Возможно вас слушают. Спецслужбы Узбекистана «засветились» с новой шпионской программой

Пятница, 12 Мая 2023

В конце апреля-начале мая некоторые провайдеры Узбекистана (не все) заблокировали электронную почту Proton Mail, пользоваться которой теперь можно только через VPN. По-видимому, это связано с тем, что она считается одной из наиболее защищенных, т.е. спецслужбам трудно получить доступ к переписке интересующих их абонентов, в связи с чем поставщики интернет-услуг получили определенные «рекомендации».

За три недели до этого, 11 апреля, на сайте Университета Торонто (Канада) появилось исследование, которое, как в нес сообщается, выявило государственные закупки нового шпионского оборудования, разработанного израильской фирмой QuaDream.

Авторы пишут, что на основе информации, предоставленной службой Microsoft Threat Intelligence, было обнаружено как минимум пять человек, на устройства которых были установлены шпионского ПО и эксплойты (вредоносные программы, «заражающих» телефоны через уязвимые места браузеров и стандартных пользовательских программ – ред.) QuaDream в Северной Америке, Центральной и Юго-Восточной Азии, Европе и на Ближнем Востоке. Это журналисты, деятели оппозиции и работник НПО. Их имена не называются.

Словом, как только заражения QuaDream стали обнаруживаться техническими средствами, сразу выявился предсказуемый состав жертв: представители гражданского общества, то есть, те же мишени, о которых писали несколько лет назад в связи с выявлением таких шпионских программ как Pegasus от NSO Group, Predator от Cytrox, а до них Hacking Team и FinFisher.

Исследователи подозревают, что эксплойт, условно названный ими ENDOFDAYS, проникает через невидимые приглашения календаря iCloud, отправляемые оператором шпионского ПО.

QuaDream Ltd - израильская компания, специализирующаяся на разработке и продаже передовых цифровых технологий государственным клиентам. Она известна своим шпионским программным обеспечением, продаваемым под названием «Reign», которое, как и шпионское ПО Pegasus от NSO Group, как сообщается, использует эксплойты для взлома целевых устройств.

Недавние публикации СМИ показывают, что QuaDream продала свою продукцию ряду государственных клиентов.

В отчете об угрозах в индустрии наблюдения по найму за декабрь 2022 года компания Meta, объединяющая Facebook, Instagram и WhatsApp, упоминает о выявленной активности на её платформах, которую она приписала QuaDream.

Анализ образцов шпионского ПО позволил исследователям определить ряд функций, позволяющих имплантату следить за обладателем «зараженного» телефона. Как и похожие шпионские программы, имплант обладает целым рядом возможностей: от записи звонков с помощью горячего микрофона до более продвинутых возможностей поиска по внутреннему содержимому аппарата.

1

Выявленные шпионские возможности

По-видимому, он может записывать звук с телефонных звонков, с микрофона, вести фотосъемку через переднюю или заднюю камеру устройства, выполнять различные операции с файловой системой, включая поиск файлов, соответствующих заданным характеристикам, то есть, читать зашифрованные сообщения. (И это не весь список.)

«Мы обнаружили, что шпионское ПО также содержит функцию самоуничтожения, которая удаляет различные следы, оставленные самим шпионским ПО. Наш анализ функции самоуничтожения выявил имя процесса, используемое шпионским ПО, которое мы обнаружили на устройствах-жертвах», - говорится в исследовании.

Далее сообщается об обнаружении серверов, которые в период с конца 2021-года по начало 2023-го были связаны со шпионским ПО QuaDream и, по мнению авторов, используются для отправки эксплойтов на выбранные устройства, и последующего получения данных.

В нескольких случаях эти серверы удалось отследить до их операторов. Исследователи считают, что системы QuaDream эксплуатируются в Болгарии, Чехии, Венгрии, Гане, Израиле, Мексике, Румынии, Сингапуре, ОАЭ и в Узбекистане.

2

Расположение выявленных операторов QuaDream

Узбекистан, напоминают авторы отчета, имеет долгую историю серьезных нарушений прав человека, и режим налагает значительные ограничения на основные права человека, включая свободу выражения мнений, ассоциаций и мирных собраний. 

QuaDream работает в бизнесе уже несколько лет, разработала сложные продукты для шпионского ПО и, по всей видимости, сотрудничает с многочисленными государственными заказчиками по всему миру, резюмируют авторы отчета. 

Таким образом, закупка шпионского ПО и частичная блокировка Proton Mail, не позволяющая читать письма пользователей, - события из одного ряда.


Соб. инф.