安全研究人員指出,一個專注於雇傭黑客的組織正在針對中東和北非的記者、活動家及政府官員進行網絡攻擊。這些黑客利用網絡釣魚攻擊獲取目標的 iCloud 備份及 Signal 訊息賬戶,並部署能夠接管目標設備的 Android 間諜軟件。此一黑客行動突顯出政府機構將網絡攻擊外包給私人雇傭黑客公司的趨勢日益增加。
一些政府已經依賴商業公司開發的間諜軟件和漏洞,這些工具被警方和情報機構用來獲取人們手機上的數據。數位權利組織 Access Now 記錄了在 2023 至 2025 年期間,針對兩名埃及記者及一名黎巴嫩記者的三起攻擊事件,該黎巴嫩記者的案例也由數位權利組織 SMEX 記錄。行動安全公司 Lookout 也對這些攻擊進行了調查,三個組織於周三聯合發佈了各自的報告。
根據 Lookout 的報告,這些攻擊不僅針對埃及和黎巴嫩的公民社會成員,還包括巴林和埃及政府的目標,以及阿聯酋、沙特阿拉伯、英國,甚至可能是美國或美國大學的校友。Lookout 最終發現,這個黑客行動背後的黑客來自一個代號為 BITTER 的雇傭黑客供應商,調查中的網絡安全公司懷疑該組織與印度政府有關聯。
Lookout 的首席研究員 Justin Albrecht 向 TechCrunch 表示,BITTER 的背後公司可能名為 RebSec Solutions,並可能為印度雇傭黑客初創公司 Appin 的衍生公司。2022 年和 2023 年,路透社對 Appin 及其他類似的印度公司進行了深入調查,揭露這些公司如何被雇用來攻擊公司高管、政治人物、軍事官員及其他人。
雖然 Appin 看似已經關閉,但 Albrecht 指出,這一新黑客行動的發現表明,這些活動並沒有消失,而是轉向了較小的公司。這些組織和它們的客戶可以獲得「合理的否認」,因為它們管理所有操作和基礎設施。對於客戶來說,這些雇傭黑客團體的成本可能低於購買商業間諜軟件。
RebSec 目前無法聯繫,因為該公司已刪除其社交媒體帳戶和網站。Access Now 數位安全熱線的調查員和負責人 Mohammed Al-Maskati 表示,「這些操作成本降低,且責任難以追究,特別是因為我們無法得知最終客戶是誰,而基礎設施也不會揭示背後的實體。」
儘管像 BITTER 這樣的組織可能不是最先進的黑客和間諜工具,但它們的戰術依然能夠非常有效。在此行動中,黑客使用了多種技巧。當針對 iPhone 用戶時,黑客試圖欺騙目標提供 Apple ID 賬戶憑證,藉此入侵其 iCloud 備份,從而獲取其 iPhone 的完整內容。
根據 Access Now 的說法,這被視為「可能比使用更複雜和昂貴的 iOS 間諜軟件更便宜的替代方案」。在針對 Android 用戶時,黑客使用名為 ProSpy 的間諜軟件,偽裝成流行的通訊應用程式,如 Signal、WhatsApp 和 Zoom,以及在中東地區受歡迎的 ToTok 和 Botim 應用程式。
在某些情況下,黑客試圖欺騙受害者註冊並將由黑客控制的新設備添加至其 Signal 賬戶,這一技術在各種黑客組織中,包括俄羅斯間諜中都相當流行。印度駐華盛頓特區大使館的發言人未立即回應置評請求。
