Фото: sebastiaan stam / unsplash.com
«Лаборатория Касперского» выявила атаку с использованием шпионского ПО на пользователей из России и Беларуси. Как сообщили в компании, заражение компьютеров под управлением Windows происходило при переходе по персонализированным фишинговым ссылкам, отправленным по электронной почте. Достаточно было просто посетить вредоносный веб-сайт через Google Chrome или другой браузер на базе Chromium.
В компании назвали эту кампанию ForumTroll. Атакующие рассылали ссылки в электронных письмах с приглашениями на форум «Примаковские чтения». Целями атаки были СМИ, университеты, исследовательские центры, государственные организации, финансовые учреждения и другие организации.
В компании отследили вредоносное ПО и пришли к выводу, что использовалась коммерческая шпионская программа Dante, разработанная итальянской компанией Memento Labs (ранее Hacking Team).
Исполнительный директор Memento Labs Паоло Лецци подтвердил TechCrunch, что программное обеспечение, обнаруженное «Лабораторией Касперского», действительно создано его компанией. Он обратил внимание, что использовалась устаревшая версия программы, которая не будет поддерживаться с конца этого года. Он возложил вину на одного из государственных клиентов за использование программы.
«Очевидно, они использовали агента, который уже был мертв. Я думал, что [государственный заказчик] им уже даже не пользуется», — цитирует его издание.
Лецци не уверен, кто именно из клиентов мог использовать Dante. По его словам, Memento уже обратилась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows. Он отметил, что компания предупреждала клиентов о том, что «Лаборатория Касперского» обнаруживала заражения шпионским ПО Dante ещё в декабре 2024 года. На данный момент компания занимается разработкой программ только для мобильных платформ.
В «Лаборатории Касперского» также не стали говорить, кто стоит за шпионской кампанией. Однако там отметили, что инициаторы рассылки хорошо владеют русским языком, знают местные особенности, но отдельные ошибки указывают на то, что злоумышленники не были носителями языка.
Hacking Team еще до переименования в Memento Labs была в центре скандала. Хакер Финеас Фишер взломал серверы стартапа и похитил около 400 гигабайт внутренних писем, контрактов, документов и исходного кода шпионского ПО. Еще до взлома было известно, что в Эфиопии, Марокко и Объединённых Арабских Эмиратах шпионские программы компании использовались для атак на журналистов, критиков и диссидентов. После взлома выяснилось, что Hacking Team продавала свои продукты Бангладеш, Саудовской Аравии и Судану, также его использовали мексиканские местные власти.