媲美飞马！以色列Paragon公司间谍软件实施“零点击”攻击！

事件概述

据hackread于2月1日的瞬息 ，Meta旗下的即时通讯应用WhatsApp证实，它正在采取行动阻止针对约90人的间谍软件攻击，其中包括记者和民间社会组织成员。受影响人员已直接收到有关安全 漏洞 的通知，但WhatsApp尚未披露记者和民间社会成员的所在地，包括他们是否在美国。

意大利调查新闻机构Fanpage的主编弗朗西斯科·坎塞拉托 (Francesco Cancellato)是WhatsApp周五(1月31日)宣布90名记者和其他民间社会成员成为间谍软件攻击目标后第一个公开站出来的人。这名记者和其他数十名身份尚不清楚的人都表示，他于周五下午收到了该通讯应用程序的通知。

WhatsApp的调查指出，被AE Industrial Partners收购的以色列间谍软件公司Paragon Solutions是此次攻击的实施者。据报道，攻击媒介涉及通过WhatsApp群组分发恶意PDF文件。专家声称，此次攻击是“零点击”攻击，不需要感染任何恶意链接。WhatsApp此后发布了安全更新来消除此漏洞。

这一活动也受到了独立观察，并正在接受公民实验室高级研究员约翰·斯科特·雷尔顿 (John Scott-Railton) 的调查，正如他在X(以前的Twitter) 上的一篇文章中指出的那样。

WhatsApp认为该活动发生2024年12月，并已向Paragon发出了一封停止信。自2019年成立以来，Paragon一直保持低调，并首次卷入黑客争议，这与Intellexa和NSO Group等其他间谍软件制造商不同，后者面临美国政府的制裁和黑名单。

媲美Pegasus的间谍软件Graphite

Paragon的间谍软件名为Graphite，其功能可与NSO Group的Pegasus间谍软件相媲美。一旦手机感染了Graphite，间谍软件的操作员便可以完全访问手机，包括能够阅读通过WhatsApp和Signal等加密应用程序发送的消息。

该公司由以色列前总理埃胡德·巴拉克（Ehud Barak）创立，近期有报道称该集团以9亿美元的价格出售给美国私募股权公司AE Industrial Partners，随后成为以色列媒体报道的焦点。

有报道称，该交易尚未获得以色列监管部门的全面批准。Graphite和Pegasus等网络武器受以色列国防部监管。《卫报》联系了位于佛罗里达州博卡拉顿的AE Industrial Partners。Paragon并未列在该公司网站上的投资名单中。

“一段时间以来，Paragon一直被誉为一家‘更好’的间谍软件公司，没有涉嫌明显的滥用行为，但WhatsApp最近的曝光表明情况并非如此。这不仅仅是一些害群之马的问题——这类滥用行为是商业间谍软件行业的一个特征，”Access Now高级技术法律顾问Natalia Krapiva表示。

WhatsApp表示，它认为所谓的媒介（即向用户传播病毒的手段）是通过一个恶意PDF 件，该文件被发送给被添加到群聊中的个人。WhatsApp表示，它可以“自信地”说Paragon与这次攻击有关。

多伦多大学公民实验室(Citizen Lab)高级研究员约翰·斯科特-雷顿(John Scott-Railton) 负责追踪和识别针对公民社会的数字威胁。他表示，公民实验室向WhatsApp提供了一些信息，帮助该公司了解针对其用户的攻击载体。

该组织预计将在未来发布一份报告，提供有关所谓针对性攻击的更多细节。

Paragon Solutions拒绝发表评论。

一位接近该公司的人士告诉《卫报》，Paragon有35个政府客户，所有这些客户都可以被视为民主国家，而且 Paragon不与之前被指控滥用间谍软件的国家（包括一些民主国家）做生意。这位人士说，这些国家包括希腊、波兰、匈牙利、墨西哥和印度。

谁是幕后攻击者？

尽管Paragon Solutions声称其客户均为民主国家，但此次攻击表明，某些政府客户可能滥用了该公司的间谍软件。此外，与美国移民和海关执法局的合同进一步增加了美国政府机构可能涉及此次攻击的可能性。

最大可能是政府客户滥用了该间谍软件 。Paragon Solutions主要向政府机构出售间谍软件，用于打击和预防犯罪。然而，这种软件也可能被滥用。根据《卫报》的报道，Paragon有35个政府客户，所有这些客户都可以被视为民主国家。然而，该公司并未与之前被指控滥用间谍软件的国家（如希腊、波兰、匈牙利、墨西哥和印度）做生意。尽管如此，Paragon的间谍软件被用于攻击记者和民间社会成员的事实表明，可能存在某些政府客户滥用该软件的情况。