Нов шпионски софтуер засечен у нас

Канадска лаборатория идентифицира български сървъри

Програмата, подобна на "Пегас", има функция самоунищожаване, за да скрие следите си

Нов израелски шпионски софтуер "КуаДрийм", подобен на програмата "Пегас", е засечен в България. Това става ясно от проучване на канадската изследователска лаборатория "Ситизен лаб", която е към университета в Торонто.

Канадските учени успяват да идентифицират сървъри в няколко държави, които получават, обработват и съхраняват данни от устройствата на жертвите, на които са внедрили шпионската програма (виж каре 1). България се оказва една от тези страни. Другите са Чехия, Унгария, Румъния, Сингапур, Мексико, ОАЕ, Гана, Узбекистан Индонезия и Мароко.

Тъй нареченият "КуаДрийм" е използван срещу журналисти и политически фигури в няколко държави, съобщават от екипа на "Ситизен лаб". Дали самият софтуер е използван, или се използва срещу наши политици и журналисти, не става ясно.

Шпионският софтуер е създаден от компанията "КуаДрийм", основана от бивш израелски военен, бивш член на израелската NSO Group, създала "Пегас", съобщават специалистите по киберсигурността. Поне петима души са били подложени на следене с помощта на новия софтуер в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток, дали има някой българин, предстои да стане ясно (виж каре 2). Темата за частния шпионски софтуер излезе на преден план и предизвика международен скандал, след разкритията за "Пегас". До юли 2021 г. медийно разследване разкри списък с повече от 50 000 имена на лица, които може да са били следени с тази програма. Това предизвика скандали и съдебни дела в няколко държави, а Европейската прокуратура създаде специална разследваща комисия по въпроса.

"Ситизен лаб" обясни, че след като бъде инсталиран на телефон или компютър, шпионският софтуер "КуаДрийм" може да записва звук от телефонни разговори, запис на аудио от микрофона, правене на снимки през предната или задната камера на устройството, ексфилтриране и премахване на елементи от устройството, разбиване на пароли, проследяване на местоположението на устройството, извършване на различни операции с файлова система, включително търсене на файлове, съответстващи на определени характеристики.

От "Ситизен лаб" допълват, че шпионският софтуер съдържа и функция за самоунищожение, която изчиства различни следи, оставени от самия него.

Шпионският софтуер е продаван на правителства, включително тези на Сингапур, Саудитска Арабия, Мексико, Гана, Индонезия и Мароко според "Ситизен лаб". Предстои и службите в България да проведат свое разследване на базата на данни от учените в Торонто.

 Разобличаване

Партньори в общността за разузнаване на заплахи споделят с учените в Торонто мрежов индикатор, свързан с шпионския софтуер на "КуаДрийм". Въз основа на този индикатор успяват да създадат пръстови отпечатъци и да идентифицират повече от 600 сървъра и 200 имена на домейни, за които са категорични, че са свързани с шпионския софтуер от края на 2021 г. и началото на 2023 г.

 Анализи

"Въз основа на анализ на образци, споделени с нас от екипа на "Майкрософт", който се занимава с преценяване на рискове, ние разработихме индикатори, които ни позволиха да идентифицираме най-малко пет жертви на шпионския софтуер от гражданското общество. Жертвите включват журналисти, фигури от политическата опозиция и служител на неправителствена организация.", пишат от "Ситизен лаб". Засега от Торонто не назовават имена на жертвите.

"Извършихме интернет сканиране, за да идентифицираме сървърите на "КуаДрийм" и в някои случаи успяхме да идентифицираме местоположенията на операторите за системите на шпионския софтуер. Открихме системи, като един е управляван и от България, става ясно от публикувания материал на "Ситизен лаб".