Ексклюзив: Генеральний директор Memento Labs підтвердив, що одного зі своїх державних замовників спіймали на використанні їхнього шкідливого ПЗ
У понеділок дослідники компанії Kaspersky, яка спеціалізується на кібербезпеці, опублікували звіт, в якому йдеться про новий шкідливий програмний продукт під назвою Dante. Згідно з інформацією, ця шпигунська програма націлювалася на користувачів Windows в Росії та сусідньому Білорусі. Дослідники зазначили, що програму Dante розробила компанія Memento Labs, яка знаходиться в Мілані і була заснована у 2019 році після того, як новий власник придбав та реорганізував компанію Hacking Team.
Генеральний директор Memento Паоло Лецці підтвердив, що виявлена Kaspersky шпигунська програма дійсно належить їхній компанії.
В розмові Лецці звинуватив одного з державних замовників у тому, що саме він спровокував витоки Dante, зазначаючи, що цей клієнт використовував застарілу версію програми, підтримка якої завершиться наприкінці цього року.
“Очевидно, вони використовували агент, який вже мертвий,” – сказав Лецці, маючи на увазі термін “агент” як технічний термін для шпигунського програмного забезпечення, що встановлюється на комп’ютер цілі.
“Я думав, що [урядовий замовник] навіть більше не користується цим,” – додав Лецці.
Лецці, який не зміг назвати, які саме клієнти опинилися під ударом, зазначив, що Memento вже попросила всіх своїх клієнтів відмовитися від використання шкідливого програмного забезпечення для Windows. Він також повідомив, що їхня компанія попереджала клієнтів про виявлені інфекції шпигунською програмою Dante з грудня 2024 року. Крім того, Memento планує надіслати всім своїм клієнтам повідомлення в середу знову закликаючи їх перестати використовувати це шпигунське програмне забезпечення.
Лецці зазначив, що наразі Memento розробляє тільки шпигунське програмне забезпечення для мобільних платформ. Компанія також працює над деякими “нульовими днями” – безпековими уразливостями в програмному забезпеченні, невідомими постачальнику, які можуть бути використані для доставки шпигунського програмного забезпечення, хоча в основному отримують експлойти від зовнішніх розробників.
Зв’яжіться з нами
Маєте більше інформації про Memento Labs або інші компанії, що займаються шпигунським програмним забезпеченням? З неробочого пристрою ви можете зв’язатися з Лоренцо Франческі-Бічеряї на Signal за номером +1 917 257 1382, або через Telegram, Keybase і Wire @lorenzofb, або електронною поштою.
Представник Kaspersky Маи Аль Аккад у відповіді на запит не назвав конкретну державу, яку вони вважають причетною до кампанії з espionagem, але зазначив, що “це хтось, хто зміг скористатися програмним забезпеченням Dante.”
“Група вирізняється своїм знанням російської мови та місцевих нюансів, які Kaspersky спостерігала в інших кампаніях, пов’язаних з цією [державною підтримуваною] загрозою. Однак, випадкові помилки свідчать про те, що нападники не є носіями мови,” – зазначила Аль Аккад.
У своєму новому звіті Kaspersky заявила, що виявила хакерську групу, яка використовує шпигунське програмне забезпечення Dante та яку вони називають “ForumTroll”. Ця група надсилала запрошення на російський політичний та економічний форум Primakov Readings. Kaspersky зазначила, що хакери націлювалися на широкий спектр галузей в Росії, включаючи медіа, університети та державні установи.
Виявлення шпигунської програми Dante відбулося після того, як російська компанія з кібербезпеки оголосила про виявлення “хвилі” кібернападів з фішинговими посиланнями, які експлуатували нульову уразливість у браузері Chrome. Лецці зауважив, що нульова уразливість у Chrome не була розроблена компанією Memento.
У своєму звіті дослідники Kaspersky дійшли висновку, що Memento “продовжувала удосконалювати” шпигунське програмне забезпечення, розроблене Hacking Team, до 2022 року, коли це програмне забезпечення було “замінено на Dante.”
Лецці визнав, що можливо, деякі “аспекти” або “поведінка” шпигунського програмного забезпечення для Windows компанії Memento залишилися з програми, розробленої Hacking Team.
Помітним знаком того, що шпигунське програмне забезпечення, виявлене Kaspersky, належало Memento, було те, що розробники нібито залишили слово “DANTEMARKER” в коді шпигунського програмного забезпечення, що є прямим посиланням на назву Dante, яку Memento раніше публічно оголосила на конференції з технологій спостереження.
Подібно до шкідливого програмного забезпечення Dante, деякі версії шпигунського програмного забезпечення Hacking Team, відомі як Remote Control System, також були названі на честь історичних італійців, таких як Леонардо да Вінчі та Галилео Галілей.
Історія хаків
У 2019 році Лецці придбав Hacking Team і перейменував компанію на Memento Labs. За словами Лецці, він заплатив лише один євро за компанію з метою почати все спочатку.
“Ми хочемо змінити абсолютно все,” – заявив він після придбання в 2019 році. “Ми починаємо з нуля.”
Через рік генеральний директор та засновник Hacking Team Девід Вінченцетті оголосив, що Hacking Team “мертва.”
Коли Лецці придбав Hacking Team, він зазначив, що у компанії залишилося лише троє державних клієнтів, що сильно відрізняється від понад 40 клієнтів компанії в 2015 році. Того ж року хактивіст на ім’я Фініас Фішер зламав сервери стартапу і викрав близько 400 гігабайтів внутрішніх електронних листів, контрактів, документів та вихідного коду шпигунського програмного забезпечення.
Перед хакуванням клієнти Hacking Team в Ефіопії, Марокко та Об’єднаних Арабських Еміратах були спіймані на використанні шпигунського програмного забезпечення для націлювання на журналістів, критиків і опозиціонерів. Коли Фініас Фішер опублікував внутрішні дані компанії в Інтернеті, журналісти розкрили, що регіональний уряд Мексики використовував шпигунське програмне забезпечення Hacking Team для націлювання на місцевих політиків і що Hacking Team продавала свої програми країнам, де мали місце порушення прав людини, таким як Бангладеш, Саудівська Аравія та Судан, серед інших.
Лецці відмовився згадати, скільки клієнтів має наразі Memento, але дав зрозуміти, що їх менше ста. Він також зазначив, що лише двоє нинішніх співробітників Memento залишилися з колишнього складу Hacking Team.
Виявлення шпигунського програмного забезпечення Memento свідчить про те, що такий вид технологій спостереження продовжує розповсюджуватись, зауважив Джон Скотт-Рейлтон, старший дослідник, який протягом десятиліття вивчає зловживання шпигунським програмним забезпеченням у Лабораторії громадянського суспільства Університету Торонто.
Це також демонструє, що суперечлива компанія може зникнути через вражаюче зламу та кілька скандалів, але нова компанія з новим шпигунським програмним забезпеченням все ще може з’явитися з попелу.
“Це свідчить про те, що нам потрібно продовжувати підтримувати страх наслідків,” – сказав Скотт-Рейлтон. “Це багато говорить про те, що відлуння найбільш радіоактивного, зніяковілого та зламаного бренду досі існує.”
