Иностранные правительства следят за телефонами граждан

Google предупредил, что иностранные правительства используют шпионское ПО для взлома телефонов Apple и Android для слежения за действиями пользователей. «Шпионское ПО» — программное обеспечение, которое крадет информацию с устройства — было создано миланской компанией RCS Lab, как показали Google и охранная фирма Lookout. Шпионское ПО RCS Lab якобы использовалось правительствами Италии и Казахстана для слежки за личными сообщениями и контактами, хранящимися на смартфонах их граждан.

Тем не менее, шпионское ПО потенциально способно шпионить за браузером, камерой, адресной книгой, буфером обмена и чатами жертвы. RCS Lab является примером компании, занимающейся «законным перехватом», которая утверждает, что продает только клиентам, которые законно используют для наблюдения, таким как разведывательные и правоохранительные органы. Но на самом деле такими инструментами часто злоупотребляли под прикрытием национальной безопасности, чтобы шпионить за руководителями предприятий, правозащитниками, журналистами, учеными и государственными чиновниками, говорят эксперты по безопасности.

Считается, что шпионское ПО RCS Lab по прозвищу «Отшельник» распространяется через SMS-сообщения, которые, как представляется, исходят из законных источников. Он обманывает пользователей, показывая то, что выглядит как законные веб-страницы известных брендов, запуская вредоносные действия в фоновом режиме. В некоторых случаях гражданам рассылались СМС-сообщения с просьбой установить приложение для исправления медленной мобильной связи — хотя на самом деле при этом устанавливалось шпионское ПО.

По словам Google, в этих случаях злоумышленникам удавалось заставить интернет-провайдера (ISP) жертвы замедлить их подключение, чтобы это выглядело как законное сообщение. В других случаях гражданам были отправлены ссылки на веб-страницу, которая маскировалась под высококлассную технологическую компанию, такую как Facebook. Например, Google опубликовал скриншот с одного из сайтов, контролируемых злоумышленниками, предназначенный для того, чтобы выдать себя за службу поддержки Facebook.

На итальянском языке он сообщал жертвам, что их учетные записи были приостановлены, и им необходимо загрузить приложение для восстановления учетной записи. Google заявила, что предприняла шаги для защиты пользователей своей операционной системы Android и предупреждения их о шпионском ПО. Apple и правительства Италии и Казахстана не сразу ответили на запросы о комментариях.

Google заявил, что индустрия коммерческого шпионского ПО «процветает» и «растет значительными темпами» — тенденция, которая «должна волновать всех пользователей Интернета». «Эти поставщики способствуют распространению опасных хакерских инструментов и вооружают правительства, которые не смогли бы разработать эти возможности собственными силами», — заявили Бенуа Севенс и Клеман Лесин из группы анализа угроз Google в своем блоге. «Хотя использование технологий слежения может быть законным в соответствии с национальным или международным законодательством, часто обнаруживается, что правительства используют их в целях, противоречащих демократическим ценностям, — против диссидентов, журналистов, правозащитников и политиков оппозиционных партий».

На своем веб-сайте RCS Lab называет европейские правоохранительные органы одними из своих клиентов и описывает себя как производителя технологий и услуг «законного перехвата», включая голос, сбор данных и «системы отслеживания». В нем говорится, что только в Европе ежедневно обрабатывается 10 000 перехваченных целей. В ответ на выводы Google RCS Lab заявила, что ее продукты и услуги соответствуют европейским правилам и помогают правоохранительным органам расследовать преступления.

«Персонал RCS Lab не подвергается воздействию и не участвует в каких-либо действиях, проводимых соответствующими клиентами», — заявили в компании Reuters, добавив, что осуждают любое злоупотребление своей продукцией. Google опубликовала свой пост в блоге в четверг, через несколько недель после того, как компания Lookout из Сан-Франциско подробно рассказала о своих выводах. По данным Lookout, шпионское ПО RCS Lab использовалось правительством Казахстана на его территории, а также итальянскими властями в антикоррупционной операции в 2019 году.

«Мы также нашли доказательства того, что неизвестный субъект использовал его на северо-востоке Сирии, преимущественно курдском регионе, который был местом многочисленных региональных конфликтов», — сказал Лукаут. Google также обнаружил, что RCS Lab ранее сотрудничала с прекратившей свое существование итальянской шпионской фирмой Hacking Team, которая также создавала программное обеспечение для слежки, чтобы иностранные правительства могли подключаться к телефонам и компьютерам.

Hacking Team обанкротилась после того, как в 2015 году стала жертвой крупного взлома, в результате которого были раскрыты многочисленные внутренние документы. Новые данные о RCS Lab появились, когда европейские и американские регулирующие органы обдумывают возможные новые правила продажи и импорта шпионского ПО. Мировая индустрия шпионского ПО для правительств растет, и все больше и больше компаний разрабатывают инструменты для перехвата данных для правоохранительных органов. Активисты по борьбе с слежкой обвиняют их в пособничестве правительствам, которые в некоторых случаях используют такие инструменты для подавления прав человека и гражданских прав.

Беспокойство по поводу шпионского ПО подогревалось сообщениями СМИ в прошлом году о том, что инструменты Pegasus израильской фирмы NSO использовались правительствами для слежки за журналистами, активистами и диссидентами. «Они утверждают, что продают только клиентам с законным использованием программного обеспечения для наблюдения, таким как разведка и правоохранительные органы», — сказал специалист по мобильной кибербезопасности Lookout о таких компаниях, как NSO и RCS Lab. «На самом деле такими инструментами часто злоупотребляли под предлогом национальной безопасности для слежки за руководителями предприятий, правозащитниками, журналистами, учеными и государственными чиновниками».

Хотя инструмент RCS Lab может быть не таким незаметным, как Pegasus, он все же может читать сообщения и просматривать пароли, сказал Билл Марчак, исследователь безопасности из Citizen Lab. «Это показывает, что, несмотря на повсеместное распространение этих устройств, предстоит еще многое сделать, чтобы защитить их от этих мощных атак», — сказал Марчак.