Израильская компания, продающая шпионские программы правительствам, использовала поддельные сайты движения Black Lives Matter и правозащитной организации Amnesty International для хакерских атак, утверждает газета «Гардиан».
Исследователи из лаборатории Citizen Lab Университета Торонто, сотрудничающие с Microsoft, опубликовали отчет о Candiru, компании из Тель-Авива, продающей «неотслеживаемые» шпионские программы, которые могут заражать и контролировать компьютеры и телефоны.
Одним из способов заражения предположительно является использование фальшивых сайтов, и исследователи обнаружили, что программное обеспечение компании было связано с URL-адресами, маскирующимися под неправительственные организации, защитников прав женщин, группы активистов, организации здравоохранения и новостные СМИ. Исследование Citizen Lab выявило сайты, связанные с Candiru, с такими доменными именами, как “Amnesty Reports”, "Refugee International", "Woman Studies", "Euro News" и "CNN 24-7".
Исследователи не подтвердили причастность к деятельности компании каких-либо конкретных правительств. Microsoft заявила, что, по всей видимости, Candiru продает шпионское ПО, которое позволяет осуществлять взломы, и, как правило, правительства сами выбирают, на кого нацелиться, и сами проводят операции.
Результаты исследования свидетельствуют, что секретная и малоизвестная компания с широким глобальным охватом может помогать правительствам взламывать и отслеживать людей в гражданском обществе. Отчет появился на фоне растущей обеспокоенности по поводу технологий наблюдения, которые могут способствовать нарушениям прав человека, незаконному мониторингу со стороны правоохранительных органов и пресечению деятельности активистов.
Microsoft провел собственный анализ и сообщил, что обнаружил не менее 100 целей вредоносного ПО, связанного с Candiru, включая политиков, правозащитников, журналистов, ученых, сотрудников посольств и политических диссидентов. Это люди, живущие в Великобритании, Палестинской автономии, Израиле, Иране, Ливане, Йемене, Испании, Турции, Армении и Сингапуре, говорится в отчете.
Microsoft сообщил, что обезвредил Candiru и создал средства защиты от вредоносной программы, включая выпуск обновления программного обеспечения Windows.
У разведывательных фирм или их правительственных клиентов нет законных причин для создания веб-сайтов, выдающих себя за известные активистские группы и некоммерческие организации, сказал в интервью Билл Марчак, соавтор доклада.
Активисты, ставшие объектом атаки, переходят по ссылкам, которые кажутся ссылками на надежные источники, а затем попадают на сайт, где в фоновом режиме запускается код, который незаметно перехватывает контроль над их компьютером.
Вредоносная программа может обеспечить постоянный доступ практически ко всем данным на компьютере, что потенциально позволит правительствам красть пароли и документы или включать микрофон, чтобы шпионить за окружением жертвы.
«Пользователь и не поймет, что тут что-то не так», – сказал Марчак, старший научный сотрудник Citizen Lab, который тщательно изучал британские, немецкие и итальянские компании, занимающиеся разработкой шпионских программ, и ранее раскрыл деятельность NSO Group, другой израильской компании, которая якобы позволила правительству взломать телефоны журналистов и активистов.
Использование шпионских программ может иметь разрушительные последствия для активистов и диссидентов. Так, Ахмед Мансур, правозащитник из Объединенных Арабских Эмиратов, был арестован и избит после того, как его телефон взломали и следили за ним с помощью шпионских программ, приобретенных ОАЭ.
Как говорится в докладе, компания Candiru была основана в 2014 году и с тех пор несколько раз меняла название. Предполагается, что сейчас она зарегистрирована как Saito Tech Ltd, но по-прежнему известна как Candiru. В 2017 году объем продаж фирмы составил около 30 млн долларов, она обслуживала клиентов в Персидском заливе, Западной Европе и Азии. Возможно, компания заключила сделки с Узбекистаном, Саудовской Аравией и ОАЭ. Попавший в руки исследователей документ утверждает, что продукт не используется в США, России, Китае, Израиле или Иране.
Однако Microsoft сообщил, что им известны жертвы в Израиле и в Иране.
Citizen Lab заявила, что ей удалось идентифицировать компьютер, который был взломан вредоносной программой Candiru, а затем использовать жесткий диск для извлечения копии шпионской программы фирмы для Windows. Владелец компьютера был «политически активным» человеком в Западной Европе, говорится в отчете.
Команда также выявила более 750 доменных имен, которые, как оказалось, были связаны с Candiru и ее клиентами. Помимо сайтов, маскирующихся под некоммерческие организации, исследователи обнаружили URL-адреса, которые выдавали себя за леворадикальное индонезийское издание; сайт, публикующий обвинительные заключения израильских судов в отношении палестинских заключенных; сайт, критикующий кронпринца Саудовской Аравии Мохаммеда бин Салмана; и сайт, связанный со Всемирной организацией здравоохранения.
«Очевидное присутствие Candiru и использование ее технологии слежки против глобального гражданского общества является мощным напоминанием о том, что индустрия наемных шпионских программ состоит из множества игроков и подвержена широкомасштабным злоупотреблениям, – говорится в докладе. – Этот случай еще раз демонстрирует, что в отсутствие каких-либо международных гарантий или жесткого государственного экспортного контроля поставщики шпионских программ будут продавать их правительственным клиентам, которые будут регулярно злоупотреблять их услугами».
03-02-2025, 10:25 AM
Linear Mode
