«Дикие кошки» в твоем смартфоне. Как правительства шпионят за диссидентами

Мы уделяем столько внимания изящным, необычным методам, благодаря которым службы разведки проникают в современным смартфоны, что забываем, как эффективны зачастую оказываются простые и дешевые способы. Это подтверждает исследование, опубликованное фирмой по кибербезопасности Lookout и неправительственной организацией по защите цифровых прав Electronic Frontier Foundation (EFF). В нем подробно описывается успешная кампания по слежке за 500 устройствами на базе программного обеспечения Android от Google, которая была проведена из принадлежащего ливанской службе разведки здания в Бейруте.

Хакеров прозвали «Черный Каракал» (в честь степных рысей) и, после того, как они случайно оставили цифровые улики, их отследили вплоть до здания, принадлежащего Главному управлению общей безопасности Ливана в Бейруте, где расположено ключевое разведывательное ведомство страны. Исследователи утверждают, что группа похитила сотни гигабайтов данных в более чем двадцати странах Северной Америки, Европы, Ближнего Востока и Азии — всего не менее 2000 пострадавших. Майкл Флоссман, исследователь в области безопасности из Lookout, сообщил Forbes, что, вероятно, еще многие тысячи персональных компьютеров и телефонов были заражены различными вредоносными программами группы, и добавил, что он и его коллеги не располагают полной картиной деятельности «Черного Каракала».

Легкий взлом

Что поразило Флоссмана, а также его коллег Майка Мюррея из Lookout и Купера Квинтина из EFF, так это простота и эффективность атак на смартфоны. Если взглянуть на всю шпионскую деятельность с 2012 года, заметно, что злоумышленники не использовали «нулевые дни» (взлом ранее неизвестных уязвимых мест) и не пытались разместить свое программное обеспечение в магазине Google Play. Вместо этого они положились на базовую социальную инженерию и разрешения, предоставленные вредоносным приложениям сразу после установки.

Они начали с фишинга через WhatsApp и рассылали сообщения, приглашавшие пользователей на сайт, подконтрольный хакерам. Затем жертвам  предлагали установить обновления, чтобы повысить безопасность мессенджеров, в том числе WhatsApp, Signal, Threema и Telegram, а также Orbot, приложения, которое позволяет попасть в dark web с устройства Android через анонимайзер Tor. Эти приложения содержали разработанное «Черным Каракалом» программное обеспечение для слежки под названием Pallas, которое позволяло делать все, чего можно ожидать от подобного приложения: фотографировать, красть данные, следить за мессенджерами, записывать аудио и видео и узнавать местоположение владельца.

При помощи специалистов Google исследователи обнаружили код Pallas и в нескольких приложениях, замаскированных под Adobe Flash Player и Google Play Push. Кроме того, были созданы поддельные личные и групповые странички Facebook, чтобы находить жертв и убеждать их загрузить вредоносные приложения, а приманки под видом новостей затягивали людей глубже в сети хакеров.

Флоссман отмечает, что, хотя хакеры не сумели замести следы так, чтобы их местоположение нельзя было обнаружить, они все же добились успеха. «Это доказывает, что хакерам больше не нужен доступ к «нулевым дням». Ничего выдающегося, но все же невероятно эффективно. Мы сталкиваемся с подобным со стороны многих других субъектов, на только этих ребят. Мобильные телефоны содержат много ценной информации, а начальные инвестиции невелики».

Квинтин добавляет: «Страны, которые в отличие от «Пяти глаз» не могут себе позволить глобальную систему слежки, все чаще обращаются к подобным тактикам, чтобы шпионить за диссидентами за границей».

Хотя устройства Apple Mac и Windows тоже становились целью в различных кампаниях «Черного Каракала», большая часть информации была похищена с устройств Android. По меньшей мере, шесть разных кампаний, направленных против Android, были связаны с одним из серверов злоумышленников, на котором было обнаружено 48 гигабайтов данных, похищенных с устройств на программном обеспечении Google. С компьютеров Windows было украдено 33 гигабайта информации. В целом, хакеры смогли похитить более 250 000 контактов и 485 000 текстовых сообщений с устройств Android. Были записаны и чувствительные данные вроде банковских паролей и PIN-кодов.

Группа не только разработала собственные инструменты, но и приобрела вредоносный код — либо у продавцов в dark web, либо у коммерческих поставщиков, включая FinFisher, компании, которая ведет деятельность в сфере законного получения информации. Ранее компания уже была связана с поставками в Ливан и подвергалась критике за продажу шпионского программного обеспечения режимам, где права человека соблюдаются не лучшим образом. Хотя Флоссман не смог ответить, использовалось ли шпионское программное обеспечение FinFisher Android, он заметил, что это новый инструмент в мощном арсенале фирмы. На момент публикации компания не ответила на просьбу предоставить комментарии.

Отследить до Бейрута

На момент публикации ни служба разведки Ливана, ни посольство страны в Лондоне не ответили на просьбы дать комментарии. Исследователи говорят, что, возможно, служба разведки не имела отношения к атакам, которые могли быть совершены случайным субъектом внутри здания или иными лицами, проникшими в системы ведомства.

Чтобы отследить вредоносное программное обеспечение вплоть до Главного управления общей безопасности, исследователи получили информацию о тестовых устройствах Android, на которых хакеры опробовали свою стратегию. Изучив сети Wi-Fi, к которым подключались эти тестовые устройства, они смогли определить, где телефоны находились. Кроме того, они выяснили IP-адреса серверов злоумышленников. Два из них располагались к югу от комплекса.

Хотя приложения не размещались в официальном магазине Google Play, гигант из Маунтин-Вью осведомлен о вредоносных программах и уже обновил Play Protect, приложение для блокировки вредоносных программ на устройствах Androids. На момент публикации Google не предоставил комментарии для статьи.

Исследователи не могут с определенностью сказать, финансировало ли правительство Ливана атаки. Но есть свидетельства того, что за операцией стоит некое государство. «В числе жертв «Черного Каракала» лица и организации, которых вполне могло бы атаковать  государство, включая правительство, военные объекты, коммунальные компании, финансовые учреждения, промышленные компании и исполнители оборонных заказов.  В ходе расследования мы изучили конкретно данные, связанные с военнослужащими, предприятиями, медиками, активистами, журналистами, юристами и образовательными учреждениями. Среди различных видов данных – документы, записи телефонных разговоров, сведения из защищенных мессенджеров, контактные данные, текстовые сообщения, фотографии и данные о банковских счетах», — говорится в отчете.

В таком случае даже самые неумелые шпионы могу получить доступ к огромным массивам данных, особенно когда люди ведутся на старые трюки в новом облике.

Перевод Натальи Балабанцевой