С началом протестных акций, охвативших Казахстан в январе этого года, государство стало использовать шпионское программное обеспечение для слежки за активистами. Этот факт установила исследовательская группа по кибербезопасности Lookout Threat Lab, которая выявила последние версии этой программы в апреле, говорится в опубликованном докладе.
Программа Hermit функционально похожа на израильскую программу-шпион Pegasus. Однако считается, что ПО было разработано итальянской группой RCS labs, а телекоммуникационная компания Tykelab выступала в качестве подставной. Hermit создали специально для устройств Android, хотя специалисты считают, что существует аналогичная версия для IOS.
«Hermit − это модульная программа для слежки, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее установки. <...> Ее вредоносный функционал скрыт в дополнительных полезных процессах, которые вредоносная программа загружает по мере необходимости. <...> Она названа в честь пути к выделенному серверу, используемому командно-контрольным пунктом (C2) злоумышленника», − говорится в отчете Lookout Threat Lab.
На первом этапе процессы, запущенные вредоносным ПО, расшифровывают встроенные конфигурационные файлы со свойствами, которые используются для связи с сервером злоумышленника. Но прежде чем установить эту связь, Hermit выполняет ряд проверок, чтобы убедиться, что его не пытаются вычислить. Как только вредоносная программа соединяется с сервером, она получает инструкции о том, какие модули из «захваченного» устройства необходимо выгрузить. Всего программа позволяет извлекать 16 модулей с данными, среди которых системные логи и информация об устройстве, история всех действий в приложениях WhatsApp и Telegram, аудиозаписи, доступ к камере, загруженные из интернета файлы, список уведомлений, снимки экрана и т.д.
Январские протесты в Казахстане начались после двукратного повышения цен на сжиженный газ. Основной причиной народного недовольства стала политика бывшего президента Нурсултана Назарбаева, правившего Казахстаном с момента обретения им независимости в 1991 году. Он ушел в отставку в 2019 году, самостоятельно выбрав преемника, но неформально продолжал сохранять реальную власть в своих руках. Его семья контролировала большую часть экономики страны.
В Lookout Threat Lab полагают, что клиент вредоносного ПО, разработанного компанией RCS Lab, выявлен в Казахстане впервые: «Мы обнаружили образцы этого ПО в апреле 2022 года. Они скрывались под названием "oppo.service", выдавая себя за китайского производителя электроники Oppo. Веб-сайт, который вредоносная программа использовала для маскировки своей активности − это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com) на казахском языке, не работающая с тех самых пор. Мы также обнаружили образцы, выдающие себя за Samsung и Vivo».
«Версии ПО, использовавшиеся во время слежки казахстанских властей за активистами, подключались к С2 адресу 45.148.30[.]122:58442. Однако дальнейший анализ сервера C2 шпионской программы показал, что этот IP-адрес используется как прокси для реального сервера C2 по адресу 85.159.27[.]61:8442. Реальный IP-адрес C2 администрируется компанией STS Telecom, небольшим интернет-провайдером, работающим из Нур-Султана, столицы Казахстана. Судя по скудным онлайн-записям, STS специализируется на "других проводных телекоммуникациях" и кабельных услугах», − говорится в докладе Lookout Threat Lab.
Казахстан − не единственная страна, где было установлено шпионское ПО Hermit. Исследователи Lookout Threat Lab также обнаружили доказательства его использования в Рожаве, регионе северной Сирии, где большинство населения составляют курды. Эта территория находится под контролем турецких военных и сирийского правительства Башара Асада.
«До обнаружения данных о Казахстане, в пассивных DNS-записях Hermit мы нашли свидетельства о «Рожаве», курдоязычном регионе на северо-востоке Сирии», − заявили в Lookout Threat Lab. «Найденный нами домен (rojavanetwork[.]info) имитирует "Rojava Network", социальную площадку на Facebook и Twitter, которая публикует новости и сводки политического анализа региона, часто поддерживающие операции Сирийских демократических сил.
Программное обеспечение также было развернуто в стране его происхождения − Италии, о чем ее парламент сообщил в 2021 году.
«Итальянские власти потенциально неправильно использовали его в антикоррупционной операции», − говорится в докладе Lookout Threat Lab.
Помимо Казахстана и Сирии, лаборатория RCS также имеет связи с Пакистаном, Чили, Монголией, Бангладеш, Вьетнамом, Мьянмой и Туркменистаном.
Власть — это независимое медиа в Казахстане.
Поддержите журналистику, которой доверяют.