Эта хакерская кампания подчеркивает растущую тенденцию, когда государственные учреждения передают свои операции по взлому на аутсорсинг частным компаниям, нанимаемым для хакерских услуг. Некоторые правительства уже полагаются на коммерческие компании, которые разрабатывают шпионское ПО и эксплойты, используемые полицией и разведывательными службами для получения доступа к данным на телефонах людей.
Исследователи из организации по защите цифровых прав Access Now задокументировали три случая атак в период с 2023 по 2025 год, направленных против двух египетских журналистов и журналиста в Ливане, чей случай также был задокументирован организацией по защите цифровых прав SMEX.
Мобильная компания по кибербезопасности Lookout также расследовала эти атаки. Три организации сотрудничали друг с другом и опубликовали отдельные отчеты в среду.
По данным Lookout, атаки выходят за рамки членов египетского и ливанского гражданского общества и включают цели в правительствах Бахрейна и Египта, а также цели в Объединенных Арабских Эмиратах, Саудовской Аравии, Великобритании и, возможно, в Соединенных Штатах или среди выпускников американских университетов.
Lookout пришла к выводу, что хакеры, стоящие за этой кампанией взломов, работают на поставщика хакерских услуг, которому исследователи дали кодовое название BITTER, и который, по мнению расследующих компаний по кибербезопасности, предположительно связан с правительством Индии.
Джастин Альбрехт, ведущий исследователь Lookout, сообщил TechCrunch, что компания, стоящая за BITTER, может называться Rebsec Solutions и может являться ответвлением индийского стартапа Appin, занимающегося хакерскими услугами. В 2022 и 2023 годах Reuters публиковала обширныерасследования в отношении Appin и других подобных индийских компаний, которые, как утверждается, нанимались для взлома руководителей компаний, политиков, военных чиновников и других лиц.
По всей видимости, Appin позже прекратила свою деятельность, но Альбрехт отметил, что обнаружение этой новой хакерской кампании показывает, что активность «не исчезла, а просто перешла к более мелким компаниям».
Эти группы и их клиенты получают «правдоподобное отрицание, поскольку они управляют всеми операциями и инфраструктурой». А для их клиентов эти нанимаемые хакерские группы, вероятно, обходятся дешевле, чем покупка коммерческого шпионского ПО, — сказал Альбрехт.
Связаться с Rebsec для получения комментариев не удалось, так как компания удалила свои аккаунты в социальных сетях и веб-сайт.
Мохаммед Аль-Маскати, следователь и директор Справочной службы по цифровой безопасности Access Now, работавший над этими случаями, заявил, что «эти операции стали дешевле, и стало возможно уйти от ответственности, особенно поскольку мы не узнаем, кто является конечным заказчиком, а инфраструктура не раскроет стоящую за этим организацию».
Хотя у таких групп, как BITTER, может не быть самого передового хакерского и шпионского инструментария, их тактика может быть весьма эффективной.
В атаках, являющихся частью этой кампании, хакеры использовали несколько различных методов. При нацеливании на пользователей iPhone хакеры пытались обманом заставить жертв раскрыть свои учетные данные Apple ID, чтобы затем взломать их резервные копии iCloud, что фактически дало бы им доступ ко всему содержимому iPhone жертв.
Это «потенциально более дешевая альтернатива использованию более сложного и дорогого шпионского ПО для iOS», по данным Access Now.
При нацеливании на пользователей Android хакеры использовали шпионское ПО под названием ProSpy, маскируя его под популярные приложения для обмена сообщениями и связи, такие как Signal, WhatsApp* и Zoom, а также ToTok и Botim — два приложения, популярные на Ближнем Востоке.
В некоторых случаях хакеры пытались обманом заставить жертв зарегистрировать и добавить новое устройство — контролируемое хакерами — в свою учетную запись Signal, что является техникой, популярной среди различных хакерских групп, включая российских шпионов.
Представитель посольства Индии в Вашингтоне не сразу ответил на запрос о комментарии.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
