Поделиться
Власти Казахстана следили за оппозицией с помощью шпионского ПО для Android
Эксперты Lookout Threat Lab выяснили, что программа-шпион, использовавшаяся властями нескольких стран для атак или слежки за оппозицией, имеет квазилегальное происхождение.
Шпионаж по-итальянски
Эксперты компании Lookout Threat Lab сообщили, что установили наиболее вероятное авторство шпионской программы Hermit, жертвами которой с 2019 г. становились пользователи в Казахстане, Сирии и Италии.
Hermit обозначен как шпионская программа «корпоративного уровня». Это модульный пакет, позволяющий перехватывать контроль над целевыми устройствами под управлением ОС Android. В Lookout сообщили, что им удалось перехватить 16 из 25 известных модулей, каждый из которых обладает уникальными характеристиками. Среди возможностей Hermit — перехват аудио, перенаправление звонков, захват SMS, сбор всевозможных данных, хранящихся на самом устройстве, а также информации о его местоположении.
Вредонос, по-видимому, распространяется через SMS-сообщения, якобы исходящие из легитимных источников. Проанализированные Lookout сэмплы вредоноса выдавали себя за официальные приложения телекоммуникационных компаний или производителей смартфонов, таких как Samsung, Vivo и Oppo. При открытии Hermit загружает легитимные веб-страницы организаций, за чьи приложения себя выдает, в то время как в фоновом режиме устанавливаются вредоносные модули.
В Lookout подчеркнули, что все перехваченные сэмплы были нацелены на устройства под Android, однако известно, что существует и версия под iOS.
В Казахстане программу использовали для слежки за оппозиционерами, вероятно, структуры, связанные с властями. В Lookout также указывают, что власти Италии использовали ту же программу в рамках масштабной антикоррупционной операции. Кроме того, неизвестные силы, видимо правительственные, использовали Hermit в Сирии.
За фасадом
Эксперты Lookout Threat Lab полагают, что авторство Hermit принадлежит итальянскому поставщику шпионских средств RCS Lab S.p.A. и Tykelab Srl, компании, которая, судя по имеющимся у Lookout данным, является подставным «фасадом» RCS или, как минимум, аффилированной структурой. При этом Tykelab официально поставляет лишь довольно невинные программные разработки.
Официально RCS продает свои инструменты для слежения только правоохранительным органам и спецслужбам. В публикации Wikileaks 2015 указывалось, что компания RCS Lab поставляла средства слежения правительствам Пакистана, Чили, Монголии, Бангладеша, Вьетнама, Мьянмы и Туркменистана, а также выступала в качестве реселлера Hacking Team, другого итальянского поставщика шпионских средств.
«Шпионские программы могут полуофициально продаваться кому угодно, но это не отменяет тот факт, что это в первую очередь вредоносный софт, — говорит Алексей Водясов, технический директор компании SEQ. — В последние годы в Европе на фоне многочисленных скандалов с такими программами как Pegasus предпринимаются довольно активные шаги по запрету средств для шпионажа и слежки, вне зависимости от того, кто их производит и кому реализует. Правда, остается непонятным, каким образом принуждать к соблюдению этого запрета».
В конце августа 2021 г.
Совет по правам человека ООН потребовал ввести глобальный мораторий на
распространение шпионских программных комплексов. В выпущенном Советом документе
прямо упоминалось только ПО Pegasus NSO Group, но речь шла о принципиальной недопустимости
подобных программ.
Короткая ссылка
