Программа Hermit, похожая на ранее использовавшуюся государством Pegasus, была создана специально для устройств Android
С началом январских событий власти Казахстана стали следить за активистами с помощью шпионского ПО - исследователи
фото Notebookcheck.net

С началом протестных акций, охвативших Казахстан в январе этого года, государство стало использовать шпионское программное обеспечение для слежки за активистами. Этот факт установила исследовательская группа по кибербезопасности Lookout Threat Lab, которая выявила последние версии этой программы в апреле, говорится в опубликованном докладе.

Программа Hermit функционально похожа на израильскую программу-шпион Pegasus. Однако считается, что ПО было разработано итальянской группой RCS labs, а телекоммуникационная компания Tykelab выступала в качестве подставной. Hermit создали специально для устройств Android, хотя специалисты считают, что существует аналогичная версия для IOS.

«Hermit − это модульная программа для слежки, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее установки. <...> Ее вредоносный функционал скрыт в дополнительных полезных процессах, которые вредоносная программа загружает по мере необходимости. <...> Она названа в честь пути к выделенному серверу, используемому командно-контрольным пунктом (C2) злоумышленника», − говорится в отчете Lookout Threat Lab.

На первом этапе процессы, запущенные вредоносным ПО, расшифровывают встроенные конфигурационные файлы со свойствами, которые используются для связи с сервером злоумышленника. Но прежде чем установить эту связь, Hermit выполняет ряд проверок, чтобы убедиться, что его не пытаются вычислить. Как только вредоносная программа соединяется с сервером, она получает инструкции о том, какие модули из «захваченного» устройства необходимо выгрузить. Всего программа позволяет извлекать 16 модулей с данными, среди которых системные логи и информация об устройстве, история всех действий в приложениях WhatsApp и Telegram, аудиозаписи, доступ к камере, загруженные из интернета файлы, список уведомлений, снимки экрана и т.д.

Январские протесты в Казахстане начались после двукратного повышения цен на сжиженный газ. Основной причиной народного недовольства стала политика бывшего президента Нурсултана Назарбаева, правившего Казахстаном с момента обретения им независимости в 1991 году. Он ушел в отставку в 2019 году, самостоятельно выбрав преемника, но неформально продолжал сохранять реальную власть в своих руках. Его семья контролировала большую часть экономики страны.

В Lookout Threat Lab полагают, что клиент вредоносного ПО, разработанного компанией RCS Lab, выявлен в Казахстане впервые: «Мы обнаружили образцы этого ПО в апреле 2022 года. Они скрывались под названием "oppo.service", выдавая себя за китайского производителя электроники Oppo. Веб-сайт, который вредоносная программа использовала для маскировки своей активности − это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com) на казахском языке, не работающая с тех самых пор. Мы также обнаружили образцы, выдающие себя за Samsung и Vivo».

«Версии ПО, использовавшиеся во время слежки казахстанских властей за активистами, подключались к С2 адресу 45.148.30[.]122:58442. Однако дальнейший анализ сервера C2 шпионской программы показал, что этот IP-адрес используется как прокси для реального сервера C2 по адресу 85.159.27[.]61:8442. Реальный IP-адрес C2 администрируется компанией STS Telecom, небольшим интернет-провайдером, работающим из Нур-Султана, столицы Казахстана. Судя по скудным онлайн-записям, STS специализируется на "других проводных телекоммуникациях" и кабельных услугах», − говорится в докладе Lookout Threat Lab.

Казахстан − не единственная страна, где было установлено шпионское ПО Hermit. Исследователи Lookout Threat Lab также обнаружили доказательства его использования в Рожаве, регионе северной Сирии, где большинство населения составляют курды. Эта территория находится под контролем турецких военных и сирийского правительства Башара Асада.

«До обнаружения данных о Казахстане, в пассивных DNS-записях Hermit мы нашли свидетельства о «Рожаве», курдоязычном регионе на северо-востоке Сирии», − заявили в Lookout Threat Lab. «Найденный нами домен (rojavanetwork[.]info) имитирует "Rojava Network", социальную площадку на Facebook и Twitter, которая публикует новости и сводки политического анализа региона, часто поддерживающие операции Сирийских демократических сил.

Программное обеспечение также было развернуто в стране его происхождения − Италии, о чем ее парламент сообщил в 2021 году.

«Итальянские власти потенциально неправильно использовали его в антикоррупционной операции», − говорится в докладе Lookout Threat Lab.

Помимо Казахстана и Сирии, лаборатория RCS также имеет связи с Пакистаном, Чили, Монголией, Бангладеш, Вьетнамом, Мьянмой и Туркменистаном.

Редактор Власти

Еще по теме:
Свежее из этой рубрики