Наиболее известное коммерческое шпионское ПО

Что такое коммерческое шпионское ПО, как оно проникает на атакуемые устройства, что умеет — и как от него защититься.

Что такое коммерческое шпионское ПО и каким оно бывает

В последнее время коммерческое шпионское программное обеспечение (commercial spyware) все чаще попадает в заголовки. Причем речь не о специализированных ресурсах про информационные технологии или кибербезопасность — заметки о коммерческом шпионском ПО уже давно и регулярно появляются в непрофильных СМИ.

В этом посте мы поговорим о том, какие коммерческие шпионские комплексы существуют, как они работают, что умеют и чем они опасны. А в конце обязательно расскажем, как от них можно защищаться.

Что такое коммерческое шпионское программное обеспечение

Для начала разберемся с определением. Коммерческое шпионское ПО — это создаваемые частными компаниями легальные вредоносные программы, предназначенные для точечной слежки и сбора важных данных с устройств пользователей. Стандартный круг задач коммерческих шпионских программ: кража переписки, подслушивание звонков и слежка за местоположением.

Часто для установки коммерческого шпионского ПО на устройства жертвы злоумышленники используют уязвимости нулевого дня, а во многих случаях — zero-click-эксплойты, которые делают возможным заражение без каких-либо действий со стороны атакуемого.

Зловреды-шпионы всегда стараются быть как можно менее заметными: чем дольше жертва не будет догадываться о заражении, тем больше информации удастся собрать атакующим. Более того, в коммерческих шпионах зачастую предусмотрены инструменты для удаления следов заражения, чтобы атакуемые даже постфактум не могли заподозрить, что за ними кто-либо следил.

Хотя коммерческое шпионское ПО разрабатывают частные компании, продают они его, как правило, тем или иным государственным организациям — в первую очередь правоохранительным органам и прочим силовым ведомствам.

В итоге коммерческое шпионское ПО используется в том числе для слежки за гражданскими активистами, журналистами и другими некриминальными лицами. Собственно, поэтому программы-шпионы регулярно попадают в новостные ленты.

1. Pegasus — NSO Group

Атакуемые ОС: iOS, Android

Использование уязвимостей нулевого дня: Apple iOS, Apple Safari, WhatsApp, Apple iMessage

Использование zero-click-эксплойтов: да

Страна происхождения: Израиль

Альтернативные названия: Chrysaor, DEV-0336, Night Tsunami

 

Теперь поговорим о конкретных компаниях — и начнем с наиболее популярного игрока рынка коммерческого шпионского ПО. Это, конечно же, печально известная израильская компания NSO Group, разработчик iOS-шпиона Pegasus и его версии для Android — Chrysaor. Ранняя версия Pegasus, обнаруженная в 2016 году, требовала от жертвы перейти по присланной ссылке, а после открытия вредоносной страницы в браузере уже запускался автоматический механизм заражения с помощью эксплойта Trident.

Как были устроены атаки Pegasus в 2016 году

Как были устроены атаки Pegasus в 2016 году. Источник

Достаточно быстро визитной карточкой Pegasus стала возможность заражения айфонов c помощью zero-click-эксплойтов. Например, несколько лет назад для атаки на смартфоны Apple использовалась уязвимость в голосовых звонках WhatsApp, которую можно было активировать с помощью серии вредоносных пакетов. Это, в свою очередь, позволяло получить возможность удаленного исполнения кода на атакуемом устройстве.

Наибольшую же известность получил обнаруженный в 2021 году организацией Citizen Lab и подробно исследованный командой Google Project Zero эксплойт FORCEDENTRY. Он предназначен для атаки на систему обмена сообщениями Apple iMessage и позволял запустить на айфоне шпионское ПО после отправки жертве сообщения с GIF-файлом.

Этот файл, впрочем, был вовсе не анимированным изображением, а зараженным PDF-документом, в котором применялся алгоритм сжатия. Когда смартфон жертвы пытался создать превью документа, активировалась уязвимость в ответственной за работу с этим алгоритмом сжатия программе, что приводило к запуску цепочки эксплойтов и заражению устройства.

После того как этот эксплойт был обнаружен, Apple закрыла уязвимости. Однако, как выяснилось позже, NSO Group как ни в чем не бывало перешла к эксплуатации уязвимостей в других приложениях. В апреле 2023 года все та же Citizen Lab опубликовала исследование эксплойтов FINDMYPWN и PWNYOURHOME. Первый из них был связан с уязвимостью в приложении Find My, второй — в HomeKit. Впрочем, конечной целью для обоих этих эксплойтов была все та же система обмена сообщениями iMessage.

Сообщения от Lockdown Mode при атаке эксплойтом PWNYOURHOME

Сообщения от Lockdown Mode о блокировке атак эксплойтом PWNYOURHOME. Источник

Наконец, в сентябре 2023 года Citizen Lab опубликовала информацию о еще одном эксплойте, используемом NSO Group, — BLASTPASS. Работает этот эксплойт похожим образом: он также активирует уязвимость в iMessage, но на этот раз она связана с механизмом отправки в сообщениях объектов из Apple Wallet — например, билетов на мероприятия.

Вне зависимости от конкретного направления атаки, итогом заражения становится возможность для атакующих получить доступ к переписке жертвы, прослушивать звонки, красть пароли и следить за местоположением. География применения шпионского комплекса невероятно широка — соответствующая часть посвященной Pegasus статьи в Википедии занимает внушительное пространство.

2. DevilsTongue, Sherlock — Candiru

Атакуемые ОС: Windows, macOS, iOS, Android

Использование уязвимостей нулевого дня: Microsoft Windows, Google Chrome

Использование zero-click-эксплойтов: вероятно

Страна происхождения: Израиль

Альтернативные названия: SOURGUM, Caramel Tsunami, Saito Tech Ltd.

 

Еще одна израильская компания, которая занимается разработкой коммерческого шпионского ПО, — основанная в 2014 году Candiru. На самом деле это первое из имен, использованных этой кибершпионской организацией. Дело в том, что она постоянно меняет названия, так что сейчас, вероятно, она именует себя как-то иначе. Известно, что за Candiru стоит несколько инвесторов, связанных с NSO Group. Но, в отличие от NSO Group, в Candiru исповедуют гораздо большую секретность: у компании нет веб-сайта, ее сотрудникам запрещено упоминать своего работодателя в LinkedIn, а в здании, где Candiru арендует свой офис, не получится найти никаких упоминаний о ней.

Candiru регулярно меняет официальные названия

] Официальные названия, которые успела сменить Candiru с 2014 по 2022 год. Источник

Деятельность Candiru пока не так хорошо изучена — все известное ограничивается информацией из утекших документов, а также парой исследований инцидентов, в которых было замешано шпионское ПО, разработанное этой компанией. Например, в ходе расследования Microsoft было обнаружено несколько использованных Candiru уязвимостей нулевого дня в операционной системе Windows. А также несколько zero-day в браузере Google Chrome, которые, вероятно, также эксплуатировала Candiru.

Разработанный компанией шпионский комплекс носит название DevilsTongue и предусматривает несколько векторов атаки: от взлома устройств с физическим доступом и использования метода man-in-the middle до распространения вредоносных ссылок и зараженных офисных документов.

Описание возможностей шпионского ПО, разработанного Candiru

Возможности шпионского комплекса DevilsTongue, разрабатываемого Candiru. Источник

Также в качестве опции Candiru предлагает шпионский инструмент под названием Sherlock, который, по мнению авторов исследования Citizen Lab, может представлять собой платформу для zero-clickатак на различные операционные системы — Windows, iOS и Android. Кроме того, есть сообщения о том, что Candiru разрабатывала шпионское ПО для атак на macOS.

3. Alien, Predator — Cytrox/Intellexa

Атакуемые ОС: Android, iOS

Использование уязвимостей нулевого дня: Google Chrome, Google Android, Apple iOS

Использование zeroclick-эксплойтов: нет (частичный аналог при использовании комплекса Mars)

Страна происхождения: Северная Македония/Кипр

Альтернативные названия: Helios, Balinese Ltd., Peterbald Ltd.

 

Alien — это одна из двух частей шпионского комплекса, которая отвечает за взлом атакуемого устройства и установку на него второй части, необходимой для организации слежки. Эту вторую часть называют Predator по аналогии с известным фильмом.

Разработкой шпионского зловреда изначально занималась основанная в 2017 году компания Cytrox. Ее корни из Северной Македонии, а связанные зарегистрированные дочерние компании есть в Израиле и Венгрии. Позже Cytrox была приобретена зарегистрированной на Кипре компанией Intellexa, которая принадлежит Талю Диллиану, отслужившему 24 года на высоких постах в разведке израильской армии.

Шпионское ПО Alien/Predator фокусируется на атаках на операционные системы Android и iOS. Согласно прошлогоднему исследованию Google Threat Analysis Group, разработчики Android-версии Alien применяли несколько цепочек эксплойтов, использовавших в том числе пять уязвимостей нулевого дня в браузере Google Chrome и в ОС Android.

Атаки Alien/Predator начинались с сообщения жертвам, в котором содержались вредоносные ссылки. После перехода по ним атакуемые попадали на сайт злоумышленников, который использовал уязвимости в браузере и ОС для заражения устройства. После этого он сразу же, чтобы не вызывать подозрений, перенаправлял жертву на легитимную страницу.

Также Intellexa предлагает в качестве опции шпионский комплекс Mars, часть которого устанавливается на стороне используемого жертвой провайдера мобильной связи. После этого Mars ожидает, пока атакуемый зайдет на HTTP-страницу, и в этот момент использует метод man-in-the-middle для перенаправления жертвы на зараженный сайт — далее происходит описанное в предыдущем абзаце.

Заражение шпионом Predator при использовании Mars происходит без каких-либо действий со стороны атакуемого. Схема атаки похожа на zero-click, однако вместо соответствующих уязвимостей в данном случае используется дополнительное оборудование.

4. Subzero — DSIRF

Атакуемые ОС: Windows

Использование уязвимостей нулевого дня: Microsoft Windows, Adobe Reader

Использование zeroclick-эксплойтов: нет

Страна происхождения: Австрия

Альтернативные названия: KNOTWEED, Denim Tsunami, MLS Machine Learning Solutions GmbH

 

Впервые о шпионском ПО Subzero, разработанном австрийской компанией с длинным названием DSR Decision Supporting Information Research Forensic GmbH (DSIRF), заговорили в немецкоязычной прессе еще в 2021 году. Но по-настоящему известным этот spyware-комплекс стал лишь спустя год. В июле 2022 года команда Microsoft Threat Intelligence выпустила подробное исследование шпионского ПО, применявшегося группировкой под кодовым обозначением KNOTWEED (Denim Tsunami), которое, по мнению исследователей, и являлось DSIRF Subzero.

Возможности зловреда DSIRF Subzero

Слайды из презентации DSIRF рассказывают о возможностях зловреда-шпиона Subzero. Источник

Для компрометации атакуемых систем зловред Subzero использовал несколько уязвимостей нулевого дня в Windows и Adobe Reader. В целом же вектор атаки был следующим: жертве присылали электронное письмо, содержавшее вредоносный PDF-файл, после открытия которого запускалась цепочка эксплойтов. Результат этих действий — начало работы на устройстве жертвы бестелесного шпионского ПО.

На следующем этапе шпион собирал в зараженной системе пароли и другие реквизиты аутентификации, которые только мог обнаружить, — в браузерах, клиентах e-mail, сервисе проверки подлинности локальной системы безопасности (LSASS) и менеджере паролей Windows. Вероятно, впоследствии эти реквизиты использовались для сбора информации о жертве и организации дальнейшей слежки.

По заявлениям исследователей, зловред Subzero применялся для атак на организации в Европе и Центральной Америке как минимум с 2020 года. Также исследователи отметили, что DSIRF не только продавала шпионское программное обеспечение, но и обеспечивала участие своих сотрудников в атаках.

В августе 2023 года стало известно о том, что компания DSIRF закрывается. Но радоваться рано: не исключено, что кибершпионская деятельность будет продолжена дочерней компанией DSIRF — MLS Machine Learning Solutions, — которой, как считается, и принадлежит сейчас шпионское программное обеспечение Subzero. Кстати, сайт MLS до сих пор вполне себе работает — в отличие от страницы DSIRF, которая на момент написания материала «на техобслуживании».

5. Heliconia — Variston IT

Атакуемые ОС: Windows, Linux

Использование уязвимостей нулевого дня: Microsoft Defender, Google Chrome, Mozilla Firefox

Использование zeroclick-эксплойтов: нет

Страна происхождения: Испания

Альтернативные названия: нет

В том же 2022 году, когда Microsoft рассказала подробности о деятельности Subzero, в Google представили свое исследование с разбором другого комплекса коммерческого шпионского ПО — Heliconia. В отчете Google Threat Analysis Group (TAG) были описаны три составляющих этого комплекса, предназначенные для атак на компьютеры, работающие под управлением Windows и Linux.

Первая часть, получившая название Heliconia Noise, использует уязвимость в JavaScript-движке Google Chrome V8. После ее эксплуатации следует побег из «песочницы» Chrome и запуск в атакуемой системе шпионского ПО. Также в коде этой части был обнаружен фрагмент, упоминающий в качестве разработчика зловреда компанию Variston. По мнению исследователей Google, речь идет об испанской компании Variston IT. Она специализируется на оказании услуг в области информационной безопасности.

Связь с компанией Variston IT в коде Heliconia

В коде Heliconia исследователи обнаружили связь с некой компанией «Variston». Источник

Вторая часть шпионского комплекса, которую исследователи Google назвали Heliconia Soft, использует уязвимость в JavaScript-движке встроенного в Windows антивируса Microsoft Defender. Происходит это следующим образом: жертве присылают ссылку на зараженный PDF-файл, в котором содержится вредоносный JavaScript-код. Этот код и активирует уязвимость Microsoft Defender в тот момент, когда запускается автоматическая проверка загруженного PDF-файла. В результате эксплуатации этой уязвимости Heliconia получает привилегии уровня операционной системы и возможность установить шпионское ПО на компьютер жертвы.

Третья часть называется Helicona Files. Она использует уязвимость в XSLT-процессоре браузера Mozilla Firefox для атак на компьютеры, работающие под управлением Windows и Linux. Судя по данной уязвимости, которая затрагивает Firefox версий с 64-й по 68-ю, шпионское ПО было разработано достаточно давно и использовалось как минимум в 2018 году.

6. Reign — QuaDream

Атакуемые ОС: iOS

Использование уязвимостей нулевого дня: Apple iOS

Использование zeroclick-эксплойтов: да

Страна происхождения: Израиль/Кипр

Альтернативные названия: DEV-0196, Carmine Tsunami, InReach

QuaDream — еще одна израильская компания, разрабатывающая шпионское ПО под названием Reign. Основана она выходцами из NSO Group, а созданный ими шпион очень напоминает Pegasus. Например, для заражения айфонов шпионом Reign применяется zero-click-эксплойт, похожий на описанный выше FORCEDENTRY.

Исследователи Citizen Lab назвали этот эксплойт ENDOFDAYS. Судя по всему, в качестве исходной точки атаки этот эксплойт использует уязвимости в iCloud Calendar, которые позволяют незаметно для жертвы заразить смартфон Apple с помощью отправки в календарь невидимых вредоносных приглашений.

Что касается шпионских возможностей iOS-версии Reign, то их список выглядит впечатляюще:

  • поиск по файлам и базам данных;
  • запись звонков;
  • подслушивание через микрофон смартфона;
  • создание фотографий через заднюю и переднюю камеры;
  • кража паролей;
  • генерация одноразовых кодов двухфакторной аутентификации iCloud;
  • отслеживание геолокации;
  • очистка следов заражения устройства.
Возможности шпионского ПО QuaDream Reign

Возможности исследованного Citizen Lab образца iOS-версии шпиона QuaDream Reign. Источник

Судя по некоторым упоминаниям, компания QuaDream также разрабатывала зловредов и для атаки на Android-устройства, но о них в публичном доступе нет никакой информации. Вообще, по любви к секретности QuaDream схожа с Candiru. У QuaDream тоже нет веб-сайта, ее сотрудникам также запрещено рассказывать что-либо о своей работе в социальных сетях, а офис компании не получится найти на Google-картах.

Интересно, что для продажи своей продукции QuaDream использовала посредника — кипрскую компанию InReach. Взаимоотношения у этих двух компаний очень непростые, в какой-то момент дело даже дошло до суда. В апреле 2023 года, вскоре после публикации расследования Citizen Lab, посвященного QuaDream, компания внезапно объявила о прекращении своей деятельности. Впрочем, пока не до конца понятно: это полная капитуляция или тактическое отступление.

Как защититься от коммерческого шпионского ПО

Полностью защититься от атак с использованием коммерческого шпионского ПО, как правило, непросто. Но можно как минимум затруднить атакующим их задачу. Для этого стоит следовать этим рекомендациям:

  • Оперативно обновляйте программное обеспечение на всех ваших устройствах. В первую очередь — операционные системы, браузеры и приложения систем обмена сообщениями.
  • Не переходите по подозрительным ссылкам — одного визита на сайт может быть достаточно для заражения вашего устройства.
  • Используйте VPN для маскировки своего интернет-трафика — это защитит от перенаправления на вредоносный сайт в момент просмотра HTTP-страниц.
  • Регулярно перезагружайтесь — часто шпионское ПО не может навсегда закрепиться в зараженной системе, и перезагрузка позволит от него избавиться.
  • Установите надежное защитное решение на все ваши устройства.
  • И, конечно же, прочитайте пост эксперта по безопасности Костина Райю, в котором вы найдете больше советов о том, как защититься от Pegasus и ему подобного шпионского ПО.
Советы