Раскрыта масштабная кибершпионская кампания в Казахстане

Китайская компания Qihoo 360 опубликовала отчет, в котором представлена информация о масштабной кибершпионской операции, ведущейся на территории Казахстана. За ней стоит неизвестная ранее группировка, которой исследователи присвоили имя Golden Falcon (или APT-C-34). Целями злоумышленников являются правительственные учреждения, крупные частные компании, ученые, журналисты, религиозные деятели и диссиденты, а также зарубежные граждане – от обучающихся в стране студентов до высокопоставленных дипломатов.

В арсенале Golden Falcon имеется весьма изощренное вредоносное ПО. Особого внимания заслуживают два образца. Один из них - RCS (Remote Control System), продвинутся набор инструментов для киберслежки, разработанный и продаваемый итальянской компанией HackingTeam. Это весьма дорогое ПО, приобретаемое, как правило, спецслужбами различных стран. В 2015 г. хакерам удалось взломать серверы HackingTeam и исходный код RCS был выложен в открытый доступ. Однако это был код версии RCS 9.6, а группировка Golden Falcon использует новейшую версию 10.3 – очевидно, не пожалев денег на ее приобретение. Второй зловред – уникальный бэкдор Harpoon, судя по всему, разработанный самими хакерами. Он обладает всеми возможностями самых мощных современных бэкдоров – от клавиатурного шпионажа и похищения данных из буфера обмена до автоматического копирования удаляемых медиафайлов и самоуничтожения.

Исследователям Qihoo 360 удалось получить доступ к одному из командных серверов группировки. Они сообщают, что данные хакеров распределены по 13 папкам, каждая из которых соответствует одному из 13 крупнейших городов Казахстана. В папках представлена информация о целях операции в соответствующих городах. Также на сервере обнаружились следы переговоров хакеров о покупке дополнительного ПО и оборудования. Установлено, в частности, что Golden Falcon вела переговоры с израильской компанией NSO Group о приобретении мощного шпионского ПО для мобильных устройств Pegasus. Также хакеры общались с российской компанией «Юрион», разрабатывающей в том числе оборудование для прослушивания и радиоперехвата. Все это свидетельствует о весьма широких финансовых и организационных возможностях группировки. По мнению наблюдателей, группировка Golden Falcon, вероятнее всего, является казахстанской или российской, но в любом случае действует при поддержке властей Казахстана. Впрочем, это лишь догадки, официального подтверждения которых в данный момент нет.

Источник: ZDNet