В понедельник исследователи из компании «Лаборатория Касперского» опубликовали отчёт, в котором идентифицирована новая шпионская программа Dante, которая, по их словам, атаковала пользователей Windows в России и соседней Беларуси. Исследователи заявили, что Dante разработана компанией Memento Labs, миланским производителем систем видеонаблюдения, основанной в 2019 году после того, как новый владелец приобрёл и взял под свой контроль раннюю компанию-разработчика шпионского ПО Hacking Team.
Генеральный директор Memento Паоло Лецци подтвердил изданию TechCrunch, что обнаруженное «Лабораторией Касперского» шпионское ПО действительно принадлежит Memento.
В разговоре Леззи обвинил одного из государственных клиентов компании в разоблачении Данте, заявив, что клиент использовал устаревшую версию шпионского ПО для Windows, поддержка которой компанией Memento прекратится к концу этого года.
«Очевидно, они использовали агента, который уже был мертв», — сказал Леззи в интервью TechCrunch, имея в виду «агент» как техническое название шпионского ПО, внедренного на компьютер цели.
«Я думал, что [государственный заказчик] им уже даже не пользуется», — сказал Леззи.
Леззи, который не уверен, кто именно из клиентов компании был обнаружен, добавил, что Memento уже обратилась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows. Леззи отметил, что компания предупреждала клиентов о том, что «Лаборатория Касперского» обнаруживала заражения шпионским ПО Dante ещё в декабре 2024 года. Он добавил, что Memento планирует в среду снова разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.
Он также сообщил, что в настоящее время Memento разрабатывает шпионское ПО только для мобильных платформ. Компания также разрабатывает уязвимости нулевого дня — то есть уязвимости безопасности в программном обеспечении, неизвестные производителю, которые могут быть использованы для доставки шпионского ПО. Однако, по словам Лецци, компания в основном получает эксплойты от сторонних разработчиков.
Связаться с нами
Есть ли у вас дополнительная информация о Memento Labs? Или о других разработчиках шпионского ПО? С нерабочего устройства вы можете связаться с Лоренцо Франчески-Биккьераи по безопасному номеру Signal +1 917 257 1382, через Telegram, Keybase и Wire @lorenzofb или по электронной почте.
Представитель «Лаборатории Касперского» Май Аль Акка в беседе с TechCrunch не стал сообщать, какое именно правительство, по мнению «Лаборатории Касперского», стоит за шпионской кампанией, но отметил, что это «кто-то, кто смог использовать программное обеспечение Dante».
«Группа выделяется хорошим владением русским языком и знанием местных особенностей, что, по наблюдениям Касперского, было замечено и в других кампаниях, связанных с этой [поддерживаемой правительством] угрозой. Однако отдельные ошибки указывают на то, что злоумышленники не были носителями языка», — рассказал Аль Акка TechCrunch.
В новом отчёте «Лаборатории Касперского» сообщается об обнаружении хакерской группы, использующей шпионское ПО Dante, которое компания называет «ФорумТроллем». В нём описывается, как хакеры атаковали пользователей, получивших приглашения на российский политико-экономический форум «Примаковские чтения». По данным «Лаборатории Касперского», хакеры атаковали представителей широкого спектра отраслей в России, включая СМИ, университеты и государственные организации.
Обнаружение Данте «Лабораторией Касперского» произошло после того, как российская компания, специализирующаяся на кибербезопасности, заявила об обнаружении «волны» кибератак с фишинговыми ссылками, эксплуатирующими уязвимость нулевого дня в браузере Chrome. Lezzi заявил, что уязвимость нулевого дня в Chrome не была разработана Memento.
В своем отчете исследователи «Лаборатории Касперского» пришли к выводу, что Memento «продолжал совершенствовать» шпионское ПО, изначально разработанное Hacking Team, вплоть до 2022 года, когда шпионское ПО было «заменено Dante».
Леззи признал, что некоторые «аспекты» или «поведения» шпионского ПО Memento для Windows, возможно, остались от шпионского ПО, разработанного Hacking Team.
Верным признаком того, что обнаруженное «Лабораторией Касперского» шпионское ПО принадлежало Memento, было то, что разработчики предположительно оставили в коде шпионского ПО слово «DANTEMARKER» — явную ссылку на имя Данте, которое Memento ранее публично раскрыла на конференции по технологиям слежки, по словам Касперского.
Подобно шпионскому ПО Dante от Memento, некоторые версии шпионского ПО Hacking Team под кодовым названием Remote Control System были названы в честь исторических итальянских деятелей, таких как Леонардо да Винчи и Галилео Галилей.
История взломов
В 2019 году Леззи приобрёл Hacking Team и переименовал её в Memento Labs. По словам Леззи, он заплатил за компанию всего один евро и планировал начать всё заново.
«Мы хотим изменить абсолютно всё», — заявил владелец Memento изданию Motherboard после приобретения в 2019 году. «Мы начинаем с нуля».
Год спустя генеральный директор и основатель Hacking Team Дэвид Винченцетти объявил, что Hacking Team «мертва».
Когда он приобрел Hacking Team, Леззи рассказал TechCrunch, что у компании осталось всего три государственных заказчика, что значительно меньше, чем 40 государственных заказчиков, которые были у Hacking Team в 2015 году. В том же году хакер по имени Финеас Фишер взломал серверы стартапа и похитил около 400 гигабайт внутренних писем, контрактов, документов и исходного кода шпионского ПО.
До взлома клиенты Hacking Team в Эфиопии, Марокко и Объединённых Арабских Эмиратах были уличены в использовании шпионского ПО компании для атак на журналистов, критиков и диссидентов. После того, как Финеас Фишер опубликовал внутренние данные компании в интернете, журналисты выяснили, что мексиканское региональное правительство использовало шпионское ПО Hacking Team для атак на местных политиков, и что Hacking Team продавала его странам с нарушениями прав человека, включая Бангладеш, Саудовскую Аравию и Судан.
Леззи отказался сообщить TechCrunch, сколько сейчас клиентов у Memento, но дал понять, что их меньше 100. Он также сообщил, что из бывших сотрудников Hacking Team в Memento осталось всего двое.
По словам Джона Скотта-Рейлтона, старшего научного сотрудника, который в течение десяти лет исследовал случаи злоупотребления шпионским ПО в Лаборатории Citizen Lab Университета Торонто, обнаружение шпионского ПО Memento показывает, что этот тип технологий слежки продолжает распространяться. Это также показывает,
Кроме того, скандальная компания может рухнуть из-за громкого взлома и нескольких скандалов, но из ее пепла все равно может восстать новая компания с совершенно новым шпионским ПО.
«Это говорит нам о том, что нам нужно продолжать бояться последствий», — сказал Скотт-Рейлтон TechCrunch. «Это говорит о многом: отголоски самого радиоактивного, опозоренного и взломанного бренда всё ещё живы».
Источник: techcrunch.com
