Rosyjski programista śledzony przez FSB – uważaj na oprogramowanie szpiegujące

Badacze ds. bezpieczeństwa odkryli oprogramowanie szpiegujące potajemnie zainstalowane w telefonie rosyjskiego programisty, który został aresztowany przez rosyjskie władze za dostarczanie pomocy finansowej ofiarom wojny na Ukrainie.

Rosyjski programista infiltrowany przez swój rząd

W czerwcu Pierwszy Departament, organizacja pomocy prawnej założona przez przebywającego na wygnaniu rosyjskiego prawnika zajmującego się prawami człowieka Iwana Pawłowa, otrzymała raport od Kiryła Parubieca, rosyjskiego programisty, który został zwolniony z dwutygodniowego aresztu administracyjnego prowadzonego przez Federalną Służbę Bezpieczeństwa Rosji (FSB).

Zamaskowani policjanci zapukali do jego drzwi w kwietniu z bronią w ręku. Przeszukali mieszkanie, skonfiskowali telefon i laptopa, a jego i jego żonę uwięzili pod zarzutem zdrady stanu. Powód? Wysyłał pomoc finansową obywatelom Ukrainy.

Torturowany i zastraszany

Policja stosowała różne metody przymusu, aby zmusić Parubieca do odblokowania telefonu, w tym bicie i pewne formy tortur. Bicie rzekomo spowodowało, że był częściowo głuchy.

Agenci FSB próbowali następnie nakłonić go do zostania informatorem, grożąc mu dwoma dekadami więzienia, jeśli odmówi. Parubiec najwyraźniej miał w swojej książce adresowej osoby interesujące dla FSB. Ostatecznie podpisał dokumenty, zgodnie z którymi przyznał się do winy i zgodził się zostać informatorem, aby uniknąć więzienia. Według wywiadów z reporterami, jego motyw był prosty: zyskać trochę czasu na wymyślenie sposobu na ucieczkę z Rosji.

FSB uwolniło go, wypuściło jego żonę i oddało ich rzeczy osobiste – w tym telefon i komputer.

Niedługo potem Parubiec zauważył dziwną aktywność na swoim telefonie: powiadomienie Arm cortex vx3 synchronization. Natychmiast pomyślał o spyware.

Małżeństwu udało się cudem opuścić kraj. Nie jest jasne, gdzie mieszkają w tym momencie.

Wykorzystując swoje umiejętności programistyczne, wyciągnął logi oprogramowania ze swojego urządzenia, skontaktował się z The First Department i przekazał te informacje. Szybka analiza techniczna potwierdziła jego podejrzenia.

Dzienniki ostatecznie trafiły do doświadczonych łowców oprogramowania szpiegującego z The Citizen Lab w Kanadzie, którzy przez lata zyskali sławę dzięki udostępnianiu cennych informacji na temat znanych programów szpiegujących, takich jak Pegasus i Predator.

Przeprowadzona przez nich analiza techniczna ponownie potwierdziła przeczucie Parubieca, po czym przeprowadzono dogłębną analizę złośliwego oprogramowania.

Nowa generacja oprogramowania szpiegującego Monokle

„Nasza analiza potwierdza, że aplikacja zidentyfikowana przez The First Department jest złośliwa i prawdopodobnie jest aplikacjią Cube Call Recorder, która została zainfekowana trojanem” — czytamy w raporcie Citizen Lab.

Mówi się, że dwuetapowe oprogramowanie szpiegujące jest zaktualizowaną lub zremiksowaną wersją oprogramowania szpiegującego Monokle, pierwotnie odkrytego przez badaczy Lookout w 2019 r.

Złośliwa aplikacja na telefonie Parubieca została wyposażona w typowe dla tego typu oprogramowania funkcje szpiegujące, w tym:

• Śledzenie lokalizacji.
• Zrzut ekranu.
• Rejestrowanie klawiszy.
• Nagrywanie rozmów.
• Wypakowywanie plików z urządzenia.
• Wyodrębnianie zapisanych haseł.
• Czytanie wiadomości z innych aplikacji do przesyłania wiadomości.
• Dodawanie nowego administratora urządzenia.
• Wstrzyknięcie JavaScriptu.
• Wykonywanie poleceń powłoki.
• Wyodrębnianie hasła odblokowującego urządzenie.

Chociaż ta konkretna wersja oprogramowania szpiegującego została zaprojektowana dla telefonów z systemem Android, analiza ujawniła w kodzie odniesienia do wersji na system iOS, co wskazuje na to, że osoba opracowująca nowe oprogramowanie szpiegujące koncentruje się również na sprzęcie Apple.

Obecnie nie ma żadnych znanych przypadków infekcji systemu iOS oprogramowaniem szpiegującym Monokle.

Raport Citizen Lab szczegółowo opisuje złośliwe oprogramowanie i zawiera listę wskaźników zagrożenia (IOC), w tym sumę SHA-256 zainfekowanej aplikacji, polecenia wysyłane przez serwer C2, pola w plikach danych i ustawień oraz uprawnienia żądane przez oprogramowanie szpiegujące, których nie ma w legalnej wersji aplikacji.

Walka ze spyware trwa

Giganci technologiczni Apple i Google od lat prowadzą wojnę z oprogramowaniem szpiegującym. Rząd USA niedawno zakazał wiz dla osób zaangażowanych w rozwój lub wdrażanie oprogramowania szpiegującego, ponieważ narusza to prawa człowieka.

Firma Apple ogłosiła w tym roku, że wycofuje się z sporu prawnego z producentem oprogramowania Pegasus, NSO Group, aby uniknąć konieczności ujawniania informacji o zagrożeniach, jakie firma gromadziła przez lata w celu walki ze złośliwym oprogramowaniem.

Warto zauważyć, że w przypadku Parubieca władze miały już fizyczny dostęp do jego telefonu po uzyskaniu hasła do jego odblokowania. Jest więc prawdopodobne, że nawet po zaktualizowaniu oprogramowania i wprowadzeniu kontroli bezpieczeństwa nadal mogliby wszczepić oprogramowanie do monitorowania danych na urządzeniu.

„Wiele infekcji spyware następuje zdalnie, najczęściej bez udziału ofiary, dlatego też Bitdefender zaleca korzystanie ze skutecznego systemu antywirusowego oraz regularne aktualizowanie wszystkich swoich urządzeń. Jest to pierwszy krok, który możesz podjąć w celu zapobiegnięcia infekcji spyware – zwłaszcza jeżeli uważasz, że możesz celem takiego ataku” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.