Хакеры рассылают опасное ПО от имени авторитетной правозащитной организации
Опасайтесь подделок
Неизвестные злоумышленники от имени правозащитной организации «Международная амнистия» (Amnesty International) рассылают программу, якобы предназначенную для поиска шпионского ПО Pegasus. В действительности под названием Amnesty Ant iPegasus Software распространяется малоизвестный RAT-троянец.
«Злоумышленники развернули липовый сайт, напоминающий ресурс Amnesty International… который перенаправляет пользователей на якобы антивирусный инструмент, предназначенный для защиты от шпионского инструмента NSO Group Pegasus, говорится в исследовании, опубликованном Cisco Talos. В действительности на устройства скачивается малоизвестный вредонос Sarwent».
Sarwent представляет собой программу для удаленного доступа к сторонним системам через VNC или RDP. Он позволяет злоумышленникам запускать утилиту командной строки внутри атакуемой системы или направлять инструкции Power Shell с домена, контролируемого злоумышленниками. Эксперты Talos уверены, что в данном случае речь идет о сильно модифицированной версии оригинального Sarwent. Впрочем, его разработчик или разработчики, по мнению экспертов, имеют доступ к оригинальному исходному коду программы.
Эксперты Talos также предполагают, что разработчики являются русскоязычными.
Актуальная тема
«Кампания нацелена на людей, у которых есть основания предполагать, что они могут быть атакованы Pegasus, — указывается в публикации Talos. — Это становится поводом заподозрить участие государства… вполне возможно, впрочем, что за кампанией стоят финансово-мотивированные злоумышленники, которые пытаются воспользоваться актуальным информационным поводом к своей выгоде».
Под видом средства борьбы с Pegasus раздается другой троянец
Pegasus представляет собой шпионскую программу, атакующую устройства на базе iPhones и Android. Троянец способен перехватывать текстовые сообщения, отслеживать звонки и местоположение звонившего, собирать и отправлять своим операторам пароли и различные данные из установленных приложений.
NSO Group, разработчик Pegasus, утверждает, что их продукт продается только правительственным организациям, которые борются с терроризмом, оргпреступностью и другими угрозами национальной безопасности. Однако организация AmnestyInternationalи несколько СМИ получили доступ к списку из 50 тыс. телефонных номеров, за которыми следили с помощью Pegasus. В числе объектов слежки оказались около 600 политиков и чиновников, включая нескольких глав государств, 65 руководителями различных бизнес-структур и 85 правозащитников. Большинство атак имели адресный характер, однако Pegasus уже много месяцев остаётся предметом самого широкого обсуждения.
«Киберзлоумышленники регулярно эксплуатируют новостные поводы и явления, вызывающие озабоченность у мирового сообщества. Этим особенно часто пользуются спамеры для распространения вредоносных программ, но случаются и вот такие проявления “креативности”, как в случае с поддельной защитой от Pegasus, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — На рынке сейчас довольно много предложений и инструкций по защите от Pegasus, так что сбить людей с толку довольно просто. К сожалению, избавиться от этой программы сложнее, чем предотвратить заражение ею».
В августе 2021 г. эксперты Совета по правам человека ООН опубликовали заявление, в котором призвали главы всех государств — членов ООН — ввести глобальный мораторий на продажу и передачу технологий слежения за гражданами, подобных программе Pegasus. К сожалению, вероятность появления такого моратория крайне низка.