Дослідники з кібербезпеки повідомили, що вони ідентифікували групу хакерів на замовлення, яка націлюється на журналістів, активістів та державних службовців на Близькому Сході та в Північній Африці. Хакери використовували фішингові атаки для доступу до резервних копій iCloud та акаунтів у месенджері Signal, а також розгортали шпигунське ПЗ для Android, здатне повністю захопити пристрої жертв.
Ця хакерська кампанія підкреслює зростаючу тенденцію державних установ передавати свої хакерські операції на аутсорсинг приватним компаніям, що працюють на замовлення. Деякі уряди вже покладаються на комерційні компанії, які розробляють шпигунське ПЗ та експлойти, що використовуються поліцією та розвідувальними службами для доступу до даних на телефонах людей.
Дослідники з правозахисної організації Access Now задокументували три випадки атак у період з 2023 по 2025 рік проти двох єгипетських журналістів та одного журналіста з Лівану, чий випадок також був задокументований правозахисною організацією SMEX.
Мобільна кібербезпекова компанія Lookout також досліджувала ці атаки. Три організації співпрацювали одна з одною та опублікували окремі звіти в середу.
За даними Lookout, атаки виходять за межі членів єгипетського та ліванського громадянського суспільства і включають цілі в урядах Бахрейну та Єгипту, а також цілі в Об’єднаних Арабських Еміратах, Саудівській Аравії, Великій Британії та, потенційно, США або випускників американських університетів.
Lookout дійшов висновку, що хакери, які стоять за цією кампанією, працюють на постачальника хакерських послуг на замовлення, пов’язаного з BITTER APT, яку компанії з кібербезпеки підозрюють у зв’язках з індійським урядом.
Джастін Албрехт, головний дослідник Lookout, розповів TechCrunch, що компанія, яка стоїть за кампанією, може бути відгалуженням індійського стартапу з хакерських послуг на замовлення Appin, і зазначив одну з таких компаній під назвою RebSec як можливого підозрюваного. У 2022 та 2023 роках Reuters опублікував масштабні розслідування про Appin та інші подібні індійські компанії, які викрили, як ці компанії нібито наймають для зламу керівників компаній, політиків, військових посадовців та інших.
Згодом Appin, очевидно, закрилася, але Албрехт зазначив, що виявлення цієї нової хакерської кампанії показує, що активність «не зникла, а просто перейшла до менших компаній».
Ці групи та їхні клієнти отримують «правдоподібне заперечення, оскільки вони керують усіма операціями та інфраструктурою». А для їхніх клієнтів такі групи хакерів на замовлення, ймовірно, дешевші, ніж придбання комерційного шпигунського ПЗ, сказав Албрехт.
Зв’язатися з Rebsec для коментаря не вдалося, оскільки компанія видалила свої акаунти в соціальних мережах та вебсайт.
Мохаммед Аль-Маскаті, дослідник і директор служби цифрової безпеки Access Now, який працював над цими справами, сказав, що «ці операції стали дешевшими, і є можливість уникнути відповідальності, особливо тому, що ми не знаємо, хто є кінцевим замовником, і інфраструктура не розкриє особу, що стоїть за цим».
Хоча такі групи, як BITTER, можуть не мати найдосконаліших хакерських інструментів та шпигунського ПЗ, їхні тактики все одно можуть бути дуже ефективними.
В атаках у межах цієї кампанії хакери використовували кілька різних технік. Націлюючись на користувачів iPhone, хакери намагалися обманом змусити жертв надати свої облікові дані Apple ID, щоб потім зламати їхні резервні копії iCloud, що фактично дало б їм доступ до повного вмісту iPhone жертв.
Це «потенційно дешевша альтернатива використанню більш складного та дорогого шпигунського ПЗ для iOS», — зазначає Access Now.
Націлюючись на користувачів Android, хакери використовували шпигунське ПЗ під назвою ProSpy, маскуючись під популярні месенджери та комунікаційні застосунки, такі як Signal, WhatsApp і Zoom, а також ToTok і Botim — два застосунки, популярні на Близькому Сході.
В деяких випадках хакери намагалися обманом змусити жертв зареєструвати та додати новий пристрій — контрольований хакерами — до свого облікового запису Signal. Ця техніка була популярною серед різних хакерських груп, включаючи російських шпигунів.
Представник посольства Індії у Вашингтоні, округ Колумбія, негайно не відповів на запит про коментар.
Залишити відповідь