Кампания шпионского ПО нацелена на журналистов и активистов

Как сообщили в четверг исследователи, кампания по шпионскому ПО с использованием инструментов секретной израильской фирмы была использована для атаки и выдачи себя за десятки правозащитников, журналистов, диссидентов, политиков и других, сообщает новости spacewar.

В заявлениях исследователей безопасности Microsoft и Citizen Lab Университета Торонто говорится, что мощное «кибероружие» использовалось в точных атаках, нацеленных на более чем 100 жертв по всему миру.

Microsoft заявила, что на этой неделе исправила уязвимость, использованную группой, известной под именами Candiru и Sourgum.

Citizen Lab сообщила в своем блоге, что «Candiru – секретная израильская компания, что продает шпионское ПО исключительно правительствам», которые затем могут использовать его для «заражения и мониторинга iPhone, Android, Mac, ПК и облачных учетных записей».

«Мы обнаружили множество доменов, маскирующихся под правозащитные организации, такие как Amnesty International, движение Black Lives Matter, а также медиа-компании и другие тематические организации гражданского общества», – сказала Citizen Lab.

Microsoft наблюдала не менее 100 жертв на палестинских территориях, в Израиле, Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и Сингапуре.

Американская техническая компания заявила, что предприняла попытку предотвратить атаки с помощью обновлений программного обеспечения Windows, которые не позволяют Candiru доставлять вредоносное ПО.

«Microsoft создала и встроила средства защиты в наши продукты от этого уникального вредоносного ПО, которое мы называем DevilsTongue», – говорится в заявлении Microsoft.

«Мы поделились этими средствами защиты с сообществом специалистов по безопасности, чтобы мы могли коллективно бороться с этой угрозой и смягчать ее».

По данным Microsoft, DevilsTongue смог проникнуть на популярные веб-сайты, такие как Facebook, Twitter, Gmail, Yahoo и другие, для сбора информации, чтения сообщений жертвы и получения фотографий.

«DevilsTongue также может отправлять сообщения от имени жертвы на некоторых из этих веб-сайтов, показывая любому получателю, что жертва отправила эти сообщения», – говорится в заявлении Microsoft Threat Intelligence Center.

«Возможность отправлять сообщения может быть использована для рассылки вредоносных ссылок большему количеству жертв».

Исследователи Citizen Lab обнаружили доказательства того, что шпионское ПО может извлекать личные данные из ряда приложений и учетных записей, включая Gmail, Skype, Telegram и Facebook.

Оно также может записывать историю просмотров и пароли, а также включать веб-камеру и микрофон цели.

Citizen Lab заявила, что нынешнее название израильской фирмы – Saito Tech Ltd, и что у нее те же инвесторы и руководители, что и у NSO Group, еще одной израильской фирмы, находящаяся под пристальным вниманием к программному обеспечению для слежки.