Как работи новият мощен правителствен шпионски софтуер, действал и в България?

България 12.04.2023 09:48 Снимка: ДНЕС+

Как работи новият мощен правителствен шпионски софтуер, действал и в България?

На територията на нашата страна действа изключително мощен израелски софтуер за шпионаж, който се предлага само на правителствени клиенти, става ясно от доклади на Microsoft и организацията Citizen Lab. От събраните данни изглежда, че платформата на QuaDream е била използвана и срещу българи.

Софтуерът се смята, че намира широко приложение в държави като Саудитска Арабия, Узбекистан и Унгария. Той е в състояние да краде данни от смартфони, както и да ги превръща в СРС.

Как работи: Шпионският софтуер KingsPawn, разработен от израелската компания QuaDream, е особено опасен заради начина, по който попада на устройството. Това става чрез т.нар zero-click exploit - пробив в защитата на системата, при който не се изисква никакво действие от страна на потребителя. Проучените от изследователите варианти на KingsPawn използват уязвимост на iOS устройства, свързана с календара и поканите за събития, които отиват в него.

Веднъж инсталиран, шпионският софтуер може да изпраща към отдалечен сървър файлове от устройството, еднократни пароли за iCloud профила на потребителя, данни за местонахождението му, както и да снима с камерата. Специален допълнителен модул премахва в реално време всякакви следи от работата на програмата, а освен това и дава възможност за пълно изтриване по команда.

От Microsoft посочват, че основните компоненти на KingsPawn са написани на езика за програмиране Go, което означава, че вероятно има версии не само за iOS, но и за Android.

KingsPawn е част от цялостна платформа за кибершпионаж, която се продава на правителствата под името REIGN.

Българската връзка: Microsoft и Citizen Lab са открили работещи командни сървъри на компанията QuaDream на територията на Чехия, Унгария, Гана, Израел, Мексико, Сингапур, ОАЕ, Узбекистан и България.

Microsoft публикуваха и списък с домейни, свързани с шпионския софтуер. Сред тях има поне два, които имат смисъл само на български език - bgnews-bg[.]com и novinite[.]biz

Към момента няма яснота за какво (или по-скоро срещу кого) е бил използван софтуерът у нас.

Това е пореден случай, в който се оказва, че в България се използват платформи за кибершпионаж. Още преди 10 години една от първите подобни системи - германската FinFisher, беше засечена да работи на сървър на Министерския съвет. Управляващите по това време отрекоха да са го използвали.

През 2021 г. стана ясно, че българско дружество участва в развойната дейност и продава на чуждестранни клиенти израелския шпионски софтуер NSO Pegasus. Тогавашното правителство също заяви, че не го е купувало.

Контекст: Компаниите като QuaDream и NSO са наричани "кибернаемници" - те са създадени от хора с опит в тайните служби и предоставят услугите си на всеки, който има съответния бюджет и иска да следи дадени лица. Традиционни купувачи на този тип софтуер са правоохранителните органи, включително и в държави с авторитарно управление.

Заради използването на различни недокументирани системни слабости, използването на такъв тип софтуер лесно може да се случи без съдебен контрол. Извлечената информация пък може да бъде подадена и към близки до властта медии за очернящи кампании.

От Citizen Lab са успели да свържат най-новия разкрит шпионски софтуер с най-малко 5 конкретни случая на шпиониране на журналисти, опозиционни политици и граждански активисти в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия Изток. Не са посочени конкретните държави и конкретните жертви.

Администрацията на американския президент Джо Байдън вече обяви, че ще предприеме редица мерки срещу кибернаемничеството. Компанията NSO се оказа под сериозни санкции, сега тепърва ще видим какво ще се случи с QuaDream, която до момента странеше от светлината на прожекторите и даже нямаше собствен сайт.

Цифром и словом: Шпионирането на граждани е голям бизнес - ако продаваш софтуера за него. Това става ясно от съдебно дело, което QuaDream води срещу свой международен дистрибутор - регистрираната в Кипър InReach. То е заради забавени плащания и от съдебните документи се разбира, че за една година само през този дистрибутор са минали продажби за около 6,5 млн. долара.

Явор Николов, /money.bg

CHF CHF 1 2.10939
GBP GBP 1 2.35062
RON RON 10 3.92997
TRY TRY 100 5.43683
USD USD 1 1.87844