引言

近期，国际特赦组织的一项新调查发现，多哥（西非国家）的活动家成为Donot组织的攻击目标，该组织使用虚假的Android应用程序针对著名的多哥人权活动家，这是该组织首次在南亚地区外使用间谍软件的攻击示例。研究人员在调查中将本次攻击所使用到的间谍软件和基础设施，与印度网络安全公司Innefu Labs关联了起来。

简况

在2019年年底至2020年初，多哥国家处于非常有争议的政治敏感时期，报告称当时攻击者试图同时使用 Android 和 Windows 间谍软件来破坏一位身份不明的人权捍卫者的设备，但攻击并没有成功。政治活动家希望在活动过程中保持匿名，他们是该国人权的重要发声任务，这些活动家的设备在 2019 年 12 月至去年 1 月期间成为攻击目标，当时正值 2020 年多哥总统大选前的紧张政治时期。

在这种情况下，攻击者对 WhatsApp 和电子邮件的持续攻击试图诱骗目标安装伪装成安全聊天应用程序的恶意应用程序。该应用程序实际上是一个 Android 间谍软件，旨在提取存储在敏感人士手机上的敏感和个人信息。装有间谍软件的 Android 应用程序可以访问设备的摄像头和麦克风、窃取照片，甚至在发送和接收加密的 WhatsApp 消息时读取它们。此类攻击的隐蔽性使得活动家极难检测他们的设备是否已被攻破。

国际特赦组织并未声称 Innefu Labs 直接参与了针对敏感人士的行动，而是通过数字取证调查发现攻击中使用的IP，以及包括 IP 地址在内的链接，这些链接将Innefu Labs公司与Donot组织联系起来。Innefu Labs是印度的网络安全公司，该公司向执法部门和武装部队宣传数字安全、数据分析和预测性警务服务，并声称与印度政府合作。技术证据表明，Innefu Labs 参与了Donot Team 部分间谍软件工具的开发或部署。

报告表示，Innefu Labs 否认与这些攻击有任何关联。该公司在日期为 10 月 1 日回复：“我们坚决否认 Innefu Labs 与‘Donot Team’组织相关的间谍软件工具以及针对多哥人权捍卫者的攻击存在任何联系。”

Donot组织与Innefu Labs公司的关联

国际特赦组织于 2020 年 9 月致函 Innefu Labs，Innefu Labs 表示其根本没有向多哥政府或其任何机构出售任何数字监控工具或任何其他服务。 Innefu 从未提供任何数字监视工具或服务来监视活动家和人权捍卫者。 然而，Innefu Labs 及其 IP 地址 122.160.158[.]3（Innefu Labs IP）在与 Donot 相关联的多台服务器上被识别成该组织针对多哥活动家的攻击。 WhatsApp 的屏幕截图显示，参与测试 Donot Team Android 间谍软件的攻击者之前曾在其 Android 键盘上输入了 Innefu Labs IP 地址和 bulk[.]fun 域。

另外，在bulk[.]fun 间谍软件服务器上发现的服务器日志显示，在多哥间谍软件攻击之前，Innefu Labs IP 已连接到 Donot Team 攻击基础设施近一年。 2019 年 2 月，小米红米 5A 手机被记录在从 Innefu IP 和 Deltahost 服务器（193.169.244[.]74）连接的日志中。数据库记录表明 Deltahost 服务器被用作私人 VPN 或代理，试图掩盖攻击者的位置。事实上，之前在间谍软件服务器上发现的 WhatsApp 屏幕截图表明，Donot Team 攻击者一直在使用 OpenVPN 软件来掩盖其测试移动设备的连接。只有对这些攻击负责的团体才拥有将 Android 间谍软件上传到攻击服务器和使用私有 VPN 服务器所需的凭据。来自 Innefu Labs IP 和私有 VPN 服务器的同一设备的连接表明，同一威胁行为者可以访问 Innefu Labs 的内部网络和 Donot Team 的攻击基础设施。这一证据强烈表明 Innefu Labs 与一些 Donot Team 的攻击基础设施的运作密切相关。

总结

虽然不能将 Innefu Labs 归因于 Donot Team 的所有攻击，但是证据表明 Innefu Labs 与这些攻击中使用的 Donot Team 基础设施有关。尤其是在bulk.fun攻击服务器日志中出现的Innefu Labs IP地址，并在测试间谍软件截图中再次与bulk.fun域并列显示。此外，使用带有印度电话号码的 WhatsApp 帐户发送间谍软件表明，攻击者位于印度。