuestamente comenzó a desarrollar software espía para dispositivos móviles . Candiru solicitó al tribunal que sellara los documentos y celebrara audiencias a puerta cerrada, alegando la seguridad nacional como justificación. ^[4]

En 2019, Candiru fue valorada en 90 millones de dólares con base en la venta de una participación del 10% del capitalista de riesgo Eli Wartman a Universal Motors de Israel. ^[4] Según se informa, el fondo soberano de riqueza de Qatar ha invertido en Candiru. ^{[8] [12]} En 2020, Candiru incorporó una subsidiaria llamada "Sokoto". ^[8]

En 2020, su junta directiva estaba compuesta por el equipo fundador Eran Shorer, Yaakov Weitzman, el presidente/inversor Isaac Zach y un representante de Universal Motors Israel. En sus presentaciones de 2021 figuraban los accionistas minoritarios Universal Motors Israel, ESOP Management and Trust Services (gestor de programas de acciones corporativas) y Optas Industry Ltd (un representante del fondo soberano de riqueza de Qatar). ^[8]

Historial operativo

Vice informó en 2019 ^[7] que Kaspersky Lab había identificado el software espía Candiru en uso por el Servicio de Seguridad del Estado de Uzbekistán . Según se informa, la agencia de inteligencia utilizó el software antivirus de Kaspersky para probar si el software espía sería detectado y configuró un dominio oficial ("itt.uz") para las comunicaciones de red del software espía. Este descubrimiento permitió a Kaspersky identificar otras agencias de inteligencia que utilizan el software espía Candiru, como Arabia Saudita y los Emiratos Árabes Unidos . ^[9]

En abril de 2021, ESET identificó una campaña de espionaje, posiblemente perpetrada por la inteligencia de Arabia Saudita, que utilizó el software espía Candiru para comprometer el medio de noticias Middle East Eye a través de un ataque a un abrevadero . Otros objetivos de esta campaña incluyeron una embajada iraní, empresas aeroespaciales italianas y el gobierno sirio y yemení . ^[13]

En julio de 2021, CitizenLab y Microsoft informaron ^[8] sobre el uso generalizado del software espía Candiru por parte de varios clientes gubernamentales para comprometer al menos a 100 víctimas en todo el mundo de la sociedad civil, incluidos políticos, activistas de derechos humanos, periodistas, académicos, trabajadores de embajadas y disidentes. Se identificó una infraestructura de control de software espía en Arabia Saudita, Israel, Emiratos Árabes Unidos, Hungría e Indonesia . La ingeniería social altamente dirigida engañó a las víctimas para que visitaran sitios web maliciosos con el pretexto de contenido relevante. ^{[1] [3]}

El centro de inteligencia de amenazas de Microsoft identificó y parchó una vulnerabilidad de Windows explotada por el software espía Candiru ^[1] en julio de 2021. ^[3] El análisis de Microsoft del software espía reveló que, además de permitir la exfiltración de archivos, mensajes y contraseñas, el software espía también permite al operador enviar mensajes desde cuentas de correo electrónico y redes sociales registradas directamente desde la computadora del objetivo. ^[8] Además, CitizenLab informó que Candiru explotó dos vulnerabilidades en el navegador Google Chrome . ^[3] Google también vinculó un exploit de Microsoft Office a Candiru. ^[8]

En noviembre de 2021, el Departamento de Comercio de los Estados Unidos agregó a Candiru y NSO Group a su lista de entidades sancionadas por suministrar software espía a gobiernos extranjeros hostiles. ^{[14] [15]}

En abril de 2022, CitizenLab informó que miembros del movimiento independentista catalán habían sido infectados con el software espía Candiru como parte de una operación de vigilancia interna autorizada por el gobierno español ^{[16] contra funcionarios electos y activistas. El software espía} Pegasus de NSO Group también se utilizó ampliamente en esta operación. Las investigaciones de Amnistía Internacional y las protestas públicas condujeron al CatalanGate y al reconocimiento oficial por parte del gobierno español. Las víctimas recibieron correos electrónicos que aprovechaban la ingeniería social para convencerlas de que visitaran una URL maliciosa, que instalaba de forma encubierta el software espía a través de exploits del navegador y del sistema operativo. Estos correos electrónicos se basaban en pretextos creíbles, como avisos sanitarios oficiales durante la epidemia de COVID . ^[17]

Productos y servicios

Candiru supuestamente ^[3] vende exclusivamente a agencias de seguridad pública y agencias de inteligencia. Parece actuar como " intermediario " o " proveedor de servicios gestionados ", proporcionando mecanismos de entrega, infraestructura de control remoto, herramientas de software espía y vulnerabilidades de software. Los clientes parecen ser responsables de la selección de objetivos, la logística y la seguridad operativa. ^[7] Según se informa, Candiru ha proporcionado vulnerabilidades para muchas vulnerabilidades de día cero a los clientes, que han sido parcheadas por las empresas de software pertinentes después de ser descubiertas. ^{[4] [8]} En al menos un caso, la mala seguridad operativa de un cliente (Ubeki Intelligence) dio lugar a múltiples vulnerabilidades de día cero y a la "quema" de la infraestructura de red. ^[7]

La empresa afirma que no se permiten clientes dentro de los Estados Unidos, Israel, Rusia, China e Irán. ^[4] Los investigadores, incluidos CitizenLab y Microsoft, han identificado víctimas del software espía Candiru en Israel e Irán, y víctimas potenciales en Rusia. ^{[1] [8]}

Los documentos y contratos filtrados muestran que Candiru ofrece una variedad de métodos de distribución de exploits, incluidos exploits drive-by , manipulación de datos de red , documentos maliciosos e intrusión física. Parece ser capaz de desarrollar nuevas herramientas según sea necesario y tiene acceso a exploits para vulnerabilidades de día cero. Después de comprometer el dispositivo, se instala un implante de spyware persistente (bautizado "DevilsTongue" por Microsoft) para controlar de forma remota el dispositivo de la víctima. ^[5] Se pueden capturar datos de redes sociales, cookies del navegador y mensajes de SMS, Viber, WhatsApp y Signal. También se puede capturar la cámara y el micrófono del dispositivo. ^{[1] [2] [8]}

Los servicios tienen un precio de decenas de millones de dólares en función de la cantidad de dispositivos afectados y los países afectados. Los servicios adicionales incluyen acceso a datos adicionales de la víctima y control remoto completo del dispositivo. Un complemento multimillonario llamado "Sherlock" (probablemente un exploit de día cero para navegadores web que afecta a varios sistemas operativos) pretende brindar acceso a dispositivos Windows, Android e iOS. ^{[8] [3]}

Referencias

1. «Firma israelí de software espía vinculada a sitios web falsos de Black Lives Matter y Amnistía – informe». the guardian . 2021-07-15 . Consultado el 2021-07-19 .
2. "Se revela una empresa israelí de alto secreto que lleva a cabo ciberataques". Haaretz . Consultado el 19 de julio de 2021 .
3. «Candiru de Israel vendió software espía a los estados para hackear a periodistas y disidentes». Financial Times . 15 de julio de 2021. Archivado desde el original el 15 de julio de 2021 . Consultado el 20 de julio de 2021 .
4. "Piratería de teléfonos móviles, acuerdos en el Golfo: se revela una empresa israelí de alto secreto dedicada a los ciberataques". Haaretz . Consultado el 19 de julio de 2021 .
5. Intelligence, Microsoft Threat (15 de julio de 2021). "Protección de los clientes frente a un actor ofensivo del sector privado que utiliza exploits de día cero y malware DevilsTongue". Blog de seguridad de Microsoft . Consultado el 28 de septiembre de 2024 .
6. "Caramel Tsunami" (PDF) . www.microsoft.com . Consultado el 28 de septiembre de 2024 .
7. Zetter, Kim (3 de octubre de 2019). "Los investigadores dicen que descubrieron operaciones de piratería en Uzbekistán gracias a una seguridad operacional espectacularmente mala". VICE . Consultado el 28 de septiembre de 2024 .
8. Marczak, Bill; Scott-Railton, John; Berdan, Kristin; Razzak, Bahr Abdul; Deibert, Ron (15 de julio de 2021). "Enganchando a Candiru: otro vendedor mercenario de software espía aparece en el punto de mira". The Citizen Lab . Consultado el 20 de julio de 2021 .
9. Brewster, Thomas. "Conoce a Candiru, el misterioso mercenario que piratea las PC de Apple y Microsoft con fines lucrativos". Forbes . Consultado el 19 de julio de 2021 .
10. Tendler, Idan (20 de marzo de 2015). "De la Unidad 8200 del Ejército israelí a Silicon Valley". TechCrunch . Consultado el 28 de septiembre de 2024 .
11. Marks, Joseph (15 de julio de 2021). "Una empresa israelí privada ha ayudado a los gobiernos a piratear a periodistas y defensores de los derechos humanos". The Washington Post . La empresa ha mantenido un alto nivel de secretismo, incluso cambiando su nombre corporativo oficial cuatro veces durante sus seis años de funcionamiento, según un informe de Citizen Lab. La empresa ahora se llama oficialmente Saito Tech Ltd., aunque todavía es ampliamente conocida como Candiru, afirma el informe.
12. "Singapur vuelve a recurrir a los ciberespías israelíes". Intelligence Online . 4 de marzo de 2019. Archivado desde el original el 15 de abril de 2024 . Consultado el 28 de septiembre de 2024 .
13. Brewster, Thomas. "Empresa de vigilancia israelí incluida en la lista negra vinculada a ataques informáticos en Oriente Medio, niega saber a quién espían sus clientes". Forbes . Consultado el 30 de enero de 2022 .
14. Bing, Christopher (3 de noviembre de 2021). «Estados Unidos incluye en la lista negra al proveedor israelí de herramientas de piratería NSO Group». Reuters . Consultado el 4 de noviembre de 2021 .
15. Mazzetti, Mark; Bergman, Ronen (10 de julio de 2022). «Una empresa de defensa dijo que los espías estadounidenses respaldaron su oferta por el fabricante de software espía Pegasus». The New York Times . ISSN  0362-4331 . Consultado el 11 de julio de 2022 .
16. "El CNI admite haber espiado a Aragonès y el entorno de Puigdemont con autorización". ElNacional.cat (en español). 2022-05-05 . Consultado el 28 de septiembre de 2024 .
17. Scott-Railton, John; Campo, Elías; Marczak, Bill; Razzak, Bahr Abdul; Anstis, Siena; Böcü, Gözde; Solimano, Salvatore; Deibert, Ron (18 de abril de 2022). "CatalanGate: Amplia operación de software espía mercenario contra catalanes utilizando Pegasus y Candiru". El Laboratorio Ciudadano . Consultado el 26 de abril de 2022 .