2024/11/19 11:23:40

Сталкерское ПО (программы-шпионы)


Содержание

Сталкерское ПО — это коммерческие программы, которые могут применяться для скрытого наблюдения и вторжения в личную жизнь человека. Такие программы продаются в основном через специализированные сайты, так как официальные магазины приложений стараются не допускать их размещения у себя.

Сталкерские программы позволяют просматривать фотографии и файлы, хранящиеся на устройстве пользователя, через него можно подсматривать за человеком через камеру его смартфона в режиме реального времени, а также видеть календарь и список контактов, определять местоположение, читать историю браузера, SMS и переписку в мессенджерах и записывать переговоры. Некоторые приложения позволяют удаленно контролировать устройство.

Вредоносная программа (зловред)

Основная статья: Вредоносная программа (зловред)

2024: Мошенники в России рассылают приложения-шпионы под видом pdf-файлов

Руководитель группы аналитиков по информационной безопасности Лиги Цифровой Экономики Виталий Фомин 17 ноября 2024 года сообщил о новой схеме мошенничества, использующей вредоносные программы под видом PDF-документов.

Вирусная программа активируется сразу после открытия файла и начинает отслеживать действия пользователя, передавая информацию злоумышленникам.

Мошенники рассылают видом pdf-файлов приложения-шпионы

«
Совсем недавно появилась схема с рассылкой pdf-файлов, после открытия которых вирус распаковывается и начинает следить за пользователем, — предупредил Виталий Фомин.
»

В отличие от предыдущих версий вредоносных программ, новые вирусы не требуют дополнительного запуска и начинают работу сразу после загрузки файла на устройство, отправляя собранные данные на серверы мошенников.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.5 т

Эксперты рекомендуют не скачивать файлы любых форматов из непроверенных источников, особенно присланные в электронных письмах или сообщениях от неизвестных отправителей.

Злоумышленники часто маскируют вредоносные программы под официальные уведомления от государственных структур, содержащие информацию о задолженностях или других финансовых вопросах. Для получения дополнительной информации пользователям предлагается перейти по подозрительным ссылкам.

Среди других распространенных схем мошенничества специалисты отмечают фальшивые уведомления о банковских переводах и сообщения якобы от технической поддержки с просьбами подтвердить учетную запись или предупреждениями о попытках взлома.

Для защиты от подобных атак эксперты советуют проверять отправителей писем, не открывать подозрительные вложения и не переходить по ссылкам из непроверенных источников. При получении сообщений от банков или государственных организаций рекомендуется самостоятельно обращаться в эти учреждения по официальным каналам связи.[1]

2023: Президент США подписал указ, запрещающий властям использовать шпионское ПО

27 марта 2023 года президент США Джо Байден подписал указ, запрещающий властям использовать коммерческое шпионское программное обеспечение, которое создаёт угрозу национальной безопасности.

В публикации Белого дома говорится, что шпионские киберинструменты получают всё большее распространение. Они применяются для несанкционированного «удалённого доступа к электронным устройствам, извлечения их содержимого и манипулирования компонентами без ведома или согласия пользователей». Кроме того, такой софт, как утверждается, потворствует нарушению прав человека: он служит в том числе для запугивания политических оппонентов, ограничения свободы выражения мнения, а также для мониторинга деятельности и преследования активистов и журналистов.

По мнению Белого дома, коммерческое шпионское ПО потворствует нарушению прав человека
«
Распространение коммерческого шпионского ПО представляет явные и усугубляющиеся угрозы для безопасности США, в том числе создаёт риски для государственных сотрудников и их семей, — отмечается в сообщении Белого дома.
»

В документе также подчёркивается, что злоупотребление этими инструментами кибернаблюдения «не ограничивается авторитарными режимами». Демократические правительства также сталкиваются со свидетельствами того, что определённые лица внутри государственных структур применяют коммерческие шпионские программы для слежения за гражданами «без надлежащих юридических разрешений и контроля».

Подписанный указ распространяется на ведомства и агентства федерального правительства США, включая те, которые занимаются правоохранительной, оборонной или разведывательной деятельностью. Документ, как отмечается, послужит основой для углубления международного взаимодействия с целью ответственного использования технологий слежения. Указ призван пресечь неправомерное применение шпионского ПО и стимулировать отраслевые реформы.[2]

2022

Россияне столкнулись с распространяемым через Telegram вирусом-шпионом

В декабре 2022 года стало известно о том, что россияне столкнулись с распространяемым через Telegram вирусом-шпионом TgRAT. Как сообщили в компании Positive Technologies, вредоносная программа использует инфраструктуру Telegram в качестве каналов управления и может делать снимки экрана, скачивать файлы на атакуемый узел, загружать данные с узла на управляющий сервер. Подробнее здесь.

Европарламент: Власти ЕС использовали шпионское ПО для сокрытия коррупции и других преступлений

В ноябре 2022 года Европарламент выпустил доклад, в котором сообщается, что правительства Евросоюза использовали «шпионское ПО в отношении своих граждан в политических целях и для сокрытия коррупции и преступной деятельности».

Как заявил евродепутат София Ин'т Велд, один из авторов доклада, система шпионского ПО «глубоко укоренена в Европе» и никак не контролируется. Она отметила, что абсолютно все страны ЕС пользуются шпионским ПО, а чаще всех - Венгрия, Греция, Испания и Кипр.

Европарламент выпустил доклад, в котором сообщается, что правительства Евросоюза использовали шпионское ПО в отношении своих граждан в политических целях и для сокрытия коррупции и преступной деятельности
«
Это прямая угроза европейской демократии... Это ведет к глушению критических голосов оппозиции, замораживанию гражданского общества, манипулированию выборами. При этом те, кто ответственны за это, сидят в Европейском совете, — сказала депутат.

»

Она сообщила, что у каждой страны ЕС есть своя роль. Кипр и Болгария — экспортные центры, Люксембург — зона, где продавцы ПО ведут свой финансовый бизнес, Ирландия предоставляет льготные налоговые условия, Мальта с ее «золотыми паспортами» — комфортный дом для боссов этого бизнеса. Италия, Франция и Австрия — места разработки и производства ПО, Чехия ежегодно проводит международные ярмарки шпионского программного обеспечения, а Германия, Бельгия и Нидерланды в той или иной степени признали, что их полицейские используют это ПО.

Ин'т Велд подчеркнула, что правительственные чиновники стран ЕС отказываются отвечать на любые вопросы в рамках расследования по линии Европарламента.

«
7 ноября 2022 года мы получили ответ от Совета ЕС на наше письмо, направленное в июле. В нем говорится: спасибо за ваше обращение, однако это не ваше дело, Европейский парламент, мы не считаем нужным отчитываться ни перед кем, отстаньте, - заявила она.[3]

»

В Греции запретили продавать шпионское ПО после скандала с прослушиванием телефонов министров

8 ноября 2022 года правительство Греции сообщило запрете продажи шпионских программ после сообщений СМИ о скандале с прослушиванием телефонов, жертвами которого стали не менее 30 человек, включая политиков и бизнесменов.

«
Мы не позволим, чтобы на вопросы, отравляющие греческое общество, оставалась тень, - заявил журналистам в понедельник пресс-секретарь правительства Гианнис Ойконому.
»

В Греции запретили продавать шпионское ПО

Этот шаг был предпринят после того, как газета Documento, опубликовала список людей, чьи телефоны, предположительно, были заражены вредоносной программой Predator. Она сослалась на два источника, которые играли определенную роль в слежке, якобы от имени правительства.

Премьер-министр Греции Кириакос Мицотакис назвал эти обвинения "невероятной ложью", добавив, что доклад необоснован, поскольку в нем нет доказательств того, что за слежкой стоял его кабинет.

Ойконому до этого заявил, что греческое государство не использовало и не покупало никаких подобных шпионских программ, и добавил, что судебные органы проведут расследование по этому докладу.

Отчет Documento стал последним событием в скандале с прослушкой, который вызвал политические волнения в Греции, поскольку Европейский Союз более жестко рассматривает использование и продажу шпионских программ. Греческий прокурор начал расследование в начале 2022 года.

Большинство предполагаемых жертв, включая бывшего консервативного премьер-министра и нынешних министров иностранных дел и финансов, отказались от комментариев или сказали газете, что не знают об этом деле.

«
Это позорно и отвратительно, когда кто-то предполагает, что премьер-министр следит за своим министром иностранных дел. И крайне опасно, - сказал Мицотакис. Мы не знаем, кто управляет этими центрами. Но в чем мы абсолютно уверены, так это в том, что это не EYP. И очевидно, что я в этом не участвовал. [4]
»

2021

ЕК стала жертвой израильского шпионского ПО

Старшие должностные лица Европейской комиссии в 2021 году были атакованы шпионским ПО производства некой израильской компании. Об этом стало известно 11 апреля 2022 года. Подробнее здесь.

В России зафиксирован всплеск шпионского ПО на платформе Android

22 февраля 2022 года стали известны данные глобальной телеметрии ESET за период с сентября по декабрь 2021 года, которые свидетельствуют о росте активности шпионских программ более, чем на 20%. При этом каждая десятая атака сталкинга и шпионажа в мире направлена на пользователей Android из России.

Мониторинговые вредоносные программы чаще всего обладают следующим функционалом:

  • фиксация местоположения и ведение журнала активности в интернете;
  • регистрация нажатий при наборе текста и отправка скриншотов экрана на сторонний сервер;
  • блокировка защитных элементов операционной системы;
  • работа в скрытом режиме без уведомлений и маскировка под стандартные утилиты.

«
Нежелательное ПО для сталкинга в подавляющем большинстве случаев распространяется через клоны легальных приложений, загруженных из неофициальных магазинов. Однако популярность на рынке набирают и коммерческие разработчики, открыто предлагающие шпионские программы. Обычно они позиционируют свои продукты, как средство слежки за сексуальным партнером, — пояснил исследователь угроз ESET Лукас Стефанко.
»

В целом за 2021 год объем всех типов угроз для Android увеличился в пять раз по сравнению с 2020 годом. В 2021 году вредоносные программы против пользователей этой ОС были наиболее активны по субботам и воскресеньям. А по вторникам телеметрия ESET детектировала наименьшее число атак.

2020: Россия лидирует по распространению сталкерского ПО

Россия оказалась на 1-м месте по числу пользователей мобильных устройств, заражённых так называемым сталкерским программным обеспечением. Об этом свидетельствуют данные «Лаборатории Касперского», обнародованные в конце августа 2020 года.

По данным антивирусного разработчика, в России количество владельцев гаджетов с установленными программами-шпионами в первой половине 2020 года увеличилось на 28% в сравнении с аналогичным периодом 2019-го.

Россия оказалась на 1-м месте по числу владельцев заражённых шпионским ПО устройств

В целом по миру число пользователей, на чьих мобильных устройствах было обнаружено сталкерское ПО, также растет: в первые шесть месяцев 2020 года оно выросла на 39% по сравнению с аналогичным периодом предыдущего года. В Европе такие программы чаще всего фиксируются на устройствах немецких, итальянских и британских пользователей.

Как отмечают в «Лаборатории Касперского», к августу 2020 года сталкерское ПО используется все более активно, даже несмотря на то, что во втором квартале число пользователей, на чьих устройствах были зафиксированы такие программы, немного снизилось. Это могло произойти потому, что в результате самоизоляции многие начали проводить дома гораздо больше времени, а с помощью сталкерских приложений пользователи чаще всего следят за своими близкими.[5]

2019: Вредоносное ПО EvilGnome шпионит за пользователями Linux

18 июля 2019 года стало известно о том, что эксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. На июль 2019 года вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности.

EvilGnome

Как сообщалось, по сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой "популярностью". Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов.

Тем не менее, исследователи из Intezer Labs недавно обнаружили встраиваемый бэкдор для Linux, который, вероятнее всего, на июль 2019 года находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux.

Вредонос EvilGnome способен делать скриншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули.

Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью "makeself" - небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки.

EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает команды с C&C-сервера злоумышленника, такие как загрузка и выполнение файлов, установка фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки.

Исследователи также обнаружили связь между EvilGnome и хакерской группировкой Gamaredon Group, предположительно связанной с РФ. Группа активна с 2013 года и известна атаками на связанных с правительством Украины лиц.

Поскольку антивирусные программы и системы безопасности на июль 2019 года не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настольных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs. [6]

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания