Citizen Labの新しいレポートによると、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールの政府は、イスラエル企業Paragon Solutionsが開発したスパイウェアの顧客である可能性が高い。
2019年にエフード・バラク氏とエフード・シュネオーソン氏によって設立されたParagonは、デバイス上のインスタントメッセージングアプリケーションから機密データを収集できる監視ツール「Graphite」を開発している。
この学際的な研究機関は、スパイウェアに関連していると疑われるサーバーインフラをマッピングした結果、6つの政府が「Paragonの導入が疑われる」国であると特定したと述べた。
この展開は、Meta傘下のWhatsAppが、Graphiteの標的となったとされる約90人のジャーナリストと市民社会のメンバーに通知したと発表してから約2か月後に起きた。攻撃は2024年12月に阻止された。
これらの攻撃の標的には、ベルギー、ギリシャ、ラトビア、リトアニア、オーストリア、キプロス、チェコ共和国、デンマーク、ドイツ、オランダ、ポルトガル、スペイン、スウェーデンなど、ヨーロッパ諸国を含む20か国以上の個人が含まれていた。
WhatsAppの広報担当者は当時、The Hacker Newsに対し、「これは、スパイウェア企業が違法行為の責任を負わなければならないことを示す最新の事例です。WhatsAppは、人々がプライベートにコミュニケーションをとることができるよう、引き続き保護していきます」と語った。
これらの攻撃では、標的がWhatsAppグループに追加され、PDF文書が送信されます。この文書はその後自動的に解析され、現在パッチが適用されているゼロデイ脆弱性を悪用し、Graphiteスパイウェアをロードします。最終段階では、Androidサンドボックスを抜け出し、標的のデバイス上の他のアプリに侵入します。
ハッキングされたAndroidデバイスのさらなる調査により、「BIGPRETZEL」と呼ばれるフォレンジックアーティファクトが発見されました。これは、ParagonのGraphiteスパイウェアへの感染を一意に識別するものとみられています。
また、2024年6月には、イタリア在住の「Refugees in Libya(リビア難民支援)」の創設者が所有するiPhoneを標的としたParagon感染の証拠も見つかりました。Appleはその後、iOS 18のリリースでこの攻撃経路に対処しました。
Appleは声明で、「今回のような傭兵スパイウェア攻撃は非常に高度で、開発に数百万ドルの費用がかかり、有効期間が短い場合が多く、特定の個人をその身元や活動内容に基づいて標的とするために使用されます」と述べています。
「問題の攻撃を検知した後、当社のセキュリティチームはiPhoneユーザーを保護するためにiOS 18の初期リリースで迅速に修正プログラムを開発・導入し、個別に標的にされた可能性のあるユーザーに情報提供と支援を行うため、Appleに脅威通知を送信しました。」