Pirmdien kiberdrošības giganta Kaspersky pētnieki publicēja ziņojumu identificēt jaunu spiegprogrammatūru ar nosaukumu Dante, kas, pēc viņu domām, bija vērsta pret Home windows upuriem Krievijā un kaimiņvalstī Baltkrievijā. Pētnieki teica, ka Dante spiegprogrammatūru ražo Memento Labs, Milānas uzraudzības tehnoloģiju ražotājs, kas tika izveidots 2019. ieguva un pārņēma jauns īpašnieks agrīnā spiegprogrammatūras veidotāja Hacking Group.
Memento izpilddirektors Paolo Lezzi apstiprināja TechCrunch, ka Kaspersky nozvejotā spiegprogrammatūra patiešām pieder Memento.
Sarunā Lezzi vainoja vienu no uzņēmuma valdības klientiem Dantes atmaskošanā, sakot, ka klients izmantoja novecojušu Home windows spiegprogrammatūras versiju, kuru Memento līdz šī gada beigām vairs neatbalstīs.
“Skaidrs, ka viņi izmantoja aģentu, kas jau bija miris,” Lezzi teica TechCrunch, atsaucoties uz “aģentu” kā tehnisko vārdu spiegprogrammatūrai, kas ievietota mērķa datorā.
“Es domāju [the government customer] pat vairs to neizmantoja,” sacīja Lezzi.
Lezzi, kurš sacīja, ka nav pārliecināts, kurš no uzņēmuma klientiem tika pieķerts, piebilda, ka Memento jau ir pieprasījis, lai visi tā klienti pārtrauc izmantot Home windows ļaunprogrammatūru. Lezzi sacīja, ka uzņēmums ir brīdinājis klientus, ka Kaspersky ir atklājis Dante spiegprogrammatūras infekcijas kopš 2024. gada decembra. Viņš piebilda, ka Memento plāno trešdien nosūtīt ziņojumu visiem saviem klientiem, vēlreiz aicinot viņus pārtraukt izmantot tās Home windows spiegprogrammatūru.
Viņš arī teica, ka Memento pašlaik izstrādā tikai spiegprogrammatūru mobilajām platformām. Uzņēmums arī izstrādā dažas nulles dienas — tas nozīmē, ka pārdevējam nezināmas programmatūras drošības nepilnības, kuras var izmantot spiegprogrammatūras piegādei, taču uzņēmums lielākoties izmanto savus ekspluatācijas veidus no ārējiem izstrādātājiem, norāda Lezzi.
Sazinieties ar mums
Vai jums ir vairāk informācijas par Memento Labs? Vai citi spiegprogrammatūras veidotāji? No ierīces, kas nedarbojas, varat droši sazināties ar Lorenzo Franceschi-Bicchierai, izmantojot signālu pa tālruni +1 917 257 1382 vai izmantojot Telegram, Keybase un Wire @lorenzofb vai e-pastu.
Kad sazinājās ar TechCrunch, Kaspersky pārstāvis Mai Al Akka neteica, kura valdība, pēc Kaspersky domām, ir aiz spiegošanas kampaņas, wager gan to, ka tā ir “kāds, kurš ir spējis izmantot Dante programmatūru”.
“Grupa izceļas ar spēcīgo krievu valodas prasmi un vietējo niansu zināšanām, iezīmēm, ko Kasperskis novēroja citās ar to saistītās kampaņās. [government-backed] draudi. Tomēr neregulāras kļūdas liek domāt, ka uzbrucējiem nebija dzimtā valoda,” Al Akka sacīja TechCrunch.
Savā jaunajā ziņojumā Kaspersky teica, ka ir atradis hakeru grupu, kas izmanto Dante spiegprogrammatūru, ko tā dēvē par “ForumTroll”, aprakstot cilvēku mērķauditorijas atlasi ar ielūgumiem uz Krievijas politikas un ekonomikas forumu. Primakova lasījumi. Kasperskis sacīja, ka hakeri bija vērsti pret plašu nozaru loku Krievijā, tostarp plašsaziņas līdzekļiem, universitātēm un valdības organizācijām.
Kasperskis atklāja Dante pēc tam, kad Krievijas kiberdrošības uzņēmums paziņoja, ka atklājis kiberuzbrukumu “vilni” ar pikšķerēšanas saitēm, kuras tika izmantotas. nulles diena pārlūkprogrammā Chrome. Lezzi teica, ka Chrome nulles dienu nav izstrādājis Memento.
Savā ziņojumā Kaspersky pētnieki secināja, ka Memento “turpina uzlabot” Hacking Group sākotnēji izstrādāto spiegprogrammatūru līdz 2022. gadam, kad spiegprogrammatūru “nomainīja Dante”.
Lezzi pieļāva, ka, iespējams, daži Memento Home windows spiegprogrammatūras “aspekti” vai “uzvedība” ir palikuši pāri no Hacking Group izstrādātās spiegprogrammatūras.
Signāla zīme, ka Kaspersky notvertā spiegprogrammatūra piederēja Memento, bija tas, ka izstrādātāji spiegprogrammatūras kodā esot atstājuši vārdu “DANTEMARKER”, kas ir skaidra atsauce uz vārdu Dante, ko Memento iepriekš bija publiski atklājis uzraudzības tehnoloģiju konferencē saskaņā ar Kaspersky.
Līdzīgi kā Memento Dante spiegprogrammatūra, dažas Hacking Group spiegprogrammatūras versijas ar koda nosaukumu Distant Management System tika nosauktas vēsturisku itāļu personību, piemēram, Leonardo Da Vinči un Galileo Galilei, vārdā.
Uzlaušanas vēsture
2019. gadā Lezzi iegādājās Hacking Group un pārdēvēja to par Memento Labs. Pēc Lezzi teiktā, viņš par uzņēmumu samaksājis tikai vienu eiro un plāns bijis sākt no jauna.
“Mēs vēlamies mainīt pilnīgi visu,” Memento īpašnieks stāstīja Mātesplate pēc iegādes 2019. gadā. “Mēs sākam no nulles.”
Gadu vēlāk Hacking Group izpilddirektors un dibinātājs David Vincenzetti paziņoja, ka hakeru komanda bija “miris”.
Kad viņš iegādājās Hacking Group, Lezzi teica TechCrunch, ka uzņēmumam ir palikuši tikai trīs valdības klienti, kas ir ļoti tālu no vairāk nekā 40 valsts klientiem, kas bija Hacking Group 2015. gadā. Tajā pašā gadā hacktivist sauca Phineas Fisher. ielauzās starta serveros un izplūda aptuveni 400 gigabaitu iekšējo e-pasta ziņojumu, līgumu, dokumentu un spiegprogrammatūras pirmkoda.
Pirms uzlaušanas Hacking Group klienti iekļuva Etiopija, Marokaun Apvienotie Arābu Emirāti tika pieķerti, vēršoties pret žurnālistiem, kritiķiem un disidentiem, izmantojot uzņēmuma spiegprogrammatūru. Kad Phineas Fisher tiešsaistē publicēja uzņēmuma iekšējos datus, žurnālisti atklāja ka Meksikas reģionālā valdība izmantoja Hacking Group spiegprogrammatūru, lai mērķētu uz vietējiem politiķiem, un ka Hacking Group bija pārdevusi valstīm, kurās ir cilvēktiesību pārkāpumi, tostarp Bangladešai, Saūda Arābijai un Sudānai.
Lezzi atteicās paziņot TechCrunch, cik klientu pašlaik ir Memento, taču norādīja, ka to ir mazāk nekā 100 klientu. Viņš arī sacīja, ka no Hacking Group bijušajiem darbiniekiem ir palikuši tikai divi pašreizējie Memento darbinieki.
Memento spiegprogrammatūras atklāšana liecina, ka šāda veida novērošanas tehnoloģijas turpina izplatīties, norāda Džons Skots-Railtons, vecākais pētnieks, kurš desmit gadus ir izmeklējis spiegprogrammatūras ļaunprātīgu izmantošanu Toronto Universitātes Citizen Lab. Tas arī parāda
Arī to, ka pretrunīgi vērtētais uzņēmums var nomirt iespaidīga uzlaušanas un vairāku skandālu dēļ, taču jauns uzņēmums ar pavisam jaunu spiegprogrammatūru joprojām var izkļūt no pelniem,
“Tas mums saka, ka mums ir jābaidās no sekām,” Skots-Railtons sacīja TechCrunch. “Tas daudz saka, ka joprojām pastāv radioaktīvākā, apmulsinātākā un uzlauztākā zīmola atbalsis.”
