一份来自加拿大citizenlab的报告称，某国Cyberbit公司利用其研发的PSS间谍软件 ， 对不同政见者们发动 恶意软件攻击，攻击活动从2016年持续至今。攻击形式主要是利用钓鱼邮件携带恶意软件，恶意软件具有本地提权、DLL注入、代码加密及压缩、图片及音视频录制、窃取联系人及通话记录、窃取键盘记录及剪贴板信息、上传下载文件等等强大功能。 [出自:jiwo.org]

citizenlab是做什么的？

citizenlab 是加拿大多伦多大学蒙克全球事务学院的跨学科实验室，专注于信息通信技术、人权和全球安全的交叉研究，开发以及高层次的战略政策和法律参与。

他们采用“混合方法”的方法来研究政治学、法律、计算机科学和地区研究相结合的方法。 研究包括，调查针对公民社会的数字间谍活动，记录互联网过滤以及影响网上言论自由的其他技术和实践，分析流行应用程序的隐私、安全和信息控制，以及审查与企业关系相关的透明度和问责机制和国家机构有关个人数据和其他监视活动。

执行摘要

在我们记录的攻击中，目标通过电子邮件接收到一个模仿线上视频网站的恶意网站链接。当目标点击链接时，他们被邀请下载并安装Adobe Flash更新（包含间谍软件），然后再观看视频。在某些情况下，目标被提示安装一个名为“Adobe PdfWriter”的虚构应用程序，以查看PDF文件。我们的分析，将间谍软件追溯到商业间谍软件领域迄今为止尚未发现的角色，以色列 Cyber  bit ，Elbit Systems的全资子公司。间谍软件似乎是一种称为 PC监控系统（PC Surveillance System，PSS）的产品 ，最近更名为 PC 360 。

我们首先确定的袭击针对的是埃塞俄比亚以外的奥罗莫持不同政见者们，包括奥罗米亚媒体网络（OMN）。奥罗米亚是埃塞俄比亚人口和面积最大的地区性民族区域，主要由奥罗莫人组成。

我们后来发现，间谍软件的命令和控制（C＆C）服务器有一个公开的日志文件，用来显示操作者和受害者的活动，从而使我们能够深入了解操作者和目标的身份。根据我们对日志文件的分析，似乎间谍软件的操作者在埃塞俄比亚境内，受害者还包括各种厄立特里亚公司和政府机构。

我们进行了互联网扫描来寻找类似的C＆C服务器，发现Cyberbit似乎使用了数台服务器。 这些服务器上的公共日志文件似乎跟踪了Cyberbit员工，因为他们在世界各地携带感染的笔记本电脑，显然是为各种潜在客户提供PSS演示。 日志文件似乎将Cyberbit员工放置在与泰国皇家陆军，乌兹别克斯坦国家安全局，赞比亚金融情报中心，菲律宾总统马拉坎南宫，布拉格2017年欧洲国际展览中心和巴黎米里波尔2017相关的IP地址上。 Cyberbit似乎还向法国，越南，哈萨克斯坦，卢旺达，塞尔维亚和尼日利亚等无法识别的客户提供其他演示。

这份报告是越来越多的工作中的最新成果，显示专制领导人广泛滥用国家级间谍软件，秘密监视和无形地破坏他们认为是政治威胁的实体。 在FinFisher，Hacking Team和NSO Group之后，Cyberbit是第四个厂商，其工具被滥用成为国家级间谍软件，也是第二家以色列的厂商。 Cyberbit的PSS也不是埃塞俄比亚在境外滥用的第一个间谍软件：2015年，我们发现埃塞俄比亚信息网络安全局（INSA）正在使用黑客团队的RCS间谍软件来瞄准美国的埃塞俄比亚卫星电视服务记者(ESAT)。 埃塞俄比亚以前也曾使用FinFisher的FinSpy间谍软件攻击持不同政见的人。

Citizen Lab已经发布了一篇关联文章，概述了这次调查提出的一些法律和监管问题。 我们还向Cyberbit和Adobe发送了关于滥用各自产品的信函。 Cyberbit在2017年12月5日作出回应，部分表示：

“我们感谢您的关注和质疑，我们正在解决此问题，但Cyberbit Solutions必须承担法律和合同保密义务。”

Adobe于2017年12月6日作出回应， ：

“我们已经采取措施迅速解决这个问题，包括但不限于联系Cyberbit和其他相关服务提供商。”

背景

奥罗莫抗议和散居媒体出口

2015年11月，埃塞俄比亚奥罗米亚州爆发了大规模的和平抗议活动，以响应政府决定开展涉及夷平森林和足球场的发展项目。 抗议者联合起来反对更大的计划，亚的斯亚贝巴总体计划，该计划恐将迫使亚的斯亚贝巴周围200万奥罗莫人迁走。 政府贴将抗议者视为恐怖分子，并以致命武力和任意逮捕作处理。 在接下来的一年内，安全部队在反政府示威期间杀害了1000多人，其中许多人来自奥罗莫。 这导致了2016年10月的国家紧急状况，并持续了10个多月。

奥罗米亚媒体网络（Oromia Media Network）是一家美国媒体频道，将自己形容为“独立，无党派，非盈利的新闻企业，其使命是为埃塞俄比亚最大，人口最多的州奥罗米亚（Oromia）提供原创和公民报导。 OMN通过卫星广播，还有互联网和社交媒体的存在。 据“人权观察”报导，OMN“在抗议活动期间在奥罗米亚地区传播信息方面发挥了关键作用”。据报道，自2014年开始运作以来，政府“一直在阻止OMN 多达15次”，并逮捕了向OMN提供信息或在业务中展示OMN频道的人和企业。

Cyberbit 和 PSS

Cyberbit是以色列的网络安全公司，也是以色列国防和国土安全制造商和承包商Elbit Systems的全资子公司。 Cyberbit成立于2015年，旨在“巩固Elbit Systems与网络智能和网络安全市场相关的活动。”Cyberbit在2015年与NICE网络和情报部门合并后，Elbit以约1.58亿美元收购该实体。 Elbit之前曾以1090万美元的价格收购了C4安全公司; C4自己形容自己是信息战，SCADA和军队C＆C系统安全领域的专家。“据一位员工的LinkedIn页面，C4还开发了一种名为“PSS监控系统”的产品，被称为“情报和执法机构的解决方案”。Cyberbit营销材料1指的是似乎相同的系统：“CYBERBIT个人电脑监控系统（PSS）”。在Elbit的网站上也提到了PSS作为“个人电脑收集的解决方案。”据报道Elbit Cyberbit从2018年开始重组，将其国防和商业业务分开，Cyberbit继续运营“C4i部门和商业网络业务”.Elbit的主要子公司位于以色列和美国，Elbit在纳斯达克和特拉维夫证券交易所上市。

图 3: PSS控制台截图 (来源: Cyberbit Marketing Materials).

Cyberbit是我们已经识别和分析的第二个以色列的民族国家间谍软件供应商，另一个是NSO Group。 两家公司在同一个市场上运作，甚至与同一个客户有联系。 在巴拿马前总统马丁内利的引渡请求中，巴拿马称马丁内利指示购买两种间谍软件产品：PSS和NSO集团的Pegasus。 此外，一个关于NSO的泄露黑客团队的电子邮件声称：

“NSO只有移动代理...显然，PC部分是由另一家公司，PSS处理。”

Cyberbit将PSS描述为“从远程PC监控和提取信息的综合解决方案”。Cyberbit公司的营销材料中的标准是，他们的设计“消除了操作被追溯到起源的可能性。”

图4：PSS泄露的数据（来源： Cyberbit营销材料 ）

Cyberbit表示，PSS“通过访问、监控、提取和分析来自远程PC的信息，帮助LEA和情报机构减少犯罪，防止恐怖主义和维护公共安全。”PSS可以监控和提取的信息包括“VoIP电话、文件、电子邮件 、录音、键盘记录和目标设备上的任何可用信息”。

主要调查结果

• 本报告描述了在美国、英国和其他国家中，攻击者们是如何攻击埃塞俄比亚的持不同政见者们的，攻击中采用了含有伪装成Adobe Flash更新和PDF插件的复杂商业间谍软件，以及相关伪装的电子邮件。目标包括美国的埃塞俄比亚侨民媒体，奥罗米亚媒体网络（OMN），一名博士生和和一名律师。在调查过程中，本报告的作者之一也成为了目标。
• 我们在间谍软件的命令和控制服务器（C&C server）上找到了公共日志文件，并监视了该日志文件一年多的时间。我们观察到了来自埃塞俄比亚的间谍软件运营商，以及来自20个国家IP地址的受感染计算机，其中包括我们追溯到厄立特里亚公司和政府机构的IP地址。
• 我们对间谍软件的分析表明，它是一种称为PC监视系统（PC Surveillance System，PSS）的产品，是一种具有新型无漏洞架构的商业间谍软件产品。Cyberbit是一家以色列网络安全公司，是Elbit Systems的全资子公司，该公司提供PSS服务，并销售给情报和执法机构。
• 我们进行了互联网扫描来查找与PSS相关的其他服务器，而且发现几台似乎由Cyberbit自己操作的服务器。这些服务器上的公共日志文件似乎跟踪了Cyberbit员工，因为他们在世界各地携带感染的笔记本电脑，显然是为了演示PSS给泰国皇家军队，乌兹别克斯坦国家安全局，赞比亚金融情报中心，菲律宾总统马拉坎南宫，ISS世界欧洲2017年在布拉格和2017年巴黎的Milipol。Cyberbit似乎还在法国，越南，哈萨克斯坦，卢旺达，塞尔维亚和尼日利亚提供了PSS的其他演示。