¿Qué es Candiru?

Dice la Wikipedia que el Candiru, “también conocido como candiro azul, pez benator, canero o pez cachondo es un pez de agua dulce del orden de los siluriformes, perteneciente a la familia de los bagres, que habita en el Amazonas. Es especialmente famoso y temido por su agresividad al alojarse en los orificios genitales o excretores de sus presas para alimentarse de su sangre. Se han llegado a ver ejemplares de hasta 22 cm y es alargado y transparente, por lo que es prácticamente indetectable debajo del agua. Suele encontrarse en partes del río caracterizadas por las fuertes corrientes, aunque también se pueden encontrar en las lagunas formadas tras el descenso del agua por el cauce del río. En Informática, resulta igual de peligroso o peor.

La compañía Microsoft ha hecho público un detallado informe elaborado junto al equipo de investigación Citizen Lab de la Universidad de Toronto (Canadá) en el que revela que en España se ha utilizado software espía contra ciudadanos catalanes. La empresa identificó al menos 100 víctimas en los territorios palestinos, Armenia, España, Gran Bretaña, Israel, Irán, Líbano, Singapur, Turquía y Yemen.

Se trata de un programa de espionaje informático desarrollado por un grupo israelí fue utilizado contra liderazgos políticos, disidentes, periodistas, personal académico y activistas de derechos humanos en varios países, informó un grupo de expertos.

“Candiru es una discreta empresa con sede en Israel que vende software espía exclusivamente a Gobiernos”, y su programa es utilizado para “infectar y monitorear iPhones, Androids, Macs, PCs y cuentas en la nube”, explicó Citizen Lab de la Universidad de Toronto en su blog.

Los equipos investigadores de ambas organizaciones aseguran que se utilizaron poderosas “armas cibernéticas” en ataques contra más de 100 víctimas en todo el mundo. “Encontramos muchos dominios que se hacían pasar por organizaciones activistas como Amnistía Internacional, el movimiento Black Lives Matter, así como empresas de medios de comunicación y otras entidades con temática de la sociedad civil”, afirmó Citizen Lab.

La empresa de las ventanas también identificó al menos 100 víctimas en los territorios palestinos, Armenia, España, Gran Bretaña, Israel, Irán, Líbano, Singapur, Turquía y Yemen. La empresa tecnológica estadounidense declaró que, gracias a actualizaciones del software de Windows, logró bloquear la vulnerabilidad explotada por la empresa con sede en Tel Aviv, cuyo nombre oficial es Saito Tech Ltd pero es conocido coma Candiru o Sourgum. Según el Citizen Lab, la empresa Saito Tech Ltd tiene algunos de los mismos inversores y directores que NSO Group, otra empresa israelí bajo escrutinio por el software de vigilancia.

“Microsoft ha creado protecciones en sus productos contra este malware (programa malicioso) único, al que llamamos DevilsTongue”, dice un comunicado de la empresa. “Hemos compartido estas protecciones con la comunidad de seguridad para que podamos abordar y mitigar colectivamente esta amenaza”, añadió.

Según la empresa de software, DevilsTongue fue capaz de infiltrarse en sitios web populares como Facebook, Twitter, Gmail, Yahoo y otros para recopilar información, leer los mensajes de la víctima y recuperar fotos. “DevilsTongue también puede enviar mensajes en nombre de la víctima en algunos de estos sitios web”, explicó el comunicado del Centro de Inteligencia de Amenazas de Microsof

“La capacidad de enviar mensajes podría convertirse en un arma para enviar enlaces maliciosos a más víctimas”, reveló la empresa. Además, puede capturar el historial de navegación y las contraseñas, así como encender la cámara web y el micrófono del objetivo, según los resultados.

Según una demanda presentada por un ex empleado, Candiru tuvo ventas de “casi $ 30 millones”, dentro de los dos años de su fundación. Los clientes reportados de la firma se encuentran en “Europa, la ex Unión Soviética, el Golfo Pérsico, Asia y América Latina”. Además, se han publicado informes de posibles acuerdos con varios países:

Uzbekistán : en una presentación de 2019 en la conferencia de seguridad Virus Bulletin, un investigador de Kaspersky Lab declaró que Candiru probablemente vendió su software espía al Servicio de Seguridad Nacional de Uzbekistán.

Arabia Saudita y los Emiratos Árabes Unidos : La misma presentación también mencionó a Arabia Saudita y los Emiratos Árabes Unidos como posibles clientes de Candiru.

Singapur : un informe de Inteligencia en línea de 2019 menciona que Candiru participó activamente en la solicitud de negocios de los servicios de inteligencia de Singapur.

Qatar: Un informe de 2020 Intelligence Online señala que Candiru “se ha acercado más a Qatar”. Una empresa vinculada al fondo soberano de inversión de Qatar ha invertido en Candiru. Aún no ha surgido información sobre los clientes con sede en Qatar,

Una propuesta filtrada del proyecto Candiru publicada por TheMarker muestra que el software espía de Candiru se puede instalar utilizando varios vectores diferentes, incluidos enlaces maliciosos, ataques man-in-the-middle y ataques físicos. También se ofrece un vector llamado ” Sherlock” , que afirman que funciona en Windows, iOS y Android. Este puede ser un vector de clic cero basado en navegador.

Como muchos de sus pares, Candiru parece licenciar su software espía por número de infecciones simultáneas , lo que refleja el número de objetivos que pueden estar bajo vigilancia activa en cualquier momento. Al igual que NSO Group, Candiru también parece restringir al cliente a un conjunto de países aprobados.

La propuesta de proyecto de 16 millones de euros permite un número ilimitado de intentos de infección por software espía, pero el seguimiento de solo 10 dispositivos simultáneamente. Por 1,5 millones de euros adicionales, el cliente puede comprar la capacidad de monitorear 15 dispositivos adicionales simultáneamente e infectar dispositivos en un solo país adicional. Por 5,5 millones de euros adicionales, el cliente puede monitorear 25 dispositivos adicionales simultáneamente y realizar espionaje en cinco países más.

La letra pequeña de la propuesta establece que el producto operará en “todos los territorios acordados”, luego menciona una lista de países restringidos, incluidos Estados Unidos, Rusia, China, Israel e Irán. Esta misma lista de países restringidos ha sido mencionada anteriormente por NSO Group. Sin embargo, Microsoft observó a las víctimas de Candiru en Irán , lo que sugiere que, en algunas situaciones, los productos de Candiru operan en territorios restringidos. Además, la infraestructura de segmentación divulgada en este informe incluye dominios que se hacen pasar por el servicio postal ruso.

La propuesta establece que el software espía puede filtrar datos privados de varias aplicaciones y cuentas, incluidas Gmail, Skype, Telegram y Facebook. El software espía también puede capturar el historial de navegación y las contraseñas, encender la cámara web y el micrófono del objetivo y tomar fotografías de la pantalla. La captura de datos de aplicaciones adicionales, como Signal Private Messenger , se vende como un complemento.

Por una tarifa adicional de 1,5 millones de euros, los clientes pueden comprar una capacidad de shell remoto , que les permite un acceso completo para ejecutar cualquier comando o programa en la computadora del objetivo. Este tipo de capacidad es especialmente preocupante, dado que también podría usarse para descargar archivos, como colocar materiales incriminatorios, en un dispositivo infectado.

Temas de orientación

El examen de la infraestructura de focalización de Candiru nos permite hacer conjeturas sobre la ubicación de objetivos potenciales y temas y temas que los operadores de Candiru creían que los objetivos encontrarían relevantes y atractivos.

Algunos de los temas sugieren fuertemente que la focalización probablemente se refería a la sociedad civil y la actividad política. Este indicador preocupante coincide con la observación de Microsoft de la extensa selección de miembros de la sociedad civil, académicos y medios de comunicación con el software espía de Candiru. Observamos evidencia de focalización en infraestructura disfrazada de medios de comunicación, organizaciones de defensa, organizaciones internacionales y otros (ver : Tabla 4 ).

Encontramos muchos aspectos de esta segmentación preocupantes, como el dominio blacklivesmatters [.] Info , que se puede utilizar para segmentar a personas interesadas o afiliadas a este movimiento. De manera similar, la infraestructura disfrazada de Amnistía Internacional y Refugee International es preocupante, al igual que los dominios similares para las Naciones Unidas, la Organización Mundial de la Salud y otras organizaciones internacionales. También encontramos que el tema de focalización de los estudios de género (por ejemplo, womanstudies [.] Co & genderconference [.] Org ) es particularmente interesante y justifica una mayor investigación.

La aparente presencia generalizada de Candiru, y el uso de su tecnología de vigilancia contra la sociedad civil global, es un poderoso recordatorio de que la industria del software espía mercenario contiene muchos actores y es propensa a un abuso generalizado. Este caso demuestra, una vez más, que en ausencia de salvaguardas internacionales o fuertes controles gubernamentales de exportación, los proveedores de software espía venderán a clientes gubernamentales que abusarán de sus servicios de forma rutinaria. Muchos gobiernos que están ansiosos por adquirir tecnologías de vigilancia sofisticadas carecen de salvaguardias sólidas sobre sus agencias de seguridad nacionales y extranjeras. Muchos se caracterizan por un historial deficiente en materia de derechos humanos. No es sorprendente que, en ausencia de fuertes restricciones legales, este tipo de clientes gubernamentales hagan un mal uso de los servicios de software espía para rastrear a periodistas, oposición política, defensores de derechos humanos, entre otros.

 

En última instancia, abordar las malas prácticas de la industria del software espía requerirá un enfoque sólido e integral que vaya más allá de los esfuerzos centrados en una sola empresa o país de alto perfil. Desafortunadamente, el Ministerio de Defensa de Israel, de quien las empresas con sede en Israel como Candiru deben recibir una licencia de exportación antes de vender en el extranjero, ha demostrado hasta ahora no estar dispuesto a someter a las empresas de vigilancia al tipo de escrutinio riguroso que se requeriría para evitar abusos de este tipo. nosotros y otras organizaciones hemos identificado. El proceso de concesión de licencias de exportación en ese país es casi completamente opaco, careciendo incluso de las medidas más básicas de responsabilidad pública o transparencia. Esperamos que informes como este ayuden a impulsar a los legisladores y a los legisladores en Israel y en otros lugares a hacer más para prevenir los crecientes daños asociados con un mercado de software espía no regulado.

 

Vale la pena señalar los crecientes riesgos que enfrentan los proveedores de software espía y sus propios grupos de propietarios como resultado de sus propias ventas imprudentes. Los proveedores de software espía mercenarios como Candiru comercializan sus servicios a sus clientes gubernamentales como herramientas “imposibles de rastrear” que evaden la detección y, por lo tanto, evitan que las operaciones de sus clientes se vean expuestas. Sin embargo, nuestra investigación muestra una vez más lo engañosas que son estas afirmaciones. Aunque a veces es un desafío, es posible que los investigadores detecten y descubran el espionaje dirigido utilizando una variedad de monitoreo de redes y otras técnicas de investigación, como hemos demostrado en este informe (y otrosgusta). Incluso las empresas de vigilancia con mejores recursos cometen errores operativos y dejan rastros digitales, lo que hace que sus afirmaciones de marketing sobre ser sigilosas e indetectables sean muy cuestionables. En la medida en que sus productos estén implicados en daños significativos o casos de focalización ilegal, la exposición negativa que proviene de la investigación de interés público puede crear responsabilidades importantes para la propiedad, los accionistas y otros asociados con estas empresas de software espía.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PHP Code Snippets Powered By : XYZScripts.com