Нові подробиці діяльності Hacking Team: інструмент для шпигування виявлено у 14 країнах

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нових зразків інструменту для шпигування — Remote Control System (RCS), який належить компанії Hacking Team. За даними дослідження спеціалістів ESET, розробники Hacking Team активно працюють над вдосконаленням цього шпигунського програмного забезпечення.

Варто зазначити, що інструмент Remote Control System (RCS) здатний викрадати файли, перехоплювати електронні листи та миттєві повідомлення, а також віддалено активувати веб-камеру та мікрофон пристрою.

З моменту заснування у 2003 році Hacking Team — італійський постачальник шпигунського програмного забезпечення — став відомим завдяки продажу урядам та відомствам інструментів для спостереження. Зокрема компанію критикували за продаж шпигунського програмного забезпечення авторитарним урядам, проте постачальник спростовував ці звинувачування.

У липні 2015 року компанія Hacking Team стала ціллю атаки, яка остаточно підтвердила використання інструменту Remote Control System репресивними режимами. Зокрема у результаті витоку даних у мережу Інтернет потрапили таємний список клієнтів, внутрішні повідомлення та вихідний код шпигунського програмного забезпечення.

Після атаки спеціалісти з IT-безпеки уважно стежили за подальшою діяльністю компанії. Повідомлення про відновлення роботи команди Hacking Team з’явилося уже через півроку. Зокрема у реальному середовищі було зафіксовано новий зразок шпигунської програми для Mac, який належав Hacking Team. Через деякий час спеціалісти ESET зафіксували новий варіант інструменту Remote Control System з діючим цифровим сертифікатом.

У ході подальших досліджень вдалося виявити ще кілька зразків шпигунської програми Remote Control System, створених після витоку даних у 2015 році по жовтень 2017 року. Усі вони трохи модифіковані порівняно з варіантами, випущеними до витоку вихідного коду. Подальший аналіз підтвердив, що зразки належать не різним кіберзлочинцям, а одній групі.

Про це свідчить послідовність цифрових сертифікатів, які використовуються для підписання зразків. Зокрема спеціалісти ESET виявили шість різних сертифікатів, виданих послідовно. Крім того, за даними дослідження, зміни, внесені після витоку, свідчать про глибоке ознайомлення з кодом та зроблені відповідно до власного стилю кодування хакерів.

Однією з відмінностей між зразками до і після витоку є різниця у розмірі файлу завантаження, яка найімовірніше, використовується як метод уникнення виявлення. У свою чергу, функціонал шпигунського програмного забезпечення майже не змінився.

У кількох зафіксованих випадках шпигунське програмне забезпечення знаходилось у виконуваному файлі, що маскується під документ PDF та поширюється за допомогою фішингових повідомлень електронної пошти. Назви прикріплених файлів, ймовірно, підібрані з метою зменшення підозр під час отримання дипломатами.

Дослідження спеціалістів ESET дозволяє стверджувати, що проаналізовані зразки є справді роботою розробників Hacking Team, а не результатом повторного використання вихідних кодів окремими кіберзлочинцями. На момент написання матеріалу системи ESET виявили нові зразки шпигунської програми Hacking Team уже в чотирнадцяти країнах.