پژوهشگران: چند کشور به عنوان مشتریان احتمالی نرم‌افزار جاسوسی پاراگون معرفی شدند!

گزارش جدیدی از آزمایشگاه دیجیتال امنیتی معروف نشان می‌دهد که کشورهای استرالیا، کانادا، قبرس، دانمارک، اسرائیل و سنگاپور به‌عنوان مشتریان احتمالی شرکت سازنده بدافزار اسرائیلی پاراگون شناسایی شده‌اند. این گزارش به‌تازگی توسط گروه پژوهشگران و آکادمیسین‌های Citizen Lab منتشر شده است که به مدت بیش از یک دهه به بررسی صنعت بدافزار مشغول بوده‌اند.

در این گزارش، شش کشور به‌عنوان «استقرارهای مشکوک پاراگون» معرفی شده‌اند. در پایان ژانویه، واتس‌اپ به حدود 90 کاربری که به‌عنوان هدف بدافزار پاراگون شناسایی شده بودند، اطلاع‌رسانی کرد و این موضوع در ایتالیا که برخی از این افراد در آنجا زندگی می‌کنند، جنجالی به‌وجود آورد.

شرکت پاراگون در تلاش است تا خود را از رقبای خود مانند گروه NSO متمایز کند، شرکتی که بدافزارهای آن در چندین کشور مورد سوءاستفاده قرار گرفته است. در سال 2021، یکی از مدیران ارشد پاراگون به Forbes گفت که رژیم‌های غیر دموکراتیک هرگز مشتریان آن‌ها نخواهند بود.

در پاسخ به جنجال ناشی از اطلاعیه‌های واتس‌اپ در ژانویه و در اقدامی که ممکن است سعی در تقویت ادعاهای خود به عنوان یک فروشنده مسئول بدافزار باشد، جان فلیمینگ، رئیس اجرایی پاراگون به TechCrunch گفت که این شرکت «تکنولوژی خود را به گروهی منتخب از دموکراسی‌های جهانی — به‌ویژه ایالات متحده و متحدان آن — مجوز می‌دهد.»

در اواخر سال 2024، رسانه‌های اسرائیلی گزارش دادند که سرمایه‌گذاری ریسک‌پذیر آمریکایی AE Industrial Partners پاراگون را با حداقل 500 میلیون دلار خریداری کرده است.

در گزارش Citizen Lab، مشخص شده است که آن‌ها توانسته‌اند زیرساخت سرورهای مورد استفاده پاراگون برای ابزار بدافزار خود که با نام Graphite شناخته می‌شود، شناسایی کنند. این شناسایی با توجه به «یک سرنخ از یک همکار» انجام گرفته است.

با شروع از این سرنخ و توسعه چندین اثر انگشت قادر به شناسایی سرورهای مرتبط با پاراگون و گواهی‌های دیجیتال، محققان Citizen Lab تعدادی آدرس IP را پیدا کردند که در شرکت‌های مخابراتی محلی میزبانی می‌شدند. این گروه معتقد است که این سرورها متعلق به مشتریان پاراگون هستند، بخشی به‌دلیل حروف ابتدایی گواهی‌ها که به‌نظر می‌رسد با نام کشورهای مربوطه مطابقت دارد.

طبق گزارش Citizen Lab، یکی از اثر انگشت‌هایی که محققان توسعه دادند، به یک گواهی دیجیتالی ثبت‌شده برای Graphite منتهی شد، که به‌نظر می‌رسد یک اشتباه عملیاتی عمده از سوی تولیدکننده بدافزار باشد.

این گزارش بیان می‌کند: «مدارک قوی غیرمستقیم، ارتباطی بین پاراگون و زیرساختی که ما شناسایی کردیم، پشتیبانی می‌کند.»

گزارش همچنین به شناسایی نام‌های مستعار دیگری اشاره دارد که نشان‌دهنده مشتریان دولتی احتمالی پاراگون می‌باشد. به‌ویژه، Citizen Lab به پلیس استانی انتاریو در کانادا اشاره کرد که به‌نظر می‌رسد به‌عنوان مشتری پاراگون شناخته می‌شود، زیرا یکی از آدرس‌های IP مربوط به این مشتری در کانادا به‌طور مستقیم به پلیس انتاریو مرتبط است.

گروه خبری TechCrunch با نمایندگان دولتی استرالیا، کانادا، قبرس، دانمارک، اسرائیل و سنگاپور تماس گرفت. همچنین با پلیس انتاریو نیز ارتباط برقرار شد. اما هیچ‌یک از نمایندگان به درخواست‌های ما برای اظهار نظر پاسخ ندادند.

جان فلیمینگ از پاراگون در پاسخ به TechCrunch گفت که Citizen Lab با این شرکت تماس گرفته و «مقدار بسیار محدودی از اطلاعات، که بخشی از آن به‌نظر می‌رسد نادرست باشد» ارائه کرده است.

فلیمینگ افزود: «با توجه به ماهیت محدود اطلاعات ارائه‌شده، ما در حال حاضر قادر به ارائه نظری نیستیم.» او به سوالاتی درباره نادرست بودن گزارش Citizen Lab یا وضعیت رابطه‌اش با مشتریان ایتالیایی پاسخ نداد.

گزارش Citizen Lab خاطرنشان کرد که تمامی افرادی که توسط واتس‌اپ مطلع شده و سپس با این سازمان تماس گرفتند، از تلفن‌های اندرویدی استفاده کرده‌اند. این موضوع به محققان این امکان را داد که یک «شواهد قانونی» باقی‌مانده از بدافزار پاراگون را شناسایی کنند که محققان آن را BIGPRETZEL نامیدند.

سخنگوی متا، زاده السواه، در بیانیه‌ای به TechCrunch گفت: «ما می‌توانیم تأیید کنیم که نشانه‌ای که Citizen Lab به آن اشاره می‌کند، BIGPRETZEL، با پاراگون مرتبط است.»

متا در بیانیه‌اش تصریح کرد: «ما از نزدیک شاهد بوده‌ایم که چگونه بدافزارهای تجاری می‌توانند برای هدف قرار دادن خبرنگاران و جامعه مدنی سلاح‌سازی شوند و این شرکت‌ها باید پاسخگو باشند.»

گزارش‌ها نشان می‌دهد که بدافزار Graphite به‌صورت خاص به اپلیکیشن‌های مشخص در تلفن هدف حمله کرده و آن‌ها را مختل می‌کند، بدون نیاز به هیچ‌گونه تعامل از سوی هدف. در مورد Beppe Caccia، یکی از قربانیان در ایتالیا که در یک NGO کار می‌کند، شواهدی وجود دارد که نشان می‌دهد این بدافزار دو اپلیکیشن دیگر را در دستگاه اندرویدی او آلوده کرده است.

هدف قرار دادن اپلیکیشن‌های مشخص به‌جای سیستم‌عامل دستگاه، ممکن است شناسایی شواهد هک را برای کارشناسان قانونی دشوارتر کند، اما ممکن است سازندگان اپلیکیشن‌ها دید بیشتری به عملیات بدافزار داشته باشند.

بیل مارچزاک، محقق ارشد Citizen Lab به TechCrunch گفت: «بدافزار پاراگون نسبت به رقبایی مانند [گروه NSO] پیگاسوس سخت‌تر قابل شناسایی است، اما در نهایت هیچ‌گونه حمله بدافزاری «کامل» وجود ندارد.»

در نهایت، Citizen Lab همچنین آیفون David Yambio، که به‌طور نزدیک با Caccia و دیگران در NGO کار می‌کند، را تحلیل کرد. یامبیو از اپل درباره هدف قرار گرفتن تلفنش با بدافزار اجاره‌ای اطلاع دریافت کرد، اما محققان نتوانستند شواهدی از هدف قرار گرفتن او با بدافزار پاراگون پیدا کنند.

اپل به درخواست اظهار نظر پاسخ نداد.