Виявлення цінного експлойта нульового дня, розробленого для встановлення Predator на iPhone з навіть найновішою операційною системою, спонукало Apple надіслати оновлення безпеки для користувачів у четвер вдень.

Експлойти нульового дня особливо небезпечні та цінні, оскільки вони використовують ще невиявлені прогалини в безпеці. У цьому випадку Елтантаві не довелося б клацати будь-що, щоб заразитися.

«Такий повний ланцюжок експлойтів нульового дня, який здатний встановлювати шпигунське програмне забезпечення на найновіші та найкращі iPhone — таких небагато, які потрапляють на очі, лише кілька на рік», — сказав Білл Марчак, старший науковий співробітник Citizen Lab. «Ці речі дуже дорогі для розробки. Якщо ви подивитеся на брокерів, які купують і продають і публікують прайс-листи в Інтернеті, це коштуватиме кілька мільйонів доларів».

У липні адміністрація Байдена внесла в чорний список Cytrox, яка виробляє Predator, і Intellexa, бізнес-альянс, до якого входить Cytrox, додавши їх до «списку організацій» Міністерства торгівлі, що накладає на них жорсткі ліцензійні та торгові обмеження. Адміністрація заявила, що вони торгували «кіберексплойтами, які використовуються для отримання доступу до інформаційних систем, тим самим загрожуючи конфіденційності та безпеці окремих осіб і організацій у всьому світі».

Після встановлення на телефоні Predator може викрадати паролі, реєструвати натискання клавіш, отримувати дані з різних додатків, копіювати повідомлення чату та записувати дзвінки, включно з тими, що здійснюються в зашифрованих програмах, сказав Марчак.

Як і інші висококласні постачальники шпигунського програмного забезпечення, Cytrox каже, що продає лише державним установам. Оскільки Єгипет є відомим клієнтом Predator, і одна зі спроб зараження була здійснена за допомогою пристрою, фізично розташованого в Єгипті, Citizen Lab заявила, що «високо впевнена», що єгипетський уряд несе відповідальність за атаку.

Елтантаві, колишній голова лівої партії Карама, є відвертим критиком єгипетського уряду. У березні він став першим політиком, який оголосив про плани кинути виклик Сісі на пост президента/

Елтантаві розповів The Washington Post, що він вперше занепокоївся безпекою свого телефону в середині вересня після того, як отримав підозрілі повідомлення з посиланнями, і що друг порадив йому зв’язатися з Citizen Lab, щоб його телефон можна було проаналізувати.

Представники єгипетського уряду відмовилися від коментарів або не відразу відповіли на запити про коментарі.

За даними Citizen Lab, спроби заразити телефон Елтантаві включали використання продукту під назвою PacketLogic, розробленого канадською компанією Sandvine , що займається виробництвом мережевого обладнання. У 2017 році Sandvine придбала приватна інвестиційна компанія Francisco Partners, яка до 2019 року також володіла NSO Group, виробником шпигунського програмного забезпечення Pegasus, яке уряди використовували для стеження за журналістами, активістами, політичними опонентами та іншими. Sandvine не відповів на запити про коментарі.

«Ця кампанія є ще одним прикладом зловживань, спричинених розповсюдженням комерційних постачальників систем стеження та їх серйозним ризиком для безпеки онлайн-користувачів», — написала група Google Threat Analysis Group у блозі.

Згідно з дослідженням Citizen Lab, було зроблено кілька спроб встановити Predator на телефон Елтантаві в період з травня по вересень після того, як він оголосив про свою кандидатуру. Починаючи з травня, Eltantawy отримував текстові повідомлення та повідомлення WhatsApp із посиланнями на міновані веб-сторінки. На думку дослідників, він, очевидно, не натискав на них.

За словами Citizen Lab, у серпні та вересні Елтантаві зазнав більш небезпечного типу атаки, яка називається мережевою ін’єкцією, яка не вимагала від нього нічого клацати. За даними групи аналізу загроз Google, ця атака «людина посередині» сталася, коли Eltantawy намагався відвідати будь-яку веб-сторінку з префіксом «http». Коли він це зробив, зловмисник перенаправив його на веб-сайт Intellexa, а потім на сервер, який запустив експлойт на його телефоні.