Оригинальная статья
Исследователи обнаружили, что организация правительства Казахстана развернула сложную итальянскую шпионскую программу в своих границах.
Согласно данным Lookout Research, опубликованным на прошлой неделе, агент правительства Казахстана использовал шпионское программное обеспечение предприятия против внутренних целей.
Правительственная организация использовала подражание брендам, чтобы обмануть жертв, чтобы загрузить вредоносное ПО, получившее название «Отшельника».Отшельник - это продвинутая модульная программа, разработанная RCS Lab, печально известной итальянской компанией, которая специализируется на цифровом наблюдении.Он способен делать все виды шпионажа по телефону цели - не только собирать данные, но и записывать и совершать звонки.
Время этой шпионской операции имеет дополнительное значение.В первую неделю 2022 года антиправительственные протесты были встречены с сильными репрессиями по всему Казахстану.Всего погибли 227 человек, и около 10 000 были арестованы.Четыре месяца спустя, когда исследователи обнаружили последние образцы раундов отшельника.
вторжение
Как получить цель для загрузки собственного шпионского программного обеспечения?
В этой кампании преступники используют Oppo - Guangdong Oppo Mobile Telecommunications Corp., Ltd - китайский производитель мобильной связи и электроники - в качестве уловки, чтобы завоевать доверие среди целей.По словам исследователей, агенты, работающие от имени правительства, отправляют SMS-сообщения, предполагаемые от OPPO, что на самом деле является злонамеренно захваченной ссылкой на официальную страницу казах-языка: http \ [: // ] Oppo-Kz \ [. ] CUSTHELP \ [. ] Com.(Во время публикации отчета эта страница поддержки оказалась в автономном режиме.) В некоторых случаях злоумышленники также выдают себя за Samsung и Vivo, сообщает Lookout.
Вторжение требует, чтобы жертва открывала сообщение SMS -адреса и щелкнула ссылку на угнетающую страницу.В то время как он загружается, вредоносные программы загружаются одновременно на фоне целевой машины, а затем подключается к серверу C2, размещенному небольшим поставщиком услуг в Нур-Султане, столице страны.
Как писал Пол Шанк, исследователь безопасности в Lookout, писал в своем заявлении: «Сочетание целевого таргетинга казахноязычных пользователей и местоположения сервера C2 является убедительным признаком того, что кампания контролируется организацией в Казахстане».Хотя исследователи Lookout определили, что организация принадлежит правительству штата, они не приписывали конкретного правительственного чиновника или департамента.
вредоносное ПО
Отшельник не просто изыскан, он полностью настраивается.
Он построен модульно, что означает, что его владельцы могут использовать или игнорировать некоторые из 25 известных компонентов, каждый из которых выполняет различную функцию.Это также означает, что развертывание любого данного экземпляра отшельника может отличаться от следующего.
Среди этих множества функций - возможность записывать аудио, делать и перенаправлять вызовы и собирать данные на смартфоне жертвы.
Тогда есть больше нишевых функций.Например, как отмечали исследователи в своем отчете, «Spyware также пытается сохранить целостность данных собранных« доказательств », отправив код аутентификации на основе хеш-сообщений (HMAC). Это позволяет участникам аутентифицировать, кто отправил данные, а также обеспечивает неизменные данные».Почему это интересно?Потому что «использование этого метода для передачи данных может позволить допустимости собранных доказательств».
«Обнаружение отшельника добавляет еще одну часть головоломки к картине скрытного рынка« законных инструментов наблюдения », - написал Шунк.«Если есть законное использование этой технологии, она, безусловно, требует строгого надзора и защиты от злоупотреблений».