Национальная служба экономической разведки

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Коммерческое шпионское ПО

В последнее время коммерческое шпионское программное обеспечение (commercial spyware) все чаще попадает в заголовки. Причем речь не о специализированных ресурсах про информационные технологии или кибербезопасность — заметки о коммерческом шпионском ПО уже давно и регулярно появляются в непрофильных СМИ

 

 

Для начала разберемся с определением. Коммерческое шпионское ПО — это создаваемые частными компаниями легальные вредоносные программы, предназначенные для точечной слежки и сбора важных данных с устройств пользователей. Стандартный круг задач коммерческих шпионских программ: кража переписки, подслушивание звонков и слежка за местоположением. Часто для установки коммерческого шпионского ПО на устройства жертвы злоумышленники используют уязвимости нулевого дня, а во многих случаях — zero-click-эксплойты, которые делают возможным заражение без каких-либо действий со стороны атакуемого. Зловреды-шпионы всегда стараются быть как можно менее заметными: чем дольше жертва не будет догадываться о заражении, тем больше информации удастся собрать атакующим. Более того, в коммерческих шпионах зачастую предусмотрены инструменты для удаления следов заражения, чтобы атакуемые даже постфактум не могли заподозрить, что за ними кто-либо следил.

Хотя коммерческое шпионское ПО разрабатывают частные компании, продают они его, как правило, тем или иным государственным организациям — в первую очередь правоохранительным органам и прочим силовым ведомствам. В итоге коммерческое шпионское ПО используется в том числе для слежки за гражданскими активистами, журналистами и другими некриминальными лицами. Собственно, поэтому программы-шпионы регулярно попадают в новостные ленты.

 

Pegasus — NSO Group

Атакуемые ОС: iOS, Android

Использование уязвимостей нулевого дня: Apple iOS, Apple Safari, WhatsApp, Apple iMessage

Использование zero-click-эксплойтов: да

Страна происхождения: Израиль

Альтернативные названия: Chrysaor, DEV-0336, Night Tsunami

 

Теперь поговорим о конкретных компаниях — и начнем с наиболее популярного игрока рынка коммерческого шпионского ПО. Это, конечно же, печально известная израильская компания NSO Group, разработчик iOS-шпиона Pegasus и его версии для Android — Chrysaor. Ранняя версия Pegasus, обнаруженная в 2016 году, требовала от жертвы перейти по присланной ссылке, а после открытия вредоносной страницы в браузере уже запускался автоматический механизм заражения с помощью эксплойта Trident.

Достаточно быстро визитной карточкой Pegasus стала возможность заражения айфонов c помощью zero-click-эксплойтов. Например, несколько лет назад для атаки на смартфоны Apple использовалась уязвимость в голосовых звонках WhatsApp, которую можно было активировать с помощью серии вредоносных пакетов. Это, в свою очередь, позволяло получить возможность удаленного исполнения кода на атакуемом устройстве. Наибольшую же известность получил обнаруженный в 2021 году организацией Citizen Lab и подробно исследованный командой Google Project Zero эксплойт FORCEDENTRY. Он предназначен для атаки на систему обмена сообщениями Apple iMessage и позволял запустить на айфоне шпионское ПО после отправки жертве сообщения с GIF-файлом. Этот файл, впрочем, был вовсе не анимированным изображением, а зараженным PDF-документом, в котором применялся алгоритм сжатия. Когда смартфон жертвы пытался создать превью документа, активировалась уязвимость в ответственной за работу с этим алгоритмом сжатия программе, что приводило к запуску цепочки эксплойтов и заражению устройства. После того как этот эксплойт был обнаружен, Apple закрыла уязвимости. Однако, как выяснилось позже, NSO Group как ни в чем не бывало перешла к эксплуатации уязвимостей в других приложениях. В апреле 2023 года все та же Citizen Lab опубликовала исследование эксплойтов FINDMYPWN и PWNYOURHOME. Первый из них был связан с уязвимостью в приложении Find My, второй — в HomeKit. Впрочем, конечной целью для обоих этих эксплойтов была все та же система обмена сообщениями iMessage.

Наконец, в сентябре 2023 года Citizen Lab опубликовала информацию о еще одном эксплойте, используемом NSO Group, — BLASTPASS. Работает этот эксплойт похожим образом: он также активирует уязвимость в iMessage, но на этот раз она связана с механизмом отправки в сообщениях объектов из Apple Wallet — например, билетов на мероприятия. Вне зависимости от конкретного направления атаки, итогом заражения становится возможность для атакующих получить доступ к переписке жертвы, прослушивать звонки, красть пароли и следить за местоположением. География применения шпионского комплекса невероятно широка — соответствующая часть посвященной Pegasus статьи в Википедии занимает внушительное пространство.

 

DevilsTongue, Sherlock — Candiru

Атакуемые ОС: Windows, macOS, iOS, Android

Использование уязвимостей нулевого дня: Microsoft Windows, Google Chrome

Использование zero-click-эксплойтов: вероятно

Страна происхождения: Израиль

Альтернативные названия: SOURGUM, Caramel Tsunami, Saito Tech Ltd.

 

Еще одна израильская компания, которая занимается разработкой коммерческого шпионского ПО, — основанная в 2014 году Candiru. На самом деле это первое из имен, использованных этой кибершпионской организацией. Дело в том, что она постоянно меняет названия, так что сейчас, вероятно, она именует себя как-то иначе. Известно, что за Candiru стоит несколько инвесторов, связанных с NSO Group. Но, в отличие от NSO Group, в Candiru исповедуют гораздо большую секретность: у компании нет веб-сайта, ее сотрудникам запрещено упоминать своего работодателя в LinkedIn, а в здании, где Candiru арендует свой офис, не получится найти никаких упоминаний о ней.

Деятельность Candiru пока не так хорошо изучена — все известное ограничивается информацией из утекших документов, а также парой исследований инцидентов, в которых было замешано шпионское ПО, разработанное этой компанией. Например, в ходе расследования Microsoft было обнаружено несколько использованных Candiru уязвимостей нулевого дня в операционной системе Windows. А также несколько zero-day в браузере Google Chrome, которые, вероятно, также эксплуатировала Candiru. Разработанный компанией шпионский комплекс носит название DevilsTongue и предусматривает несколько векторов атаки: от взлома устройств с физическим доступом и использования метода man-in-the middle до распространения вредоносных ссылок и зараженных офисных документов.

Также в качестве опции Candiru предлагает шпионский инструмент под названием Sherlock, который, по мнению авторов исследования Citizen Lab, может представлять собой платформу для zero-click—атак на различные операционные системы — Windows, iOS и Android. Кроме того, есть сообщения о том, что Candiru разрабатывала шпионское ПО для атак на macOS.

 

Alien, Predator — Cytrox/Intellexa

Атакуемые ОС: Android, iOS

Использование уязвимостей нулевого дня: Google Chrome, Google Android, Apple iOS

Использование zero—click-эксплойтов: нет (частичный аналог при использовании комплекса Mars)

Страна происхождения: Северная Македония/Кипр

Альтернативные названия: Helios, Balinese Ltd., Peterbald Ltd.

 

Alien — это одна из двух частей шпионского комплекса, которая отвечает за взлом атакуемого устройства и установку на него второй части, необходимой для организации слежки. Эту вторую часть называют Predator по аналогии с известным фильмом. Разработкой шпионского зловреда изначально занималась основанная в 2017 году компания Cytrox. Ее корни из Северной Македонии, а связанные зарегистрированные дочерние компании есть в Израиле и Венгрии. Позже Cytrox была приобретена зарегистрированной на Кипре компанией Intellexa, которая принадлежит Талю Диллиану, отслужившему 24 года на высоких постах в разведке израильской армии.

Шпионское ПО Alien/Predator фокусируется на атаках на операционные системы Android и iOS. Согласно прошлогоднему исследованию Google Threat Analysis Group, разработчики Android-версии Alien применяли несколько цепочек эксплойтов, использовавших в том числе пять уязвимостей нулевого дня в браузере Google Chrome и в ОС Android. Атаки Alien/Predator начинались с сообщения жертвам, в котором содержались вредоносные ссылки. После перехода по ним атакуемые попадали на сайт злоумышленников, который использовал уязвимости в браузере и ОС для заражения устройства. После этого он сразу же, чтобы не вызывать подозрений, перенаправлял жертву на легитимную страницу.

Также Intellexa предлагает в качестве опции шпионский комплекс Mars, часть которого устанавливается на стороне используемого жертвой провайдера мобильной связи. После этого Mars ожидает, пока атакуемый зайдет на HTTP-страницу, и в этот момент использует метод man-in-the-middle для перенаправления жертвы на зараженный сайт — далее происходит описанное в предыдущем абзаце.

 

Subzero — DSIRF

Атакуемые ОС: Windows

Использование уязвимостей нулевого дня: Microsoft Windows, Adobe Reader

Использование zero—click-эксплойтов: нет

Страна происхождения: Австрия

Альтернативные названия: KNOTWEED, Denim Tsunami, MLS Machine Learning Solutions GmbH

 

Впервые о шпионском ПО Subzero, разработанном австрийской компанией с длинным названием DSR Decision Supporting Information Research Forensic GmbH (DSIRF), заговорили в немецкоязычной прессе еще в 2021 году. Но по-настоящему известным этот spyware-комплекс стал лишь спустя год. В июле 2022 года команда Microsoft Threat Intelligence выпустила подробное исследование шпионского ПО, применявшегося группировкой под кодовым обозначением KNOTWEED (Denim Tsunami), которое, по мнению исследователей, и являлось DSIRF Subzero.

Для компрометации атакуемых систем зловред Subzero использовал несколько уязвимостей нулевого дня в Windows и Adobe Reader. В целом же вектор атаки был следующим: жертве присылали электронное письмо, содержавшее вредоносный PDF-файл, после открытия которого запускалась цепочка эксплойтов. Результат этих действий — начало работы на устройстве жертвы бестелесного шпионского ПО. На следующем этапе шпион собирал в зараженной системе пароли и другие реквизиты аутентификации, которые только мог обнаружить, — в браузерах, клиентах e-mail, сервисе проверки подлинности локальной системы безопасности (LSASS) и менеджере паролей Windows. Вероятно, впоследствии эти реквизиты использовались для сбора информации о жертве и организации дальнейшей слежки.

По заявлениям исследователей, зловред Subzero применялся для атак на организации в Европе и Центральной Америке как минимум с 2020 года. Также исследователи отметили, что DSIRF не только продавала шпионское программное обеспечение, но и обеспечивала участие своих сотрудников в атаках.

 

Heliconia — Variston IT

Атакуемые ОС: Windows, Linux

Использование уязвимостей нулевого дня: Microsoft Defender, Google Chrome, Mozilla Firefox

Использование zero—click-эксплойтов: нет

Страна происхождения: Испания

Альтернативные названия: нет

 

В том же 2022 году, когда Microsoft рассказала подробности о деятельности Subzero, в Google представили свое исследование с разбором другого комплекса коммерческого шпионского ПО — Heliconia. В отчете Google Threat Analysis Group (TAG) были описаны три составляющих этого комплекса, предназначенные для атак на компьютеры, работающие под управлением Windows и Linux. Первая часть, получившая название Heliconia Noise, использует уязвимость в JavaScript-движке Google Chrome V8. После ее эксплуатации следует побег из «песочницы» Chrome и запуск в атакуемой системе шпионского ПО. Также в коде этой части был обнаружен фрагмент, упоминающий в качестве разработчика зловреда компанию Variston. По мнению исследователей Google, речь идет об испанской компании Variston IT. Она специализируется на оказании услуг в области информационной безопасности.

Вторая часть шпионского комплекса, которую исследователи Google назвали Heliconia Soft, использует уязвимость в JavaScript-движке встроенного в Windows антивируса Microsoft Defender. Происходит это следующим образом: жертве присылают ссылку на зараженный PDF-файл, в котором содержится вредоносный JavaScript-код. Этот код и активирует уязвимость Microsoft Defender в тот момент, когда запускается автоматическая проверка загруженного PDF-файла. В результате эксплуатации этой уязвимости Heliconia получает привилегии уровня операционной системы и возможность установить шпионское ПО на компьютер жертвы.

Третья часть называется Helicona Files. Она использует уязвимость в XSLT-процессоре браузера Mozilla Firefox для атак на компьютеры, работающие под управлением Windows и Linux. Судя по данной уязвимости, которая затрагивает Firefox версий с 64-й по 68-ю, шпионское ПО было разработано достаточно давно и использовалось как минимум в 2018 году.

 

Reign — QuaDream

Атакуемые ОС: iOS

Использование уязвимостей нулевого дня: Apple iOS

Использование zero—click-эксплойтов: да

Страна происхождения: Израиль/Кипр

Альтернативные названия: DEV-0196, Carmine Tsunami, InReach

 

QuaDream — еще одна израильская компания, разрабатывающая шпионское ПО под названием Reign. Основана она выходцами из NSO Group, а созданный ими шпион очень напоминает Pegasus. Например, для заражения айфонов шпионом Reign применяется zero-click-эксплойт, похожий на описанный выше FORCEDENTRY. Исследователи Citizen Lab назвали этот эксплойт ENDOFDAYS. Судя по всему, в качестве исходной точки атаки этот эксплойт использует уязвимости в iCloud Calendar, которые позволяют незаметно для жертвы заразить смартфон Apple с помощью отправки в календарь невидимых вредоносных приглашений.

 

Что касается шпионских возможностей iOS-версии Reign, то их список выглядит впечатляюще:

  • поиск по файлам и базам данных;
  • запись звонков;
  • подслушивание через микрофон смартфона;
  • создание фотографий через заднюю и переднюю камеры;
  • кража паролей;
  • генерация одноразовых кодов двухфакторной аутентификации iCloud;
  • отслеживание геолокации;
  • очистка следов заражения устройства.

 

Судя по некоторым упоминаниям, компания QuaDream также разрабатывала зловредов и для атаки на Android-устройства, но о них в публичном доступе нет никакой информации. Вообще, по любви к секретности QuaDream схожа с Candiru. У QuaDream тоже нет веб-сайта, ее сотрудникам также запрещено рассказывать что-либо о своей работе в социальных сетях, а офис компании не получится найти на Google-картах. Интересно, что для продажи своей продукции QuaDream использовала посредника — кипрскую компанию InReach. Взаимоотношения у этих двух компаний очень непростые, в какой-то момент дело даже дошло до суда. В апреле 2023 года, вскоре после публикации расследования Citizen Lab, посвященного QuaDream, компания внезапно объявила о прекращении своей деятельности. Впрочем, пока не до конца понятно: это полная капитуляция или тактическое отступление.

 

Как защититься от коммерческого шпионского ПО

Полностью защититься от атак с использованием коммерческого шпионского ПО, как правило, непросто. Но можно как минимум затруднить атакующим их задачу. Для этого стоит следовать этим рекомендациям:

 

  • Оперативно обновляйте программное обеспечение на всех ваших устройствах. В первую очередь — операционные системы, браузеры и приложения систем обмена сообщениями.
  • Не переходите по подозрительным ссылкам — одного визита на сайт может быть достаточно для заражения вашего устройства.
  • Используйте VPN для маскировки своего интернет-трафика — это защитит от перенаправления на вредоносный сайт в момент просмотра HTTP-страниц.
  • Регулярно перезагружайтесь — часто шпионское ПО не может навсегда закрепиться в зараженной системе, и перезагрузка позволит от него избавиться.
  • Установите надежное защитное решение на все ваши устройства.

 

 

По материалам Касперский