В этом году местные власти взломали телефоны сербского журналиста и активиста с помощью устройства для разблокировки мобильных телефонов, изготовленного производителем криминалистических инструментов Cellebrite. Согласно новому отчету Amnesty International, целью властей было не только разблокировать телефоны для доступа к их личным данным, как это позволяет Cellebrite, но и установить шпионское ПО для обеспечения дальнейшего наблюдения.
В своем отчете Amnesty заявила, что, по ее мнению, это «первые задокументированные судебно-медицинской экспертизой заражения шпионским ПО, вызванные использованием» инструментов Cellebrite.
Этот грубый, но эффективный метод — один из многих способов, с помощью которых правительства используют шпионское ПО для слежки за своими гражданами. За последнее десятилетие такие организации, как Amnesty и группа по защите цифровых прав Citizen Lab, задокументировали десятки случаев, когда правительства использовали передовые шпионские программы, созданные западными поставщиками технологий наблюдения, такими как NSO Group, Intellexa и ныне несуществующая пионер шпионского ПО Hacking Team и другие. , для удаленного взлома диссидентов, журналистов и политических оппонентов.
Теперь, когда шпионские программы нулевого дня и удаленно установленные шпионские программы становятся все дороже благодаря улучшениям безопасности, властям, возможно, придется больше полагаться на менее сложные методы, такие как физический доступ к телефонам, которые они хотят взломать.
Хотя во всем мире произошло множество случаев злоупотребления шпионским ПО, нет никакой гарантии, что они не могли (или не произойдут) произойти в Соединенных Штатах. В ноябре Forbes сообщил, что Иммиграционная и таможенная служба Министерства внутренней безопасности (ICE) потратила 20 миллионов долларов на приобретение инструментов для взлома телефонов и наблюдения, в том числе Cellebrite. Учитывая обещанную избранным президентом Дональдом Трампом кампанию по массовой депортации, Форбс Как сообщается, эксперты обеспокоены тем, что ICE усилит свою шпионскую деятельность, когда новая администрация возьмет под свой контроль Белый дом.
Краткая история первых шпионских программ
История имеет свойство повторяться. Даже когда впервые появляется что-то новое (или недокументированное), вполне возможно, что на самом деле это повторение того, что уже произошло.
Двадцать лет назад, когда правительственное шпионское ПО уже существовало, но мало что было известно в антивирусной индустрии, призванной защищаться от него, физическая установка шпионского ПО на компьютер жертвы позволяла полицейским получить доступ к их сообщениям. Властям приходилось иметь физический доступ к устройству цели (иногда путем взлома дома или офиса), а затем вручную устанавливать шпионское ПО.
Связаться с нами
Есть ли у вас дополнительная информация о правительственном шпионском ПО и его создателях? С нерабочего устройства вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.
Вот почему, например, ранние версии шпионского ПО Hacking Team середины 2000-х годов были предназначены для запуска с USB-накопителя или компакт-диска. Еще раньше, в 2001 году, ФБР ворвалось в офис бандита Никодемо Скарфо, чтобы установить шпионское ПО, предназначенное для отслеживания того, что Скарфо печатает на его клавиатуре, с целью украсть ключ, который он использовал для шифрования своих электронных писем.
Эти методы возвращают популярность, если не по необходимости.
Citizen Lab задокументировала случай, произошедший ранее в 2024 году, когда российская разведка ФСБ якобы установила шпионское ПО на телефон гражданина России Кирилла Парубца, оппозиционного политического активиста, который проживал в Украине с 2022 года, пока тот находился под стражей. Российские власти заставили Парабутса сообщить пароль своего телефона, прежде чем установить шпионское ПО, способное получить доступ к его личным данным.
Остановись и ищи
В недавних случаях в Сербии Amnesty обнаружила новое шпионское ПО на телефонах журналиста Славиши Миланова и молодежного активиста Николы Ристича.
В феврале 2024 года местная полиция остановила Миланова для, похоже, обычной проверки дорожного движения. Позже его доставили в полицейский участок, где во время допроса агенты забрали его телефон Android, Xiaomi Redmi Note 10S, сообщает Amnesty.
Когда Миланов получил его обратно, он сказал, что нашел что-то странное.
«Я заметил, что у меня отключены мобильные данные (передача данных) и Wi-Fi. Приложение для передачи мобильных данных на моем мобильном телефоне всегда включено. Это было первое подозрение, что кто-то проник в мой мобильный телефон», — рассказал Миланов в недавнем интервью TechCrunch.
Миланов сказал, что затем он использовал StayFree, программное обеспечение, которое отслеживает, сколько времени кто-то использует свои приложения, и заметил, что «многие приложения были активны», в то время как телефон предположительно был выключен и находился в руках полиции, которая, по его словам, никогда этого не делала. попросил или заставил его сообщить пароль своего телефона.
«Оно показало, что в период с 11:54 до 13:08 в основном были активированы приложения «Настройки» и «Безопасность», а также «Диспетчер файлов», а также «Google Play Store», «Рекордер», «Галерея», «Контакт», что совпадает с временем включения телефона Со мной не было», — сказал Миланов.
«За это время они извлекли из моего мобильного телефона 1,6 ГБ данных», — сказал он.
В этот момент Миланов был «неприятно удивлен и очень разгневан» и у него возникло «плохое предчувствие» по поводу того, что его конфиденциальность будет скомпрометирована. Он связался с Amnesty International, чтобы провести судебно-медицинскую проверку его телефона.
Донча О Сирбхейл, руководитель лаборатории безопасности Amnesty, проанализировал телефон Миланова и действительно обнаружил, что он был разблокирован с помощью Cellebrite и на него было установлено шпионское ПО для Android, которое Amnesty называет NoviSpy, от сербского слова «новый».
Шпионское ПО, вероятно, «широко» используется в гражданском обществе
Анализ шпионского ПО NoviSpy, проведенный Amnesty, и ряд ошибок службы оперативной безопасности (OPSEC) указывают на то, что разработчиком шпионского ПО является сербская разведка.
Согласно отчету Amnesty, шпионское ПО использовалось для «систематического и скрытого заражения мобильных устройств во время ареста, задержания или, в некоторых случаях, информационных интервью с представителями гражданского общества. Во многих случаях аресты или задержания, судя по всему, были организованы с целью обеспечить тайный доступ к устройству человека с целью извлечения данных или заражения устройства», — сообщает Amnesty.
Amnesty полагает, что NoviSpy, скорее всего, был разработан в этой стране, судя по тому факту, что в коде есть комментарии и строки на сербском языке, и что он был запрограммирован для взаимодействия с серверами в Сербии.
Ошибка сербских властей позволила исследователям Amnesty связать NoviSpy с Сербским информационным агентством безопасности, известным как Bezbedonosno-informaciona Agencija (BIA), и одним из его серверов.
В ходе анализа исследователи Amnesty обнаружили, что NoviSpy был разработан для связи с конкретным IP-адресом: 195.178.51.251.
В 2015 году тот же IP-адрес был связан с агентом сербского BIA. В то время Citizen Lab обнаружила, что этот конкретный IP-адрес идентифицировал себя как «DPRODAN-PC» в поисковой системе Shodan, которая перечисляет серверы и компьютеры, подключенные к Интернету. Как выяснилось, человек с адресом электронной почты, содержащим слово «dprodan», связался с производителем шпионского ПО Hacking Team по поводу демо-версии в феврале 2012 года. Согласно просочившимся электронным письмам от Hacking Team, сотрудники компании провели демо-версию в столице Сербии Белграде. примерно в эту дату, что привело Citizen Lab к выводу, что «дпродан» также является сотрудником сербского BIA.
Тот же диапазон IP-адресов, определенный Citizen Lab в 2015 году (195.178.51.xxx), по-прежнему связан с BIA, согласно Amnesty, которая заявила, что обнаружила, что общедоступный веб-сайт BIA недавно размещался в этом диапазоне IP-адресов.
Amnesty заявила, что провела судебно-медицинскую экспертизу двух десятков членов сербского гражданского общества, большинство из которых являются пользователями Android, и обнаружила других людей, зараженных NoviSpy. По данным Amnesty, некоторые подсказки в коде шпионского ПО позволяют предположить, что BIA и сербская полиция широко его используют.
BIA и Министерство внутренних дел Сербии, которое курирует сербскую полицию, не ответили на запрос TechCrunch о комментариях.
Код NoviSpy содержит то, что, по мнению исследователей Amnesty, могло быть увеличивающимся идентификатором пользователя, который в случае одной жертвы составлял 621. В случае другой жертвы, зараженной примерно месяц спустя, это число было выше 640, что позволяет предположить, что власти заразили больше чем двадцать человек за это время. Исследователи Amnesty заявили, что нашли версию NoviSpy, датированную 2018 годом, в VirusTotal, онлайн-хранилище сканирования вредоносных программ, что позволяет предположить, что вредоносное ПО разрабатывалось в течение нескольких лет.
В рамках исследования шпионского ПО, используемого в Сербии, Amnesty также выявила эксплойт нулевого дня в чипсетах Qualcomm, использованный против устройства сербского активиста, вероятно, с использованием Cellebrite. В октябре компания Qualcomm объявила, что устранила уязвимость после обнаружения Amnesty.
Когда представитель Cellebrite Виктор Купер обратился за комментариями, он заявил, что инструменты компании нельзя использовать для установки вредоносного ПО, «это должна сделать третья сторона».
Представитель Cellebrite отказался предоставить подробную информацию о своих клиентах, но добавил, что компания «проведет дальнейшее расследование». Компания заявила, что если Сербия нарушит свое соглашение с конечным пользователем, компания «проведет повторную оценку, входит ли она в число 100 стран, с которыми мы ведем бизнес».
