Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новых образцов инструмента для шпионажа — Remote Control System (RCS), который принадлежит компании Hacking Team. По данным исследования специалистов ESET, разработчики Hacking Team активно работают над совершенствованием этого шпионского программного обеспечения.
Стоит отметить, что инструмент Remote Control System (RCS) способен похищать файлы, перехватывать электронные письма и мгновенные сообщения, а также удаленно активировать веб-камеру и микрофон устройства.
С момента основания в 2003 году Hacking Team — итальянский поставщик шпионского программного обеспечения — стал известным благодаря продаже правительствам и ведомствам инструментов для наблюдения. В частности, компанию критиковали за продажу шпионских программ авторитарным правительствам, однако поставщик опровергал эти обвинения.
В июле 2015 году компания Hacking Team стала целью атаки, которая окончательно подтвердила использование инструмента Remote Control System репрессивными режимами. В частности, в результате утечки данных в Интернет попали тайный список клиентов, внутренние сообщения и исходный код шпионского программного обеспечения.
После атаки специалисты по ИT-безопасности внимательно следили за дальнейшей деятельностью компании. Сообщение о возобновлении работы команды Hacking Team появилось уже через полгода. В частности, в реальной среде было зафиксировано новый образец шпионской программы для Mac, который принадлежал Hacking Team. Через некоторое время специалисты ESET зафиксировали новый вариант инструмента Remote Control System с действующим цифровым сертификатом.
В ходе дальнейших исследований удалось обнаружить еще несколько образцов шпионской программы Remote Control System, созданных после утечки данных в 2015 году по октябрь 2017 года. Все они немного модифицированные по сравнению с вариантами, выпущенными до утечки исходного кода. Дальнейший анализ подтвердил, что образцы принадлежат не разным киберпреступникам, а одной группе.
Об этом свидетельствует последовательность цифровых сертификатов, которые используются для подписания образцов. В частности, специалисты ESET обнаружили шесть различных сертификатов, выданных последовательно. Кроме того, по данным исследования, изменения, внесенные после утечки, свидетельствуют о глубоком ознакомлении с кодом и сделанные в соответствии с собственным стилем кодирования хакеров.
Одним из отличий между образцами до и после утечки является разница в размере файла загрузки, которая, вероятнее всего, используется как метод избежания обнаружения. В свою очередь, функционал шпионского программного обеспечения почти не изменился.
В нескольких зафиксированных случаях шпионское программное обеспечение находилось в исполняемом файле, что маскируется под документ PDF и распространяется с помощью фишинговых сообщений электронной почты. Названия прикрепленных файлов, вероятно, подобраны с целью уменьшения подозрений при получении дипломатами.
Исследование специалистов ESET позволяет утверждать, что проанализированные образцы действительно являются работой разработчиков Hacking Team, а не результатом повторного использования исходных кодов отдельными киберпреступниками. На момент написания материала системы ESET обнаружили новые образцы шпионской программы Hacking Team уже в четырнадцати странах.