Таинственная структура сдает правительствам в аренду ПО для слежки за собственными гражданами

Безопасность Стратегия безопасности ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев
Обнаружена платформа Dark Caracal, сдаваемая в аренду правительствам разных стран для шпионажа и слежки за гражданами.

«Дикая кошка» в темной комнате

Фонд электронных рубежей (EFF) совместно с компанией Lookout, занимающейся вопросами сетевой безопасности, объявили об обнаружении шпионской платформы Dark Caracal (степная рысь), которую некие неизвестные пока разработчики предлагает правительствам разных стран для шпионажа и слежки за собственными гражданами. На данный момент известно, что платформу использует Директорат общей безопасности Ливана - разведывательное агентство, которое уже вытянуло гигабайты информации из мобильных устройств на базе Android и ПК на базе Windows.

Ранее ту же инфраструктуру предположительно использовало правительство Казахстана в рамках своей «Операции «Манул», направленной, по данным EFF, против журналистов, политических активистов и членов их семей. Описание операции было представлено ещё в 2016 году на конференции Black Hat.

По мнению экспертов EFF и Lookout, существует некая «третья сторона», которая занималась разработками платформы, а затем стала сдавать ее в аренду.

Основная мишень Dark Caracal - устройства на Android

В настоящее время EFF и Lookout пытаются установить подлинных авторов Dark Caracal. Очевидно, какие-то сведения по этому поводу у них уже есть, но они хотят убедиться в правильности своих выводов. К лету 2018 г. ими обещана новая публикация по этой теме.

«Погладь кота!»

К настоящему моменту Dark Caracal использовался в том или ином виде для шпионажа и хищения данных у тысяч жертв в 21 странах мира, - личных документов, записей звонков, аудиозаписей, текстовых сообщений, контактных данных, а также фотографий военных объектов, правительственных учреждений и коммерческих предприятий.

Большая часть целей платформы приходится на Ближний Восток, но затронуты также США, Западная Европа, Китай и Северная Африка.

После публикации EFF досье на «Операцию «Манул» в 2016 г. Lookout обнаружили ещё один компонент платформы Dark Caracal - вредоносную программу для Android под названием Pallas, используемый для захвата контроля над смартфонами. Pallas распространяется вместе с фальшивыми клиентами WhatsApp и Signal (устанавливаемыми из неофициальных магазинов). Pallas не использует никаких неизвестных уязвимостей, полагаясь целиком на доверчивость пользователей.

После установки на устройство, Pallas может выполнять множество разных функций - от записи аудио, до перекачивания данных на смартфоны операторов трояна.

Кроме того, исследователи обнаружили ещё одно средство слежения - FinFisher, ранее неизвестную разновидность шпионского инструмента, разработанного европейскими компаниями, специализирующимися на «законных» инструментах для слежки. Пока неизвестно, был ли он приобретен создателями Dark Caracal официально, или это взломанная и модифицированная демо-версия.

Для десктопов Dark Caracal использует троянец Bandook, распространяемый с помощью поддельных сертификатов безопасности и Word-файлов с вредоносными макросами. Bandook в случае необходимости скачивает и другие вредоносные программы с удаленных серверов.