Программист рассказал, что Федеральная служба безопасности России (ФСБ) установила шпионское ПО на его телефон Android после того, как он был задержан в Москве в начале этого года. Исследователи безопасности подтвердили, что на его телефоне было установлено шпионское ПО, вероятно, тогда, когда власти получили физический доступ к его телефону и заставили его сообщить свой пароль.
Для программиста Кирилла Парубца это было страшное и травмирующее испытание. Но благодаря его компьютерным знаниям и бдительности, его история представляет собой редкий рассказ из первых рук о том, как российские власти установили шпионское ПО на одного из своих граждан — не с помощью технически продвинутой удаленной хакерской атаки, а с помощью более грубого подхода.
Парубец — российский системный аналитик, который идентифицирует себя как имеющий украинское происхождение, называет себя «оппозиционным политическим активистом» и живет в Украине с 2020 года. Парубец говорит, что он работал волонтером и оказывал финансовую и гуманитарную помощь украинцам после полномасштабного российского вторжения в Украину. 2022.
Парубец рассказал, что он и его жена вернулись в Россию в 2023 году, чтобы разобраться с некоторыми документами, поскольку они пытались получить молдавское гражданство, которое позволило бы им остаться в Украине.
18 апреля 2024 года шесть сотрудников ФСБ, вооруженных автоматами, ворвались в квартиру Парубца и его жены в Москве около 6:30 утра. «Нас повалили на пол, жену затащили в маленькую комнату, я лежал в коридоре. Нам не дали одеться», — говорится в его воспоминаниях о событиях, которые Парубец написал в документе, которым поделился с TechCrunch.
Агенты расспрашивали его о переводах денег украинцам, а также о друге Парубца, которого он называет псевдонимом Иван Иванов. (Парубец говорит, что изменил имя Ивана, чтобы защитить его.)
«Какой у тебя, черт возьми, пароль?» — спросил один из агентов Парубца, когда они забрали его телефон Android, согласно его воспоминаниям о событиях. Напуганный Парубец заявил, что выдал пароль.
В тот же день Парубец сообщил, что он и его жена были арестованы и приговорены к 15 суткам административного ареста. Во время задержания, где, по его словам, его также избивали, Парубец рассказал, что к нему приходили сотрудники ФСБ и спрашивали о его волонтерской деятельности и пожертвованиях в Украине, а также о пожертвованиях, которые он делал от имени своего друга Иванова, которые, по их утверждению, можно классифицировать как измена. Тогда сотрудники ФСБ, по словам Парубца, попросили его шпионить за Ивановым, который, по их словам, общался со спецслужбами Украины.
«Они угрожали мне и говорили, что посадят меня и мою жену пожизненно, если я не окажу им помощь», — рассказал Парубец.
Именно поэтому Парубец заявил, что решил сказать агентам, что согласен им помочь, хотя на самом деле он не планировал этого делать.
Затем, 3 мая, Парубец сообщил, что его и его жену отпустили, и он пошел забрать их вещи, в том числе свой телефон Android. Парубец сказал, что вскоре после этого заметил странное уведомление с надписью «Синхронизация Arm Cortex vx3», которое затем исчезло и перезагрузил телефон.
В этот момент Парубец, интересующийся кибербезопасностью, сказал, что осмотрел свой телефон и обнаружил подозрительное приложение, которому было несколько разрешений, предоставляющих доступ к множеству личных данных на телефоне. Тогда Парубец рассказал, что обратился в организацию юридической помощи «Первый отдел». Организация, в свою очередь, обратилась в Citizen Lab, занимающуюся исследованием безопасности и надзором за Интернетом в Университете Торонто, для анализа подозрительного приложения.
Согласно новому отчету Citizen Lab, опубликованному в четверг, авторами которого являются Купер Квинтин, Ребекка Браун и Джон Скотт-Рейлтон, приложение действительно было шпионским ПО.
Исследователи заявили, что подозрительное приложение, идентифицированное Парубцем, оказалось «троянизированной версией подлинного приложения Cube Call Recorder», законного приложения для записи звонков.
Согласно отчету, поддельное приложение могло получать доступ к информации о местоположении, читать и отправлять текстовые сообщения, устанавливать другие приложения, читать календарь, делать снимки экрана и записывать с видеокамеры, видеть список других приложений, отвечать на телефонные звонки и просматривать данные учетной записи пользователя — все разрешения, которых нет у настоящего Cube Call Recorder.
Разработчики Cube Call Recorder не ответили на просьбу о комментариях.
Технические эксперты First Department, а также Citizen Lab полагают, что шпионское ПО представляет собой новую версию вредоносного ПО под названием Monokle, основываясь на нескольких сходствах, которые шпионское ПО, использованное против Parubets, имеет по сравнению с предыдущей версией вредоносного ПО. В 2019 году Monokle была проанализирована фирмой по кибербезопасности Lookout. Тогда Lookout пришел к выводу, что Monokle был разработан Специальным технологическим центром, петербургской компанией, которая попала под санкции правительства США и других стран за оказание технологической помощи российскому правительству в его шпионской деятельности.
Посольство России в Вашингтоне, а также пресс-служба российского правительства не ответили на запрос о комментариях. Не сделал этого и попавший под санкции Специальный технологический центр.
По мнению Квинтина, одного из исследователей, анализировавших вредоносное ПО, судя по функциональным возможностям шпионского ПО, обнаруженного на телефоне Парубца, а также по предыдущей версии, проанализированной Lookout, «это вредоносное ПО создавалось профессионально на протяжении ряда лет».
Квинтин сказал, что история Парубета является напоминанием о том, что шпионские атаки не обязательно должны осуществляться издалека, как, например, с использованием шпионского ПО, созданного NSO Group.
«Люди тратят много времени на размышления об эксплойтах с нулевым щелчком мыши и атаках нулевого дня, но склонны забывать, что кто-то, имеющий физический доступ к вашему телефону и способный заставить вас разблокировать его с помощью насилия или угрозы насилия, с такой же вероятностью может стать риск», — сказал Квинтин TechCrunch.
В отчете Квинтин и его коллеги пришли к выводу, что «любой человек, чье устройство было конфисковано службой безопасности, должен предполагать, что этому устройству больше нельзя доверять».
Дмитрий Заир-Бек, руководитель правозащитного проекта «Первый департамент», обратился к российскому правительству и предупредил, что то, что случилось с Парубцем, может случиться и с другими.
«Мы ожидали, что нечто подобное делу Кирилла Парубца может начать происходить именно потому, что это прекрасно вписывается в логику российских спецслужб. Масштаб репрессий поистине ужасает, и главная проблема заключается в том, что больше нет «красных линий» дозволенного», — сказал Заир-Бек TechCrunch. «Помимо украинцев, в особо рискованной группе риска находятся граждане западных стран, посещающие Россию. Они являются заманчивой мишенью для вербовки и потенциального заключения в качестве заложников».
После освобождения Парубец заявил, что он и его жена покинули Россию. По иронии судьбы, его телефон, оснащенный шпионским ПО, возможно, помог ему сбежать, поскольку он оставил его еще в Москве.
«Мне нужно было притвориться, что я все еще в Москве», — сказал Парубец. «Чтобы выиграть время».
