Pirmadienį kibernetinio saugumo milžinės „Kaspersky“ tyrėjai paskelbė ataskaitą, kurioje identifikuojama nauja šnipinėjimo programa „Dante“, kuri, jų teigimu, buvo skirta „Windows“ aukoms Rusijoje ir kaimyninėje Baltarusijoje. Tyrėjai teigė, kad „Dante“ šnipinėjimo programas gamina Milane įsikūrusi stebėjimo technologijų gamintoja „Memento Labs“, kuri buvo įkurta 2019 m., kai naujas savininkas įsigijo ir perėmė ankstyvą šnipinėjimo programų gamintoją „Hacking Team“.
„Memento“ generalinis direktorius Paolo Lezzi patvirtino „TechCrunch“, kad „Kaspersky“ sugauta šnipinėjimo programa iš tikrųjų priklauso „Memento“.
Skambutyje Lezzi apkaltino vieną iš bendrovės vyriausybinių klientų dėl Dantės atskleidimo, sakydamas, kad klientas naudojo pasenusią „Windows“ šnipinėjimo programos versiją, kurios „Memento“ nebepalaikys iki šių metų pabaigos.
„Akivaizdu, kad jie naudojo agentą, kuris jau buvo miręs“, – „TechCrunch“ sakė Lezzi, turėdamas omenyje „agentą“ kaip techninį žodį, apibūdinantį šnipinėjimo programą, įdiegtą taikinio kompiuteryje.
„Maniau, kad (vyriausybinis klientas) jo net nebenaudojo“, – sakė Lezzi.
Lezzi, kuris teigė nesąs tikras, kurie bendrovės klientai buvo sugauti, pridūrė, kad „Memento“ jau paprašė, kad visi jos klientai nustotų naudoti „Windows“ kenkėjiškas programas. Lezzi teigė, kad bendrovė įspėjo klientus, kad „Kaspersky“ aptiko Dante šnipinėjimo programų užkrėtimą nuo 2024 m. gruodžio mėn. Jis pridūrė, kad „Memento“ planuoja trečiadienį išsiųsti pranešimą visiems savo klientams, prašydamas dar kartą nustoti naudoti „Windows“ šnipinėjimo programas.
Jis taip pat sakė, kad „Memento“ šiuo metu kuria tik šnipinėjimo programas mobiliosioms platformoms. Bendrovė taip pat sukuria keletą nulinių dienų – tai reiškia, kad pardavėjui nežinomos programinės įrangos, kuri gali būti naudojama šnipinėjimo programoms, saugos trūkumai, tačiau, pasak Lezzi, bendrovė savo išnaudojimus dažniausiai gauna iš išorės kūrėjų.
Susisiekite su mumis
Ar turite daugiau informacijos apie Memento Labs? Ar kiti šnipinėjimo programų gamintojai? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram, Keybase ir Wire @lorenzofb arba el. paštu.
„TechCrunch“ susisiekęs „Kaspersky“ atstovas spaudai Mai Al Akka nepasakė, kuri vyriausybė, „Kaspersky“ nuomone, yra už šnipinėjimo kampanijos, bet kad tai „kas nors, kas galėjo naudoti Dante programinę įrangą“.
„Grupė išsiskiria stipriu rusų kalbos mokėjimu ir vietinių niuansų žiniomis, bruožais, kuriuos „Kaspersky” pastebėjo kitose kampanijose, susijusiose su šia (vyriausybės remiama) grėsme. Tačiau kartais pasitaikančios klaidos rodo, kad užpuolikams nebuvo gimtoji”, – sakė Al Akka „TechCrunch”.
Savo naujoje ataskaitoje „Kaspersky“ teigė radęs įsilaužimo grupę, naudojančią „Dante“ šnipinėjimo programą, kurią ji vadina „ForumTroll“, apibūdinančią taikymąsi į žmones, kviečiančius dalyvauti Rusijos politikos ir ekonomikos forume „Primakov Readings“. Kaspersky teigė, kad įsilaužėliai nusitaikė į daugybę Rusijos pramonės šakų, įskaitant žiniasklaidos priemones, universitetus ir vyriausybines organizacijas.
Kaspersky atrado Dantę po to, kai Rusijos kibernetinio saugumo įmonė pareiškė, kad aptiko kibernetinių atakų „bangą“ su sukčiavimo nuorodomis, kurios išnaudoja „Chrome“ naršyklės nulinę dieną. Lezzi teigė, kad „Chrome zero-day“ nebuvo sukurta „Memento“.
Savo ataskaitoje „Kaspersky“ tyrėjai padarė išvadą, kad „Memento“ „nuolat tobulino“ šnipinėjimo programas, kurias iš pradžių sukūrė „Hacking Team“, iki 2022 m., kai šnipinėjimo programas „pakeitė Dante“.
Lezzi pripažino, kad gali būti, kad kai kurie „Memento“ „Windows“ šnipinėjimo programų „aspektai“ ar „elgesys“ liko iš „Hacking Team“ sukurtų šnipinėjimo programų.
Įspūdingas ženklas, kad „Kaspersky“ sugauta šnipinėjimo programa priklausė „Memento“, buvo tai, kad kūrėjai tariamai paliko žodį „DANTEMARKER“ šnipinėjimo programos kode – aiškią nuorodą į vardą Dante, kurį „Memento“ anksčiau ir viešai atskleidė stebėjimo technologijų konferencijoje „Kaspersky“.
Panašiai kaip „Memento“ Dante šnipinėjimo programa, kai kurios „Hacking Team“ šnipinėjimo programos, kodiniu pavadinimu Remote Control System, versijos buvo pavadintos istorinių Italijos veikėjų, tokių kaip Leonardo Da Vinci ir Galileo Galilei, vardais.
Įsilaužimų istorija
2019 m. „Lezzi“ įsigijo „Hacking Team“ ir pervadino ją į „Memento Labs“. Pasak Lezzi, jis už įmonę sumokėjo tik vieną eurą ir planas buvo pradėti iš naujo.
„Mes norime pakeisti absoliučiai viską“, – po įsigijimo 2019 m. „Motherboard“ sakė „Memento“ savininkas. „Mes pradedame nuo nulio.
Po metų „Hacking Team“ generalinis direktorius ir įkūrėjas Davidas Vincenzetti paskelbė, kad „Hacking Team“ yra „miręs“.
Įsigijęs „Hacking Team“, Lezzi pasakė „TechCrunch“, kad įmonėje liko tik trys vyriausybiniai klientai, tai yra toli nuo daugiau nei 40 vyriausybės klientų, kuriuos turėjo „Hacking Team“ 2015 m. Tais pačiais metais įsilaužėlis, vardu Phineas Fisher, įsiveržė į paleisties serverius ir išsiurbė apie 400 gigabaitų vidinių el. laiškų, sutarčių programinės įrangos ir kodų.
Prieš įsilaužimą „Hacking Team“ klientai Etiopijoje, Maroke ir Jungtiniuose Arabų Emyratuose buvo užklupti nusitaikę į žurnalistus, kritikus ir disidentus, naudojantys bendrovės šnipinėjimo programas. Kai Phineas Fisher paskelbė vidinius įmonės duomenis internete, žurnalistai atskleidė, kad Meksikos regiono vyriausybė naudojo „Hacking Team“ šnipinėjimo programinę įrangą, kad taikytųsi vietos politikai, ir kad „Hacking Team“ parduodavo šalis, kuriose pažeidžiamos žmogaus teisės, įskaitant Bangladešą, Saudo Arabiją ir Sudaną.
Lezzi atsisakė pasakyti „TechCrunch“, kiek „Memento“ šiuo metu turi klientų, tačiau nurodė, kad tai yra mažiau nei 100 klientų. Jis taip pat sakė, kad iš buvusių „Hacking Team“ darbuotojų liko tik du dabartiniai „Memento“ darbuotojai.
„Memento“ šnipinėjimo programų atradimas rodo, kad tokio tipo stebėjimo technologijos vis daugėja, teigia Johnas Scottas-Railtonas, vyresnysis tyrėjas, dešimtmetį tyręs piktnaudžiavimą šnipinėjimo programomis Toronto universiteto Piliečių laboratorijoje. Tai taip pat rodo
Be to, prieštaringai vertinama įmonė gali mirti dėl įspūdingo įsilaužimo ir kelių skandalų, o nauja įmonė su visiškai nauja šnipinėjimo programa vis tiek gali išeiti iš pelenų,
„Tai mums sako, kad turime išlaikyti pasekmių baimę“, – „TechCrunch“ sakė Scott-Railton. „Daug sako, kad radioaktyviausio, gėdingiausio ir labiausiai nulaužto prekės ženklo atgarsiai vis dar yra šalia.
