Фото
10:11, 29 декабря 2022

Шпионские программы на службе правительства Армении?


НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО “МЕМО”, ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО “МЕМО”.

Пользователи Apple в Армении получают уведомления о вероятном взломе. Что это?

Примерно 10 дней назад многие люди в Армении получили сообщения о том, что «Apple считает, что айфоны, связанные с их аккаунтами в Apple ID могут быть скомпрометированы атаками, связанными с государством. Эти атаки нацелены на юзеров персонально и организованы из-за их рода деятельности. Такие атаки могут удаленно получать все частные данные, включать камеру и микрофон, перехватывать звонки и т.д».

Такие сообщения получили только пользователи Apple, а их получение было связано с тем, что компания обновила свою операционную систему до версии 16.2, и теперь для нее стали видимыми атаки, которые прежде проходили незаметно. В новую версию системы включены обновления по безопасности, посредством которых операционная система их определяет, и реагирует уведомлением.

Возникает вопрос: почему только Apple? Хотя среди более известных людей Apple больше распространена, чем в среднем, Андроид в любом случае доминирует; но таких уведомлений не присылает. Во-первых, возможно, уязвимость была именно в системе iOS, и через нее взламывали аккаунты (к примеру, через утилиту imessage), причем если учесть, что каждый интересующий пользователь контактирует и с другими пользователями, в действительности взлом Apple будет вполне достаточным для получения всей нужной информацией. Но, учитывая, что взлом производился и через WhatsApp, а также ряд других программ и уязвимостей, вряд ли можно говорить о том, что Андроид неуязвим. Скорее всего, Андроид тоже блокирует такие уязвимости, но позже, и не извещает юзеров об этом. Кроме того, телефоны на ОС Андроид получают обновления в среднем в течение 2-3 лет, а телефоны на Apple – до 7 лет, так что в любом случае Андроид в этом отношении уступает. Тем более, что если дать себе труд углубиться в вопрос, становится понятно, что в целом Андроид очень слабозащищенная система, хотя и есть попытки улучшить ее защиту.

 

Чем и как взламывают пользователей?

Итак, судя по всему, десятки (возможно, ближе к сотне) юзеров в Армении получили уведомление о том есть попытка взлома их аккаунтов. Люди, получившие уведомление во второй половине декабря, чаще всего были сотрудниками государственных ведомств среднего звена, то есть, главы отделов и департаментов или их заместители, и чаще всего эти сообщения распространялись лично, без публичных заявлений. Это неудивительно, поскольку сотрудники госсектора – последние люди, которые хотели бы публичной огласки подобных фактов.

Поскольку подобными сообщениями в Армении занимаются в основном специалисты по информационной безопасности такие как Рубен Мурадян и коллеги из группы Cyberhub.am Самвел Мартиросян и Артур Папян, именно они получают такие сообщения и в целом владеют этой информацией. Рубена Мурадяна отдельно благодарю за постоянное внимание к этой теме и оперативные публикации, которые в том числе использовались для написания этого текста. Согласно ему, шпионские ПО отличаются от компьютерных вирусов тем, что они нацелены не на широкую аудиторию и случайных людей, а на конкретных лиц, и таким образом являются кибероружием.


Армянские специалисты по информационной безопасности, фото Hetq

В атаках против пользователей в основном подозревается шпионское ПО “Pegasus”, созданное компанией NSO Group, связанной с правительством Израиля. Канадская группа “Citizen Lab”, борющаяся с подобными атаками, зафиксировала также использование аналогичного шпионского ПО “Predator”, созданного компанией Cytrox, пользователями которого, наряду с Арменией, названы Сербия, Саудовская Аравия, Оман, Мадагаскар, Индонезия, Греция и Египет. Выводы Citizen Lab впоследствии подтвердила также Threat Analysis Group, в том числе по Армении. Центр анализа угроз (MSTIC) зафиксировал использование шпионского ПО Sourgum компании Candiru в Узбекистане, ОАЭ, Саудовской Аравии, Израиле, Иране, Ливане, Йемене, Испании (Каталонии), Великобритании, Турции, Сингапуре и Армении. В Армении использовались ссылки на фейковый сайт, похожий на государственное новостное агентство Armenpress.

Эти ПО продаются по лицензии только государствам для использования собственными государственными структурами. Легенда гласит, что целью являются уголовные преступники, наркоторговцы, организаторы траффикинга и люди, организующие крупномасштабное отмывание финансовых средств.

Вывеска на офисе NSO Group

Однако на практике регулярно выясняется, что целью являются политики, журналисты, бизнесмены, правозащитники и оппозиционеры, а количественно все рекорды побила, судя по публикациям в СМИ, Мексика, где даже смена власти не повлияла на продолжающуюся тенденцию взлома журналистов. ПО используют Азербайджан, Польша, Украина, Саудовская Аравия, ЮАР, ОАЭ и др. Одной из жертв атак стал, к примеру, президент Франции Эммануэль Макрон, а также лидеры Ирака, ЮАР, Пакистана, Египта и Марокко. Известное на весь мир убийство Джамала Хашогги также было связано с предварительной слежкой за ним посредством Pegasus, хотя сама фирма отказалась комментировать эти сообщения. NSO Group также заявляет, что не предоставляет программу России, США и Израилю. Эдвард Сноуден призвал к полному запрету использования и продаж подобных программ.

По сообщениям СМИ, в Армении еще со времен прошлых властей действуют также инструменты электронной слежки, связанные с Россией (СОРМ) и Китаем (Smart City solution/Huawei), переговоры с Huawei начались еще в 2017 году, а были финализированы, судя по всему, к началу 2019. Эти системы нацелены на анализ трафика и идентификацию людей по лицам.

Нынешнее обновление – не первый случай, когда целые группы людей объявляют о подобной слежке. Например, в начале ноября такие сообщения получили эксперты и представители оппозиции. Но первые массовые сообщения об этом начали появляться в ноябре 2021 года, после очередного обновления ОС Apple. Тогда среди получивших сообщения, были глава оппозиционной фракции, бывший руководитель СНБ Артур Ванецян, а также министр высоких технологий, назначенный впоследствии президентом Ваагн Хачатрян. Так что объектами атак становились как представители оппозиции, так и представители власти. Ванецян подчеркнул, что его прослушивал именно Pegasus, причем прослушка касалась не только его лично, но и членов семьи. Одновременно с Ванецяном, были взломаны и другие лица, владеющие информацией о внешней политике Армении и занимающиеся ей, а также носители государственной тайны, всего порядка 10 человек.

 

Как работают шпионские программы и кто взломал пользователей из Армении?

Возникает несколько вопросов относительно этой информации. Во-первых, были ли успешными попытки взлома пользователей или нет? К сожалению, на это вопрос утвердительный – практически все случаи «писем счастья» от Apple в итоге подтверждали атаку – от 90% и выше. Нередко оказывалось, что взлом произошел за несколько месяцев или, скажем, полтора-два года – до обнаружения. Специалистам по информационной безопасности известно о более чем ста случаях такого взлома, но, вероятно, не все жертвы атак обращались к ним, а кроме того, не все могут об этом знать; это касается, конечно и юзеров Apple, но в куда большей мере – пользователей Android, которых в 2.3 раза больше, чем пользователей Apple iOS. Тем более, что Predator атакует скорее как раз Андроид, а также незащищенные телеграм-каналы. А на последнем мероприятии Pwn2Own Toronto 2022, смартфоны Самсунг были взломаны в первый же день. При этом, это была серия S22 с последними обновлениями. А что насчет взлома Windows и MacOS? Вопросы, вопросы…

Еще один вопрос – кто является пользователем этого ПО и шпионит за гражданами Армении? Сами ли это власти Армении или это все же власти Азербайджана? NSO Group утверждает, что не позволяет государствам взламывать жителей других стран, а здесь надо сказать, что взломы реализует непосредственно NSO Group собственными ресурсами, так что они владеют этой информацией. Тогда вопрос внешнего взлома отпадает. Но верить ли NSO Group – каждому решать самому: и Израиль как государство, и израильские компании, были замечены в порочащих связях с бакинской диктатурой, в том числе в более широких, чем то, что было когда-либо публично объявлено. Непосредственно перед агрессией 2020 года, из Азербайджана было взломано множество армянских баз данных, и то что было слито в сеть, чаще всего было связано с ковидом, что следует рассматривать как демонстрацию возможностей, и, вероятно, были взломаны и другие базы данных, например, связанные с документооборотом всей государственной системы, а также интернет-почта отдельных депутатов и государственных чиновников. Причем, уровень защиты армянских государственных ведомств и особенно – их руководителей и депутатов, является столь низким, что позволяет Азербайджану безнаказанно действовать уже на протяжении 15-20 лет. В последние месяцы этим вопросом, вроде как занялись всерьез и защиту несколько прикрутили, однако в том, что Азербайджан атаковал Армению сомнений нет – в прошлом регулярно взлому подвергались и отдельные сайты, и сервера государственных служб, после чего на главную страницу помещались азербайджанские пропагандистские лозунги или угрозы. Чаще всего такое происходило в 2014-2020 гг.

Однако, возвращаясь к Pegasus-у, говорить о том, что эти атаки направлены Азербайджаном, можно лишь с серьезной долей сомнений. Азербайджан и так имеет кибер-армию и активно ее использует, Pegasus же совсем другой случай и использует «уязвимости нулевого дня», то есть те, что исходно существуют в ОС, но не известны ее создателям и случайно стали известны хакерам; NSO Group занимается скупкой таких уязвимостей по всем каналам. Особенностью Pegasus-а является также то, что для взлома аккаунта (либо устройства), уже не нужно, чтобы пользователь открыл какую-то ссылку или произвел какое-либо действие – скрипт все делает за пользователя. Apple еще год назад подала в суд на NSO Group, с целью пресечь распространения этого ПО, но как мы видим, пока что успехов нет. Сегодня взлом аккаунтов и устройств частных лиц поставлен на поток, и если в масштабах отдельной страны это, возможно, сотни людей, то в масштабах мира, это уже десятки тысяч, и внимание к таким компаниям как NSO Group, Candiru, а также Cytrox, растет. Первые две из них включены в черный список американского департамента торговли, запрещая американским компаниям сотрудничать с этими хакерскими конторами.

Что же касается вероятности того, что взлом был со стороны армянского правительства, то более-менее обоснованные предположения можно строить лишь на основе тайминга взломов, а он известен во многих случаях. Как оказывается, нередко случаи взлома были привязаны к парламентским выборам 2021 года в Армении и осуществлялись в июне 2021 года, что, очевидно, косвенно указывает именно на армянские власти. И если по Pegasus-у еще нет 100%-ной уверенности, а лишь совокупность свидетельств, то по Predator-у уже сомнений нет, так что вопрос состоит лишь в том, все ли известные атаки против армянских пользователей были организованы правительством Пашиняна или лишь их часть. Сама NSO Group не подтвердила и не опровергла того, что сотрудничает с правительством Армении, уточнив лишь, что после получения доступа к данным, она сама их не видит, и они находятся полностью в ведении заказчика.

По заявлению NSO Group, они не разглашают своих действующих и бывших заказчиков. Это неудивительно, поскольку общее потенциальное число заказчиков равно числу государств, так что им необходимо очень аккуратно относиться к действиям в их отношении. Потому же маловероятно, что Pegasus будет использоваться для взлома пользователей и лидеров других стран – это сразу приведет к потере доверия у других заказчиков. Такое предположение озвучил Артур Папян.

Я же добавлю, что если бы такое происходило, то армянские государственные ведомства и специальные службы должны были носом землю рыть, чтобы прекратить эти проникновения и сами должны были стать инициаторами шумихи по поводу Pegasus-а в Армении. Однако СНБ Армении ограничилась лишь тем, что «не имеет фактов о прослушке должностных лиц и оппозиционеров с помощью Pegasus-a и других шпионских программ». Прокуратура Армении ответила на запрос интернет-СМИ Hetq.am, отметив, что «нет данных о приобретении Службой национальной безопасности программного обеспечения Pegasus». Прокуратура отметила также, что данные и публикации о прослушке отправлены в СНБ для проверки информации. Однако результатов проверки так и не было опубликовано.

P. S. Это не единственные авторитарные тенденции в Армении. Подробнее я их рассмотрю в следующих публикациях. А до того, поделюсь интересным фактом. В последний год правления Саакашвили, компания ESET (создатели NOD Antivirus) зафиксировала троян, распространяющийся с сервера правительства Грузии, но там распространение было массовым, а не направленным на отдельных лиц.

Жители Краснодара потребовали пересмотреть новый проект генплана Жители Краснодара потребовали пересмотреть новый проект генплана НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Новый генплан нарушает права десятков тысяч жителей Краснодара, заявили собравшиеся на митинг горожане. Участники акции записали видеобращение на имя президента Путина с просьбой вмешаться в ситуацию. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/405231 04 ноября 2024, 01:54 Ереван: участники акции памяти рассказали истории репрессированных родных Ереван: участники акции памяти рассказали истории репрессированных родных НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО".18+ В Ереване прошла ежегодная акция "Возвращение имен". На ней участники зачитали более 150 имен репрессированных в годы советской власти. В Армении акция проводится в четвертый раз. Посетившие мероприятие рассказали корреспонденту «Кавказского узла» о репрессиях родственников и о том, почему важно не забывать те трагедии. 29 октября 2024, 23:28 Акция в Тбилиси: что требуют протестующие Акция в Тбилиси: что требуют протестующие НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Жители Грузии, не согласные с итогами парламентских выборов, вышли на протест и перекрыли проспект Руставели в Тбилиси. Они потребовали провести новые выборы под эгидой международной избирательной комиссии. Президент Саломе Зурабишвили выступила перед протестующими указав, что на выборах «украли» голоса избирателей. Оппозиционеры заявили, что не смирятся с итогами выборов со множеством нарушений. Подробнее: https://www.kavkaz-uzel.eu/articles/405031 28 октября 2024, 23:15 Грузия протестует: последний шанс стать Европой Грузия протестует: последний шанс стать Европой НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Сторонники вступления Грузии в Евросоюз провели 20 октября шествие и митинг в Тбилиси. Акция прошла на фоне отказа членов Евросоюза от встреч на высоком уровне с правительством Грузии. Процесс евроинтеграции Грузии был приостановлен после вступления в силу закона "О прозрачности иностранного влияния". Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/404782 Подписывайтесь на наш Телеграм-канал: https://t.me/cknot 20 октября 2024, 23:24 Сельчане полгода ждали компенсации после наводнения в Армении Сельчане полгода ждали компенсации после наводнения в Армении НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Только спустя полгода семьям, чьи дома пострадали от наводнения в Армении, начали выплачивать компенсации. Жители общины Алаверди рассказали, что на полученные недавно деньги начали восстанавливать свои дома. Читайте подробнее на "Кавказском узле": https://www.kavkaz-uzel.eu/articles/404636 Подписывайтесь на наш Телеграм-канал: https://t.me/cknot 16 октября 2024, 19:19 Wildberries: смогут ли кадыровцы избежать кровной мести? Wildberries: смогут ли кадыровцы избежать кровной мести? НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО". 18+ Подписывайтесь на наш Телеграм-канал: https://t.me/cknot Встреча делегаций Чечни и Ингушетии после перестрелки в офисе Wildberries закончилась взаимными обвинениями и угрозами. Адам Делимханов призвал "рубить головы", рассказал член Национального совета Ингушетии Муса Албогачиев. При этом сам Албогачиев заявил: "Мы не можем прощать кровь, для этого есть свои хозяева — кровники". Кто прав? Кто виноват? Кому должна принадлежать компания Wildberries? — такими вопросами "Кавказский узел" не занимается. "Кавказский узел" беспокоят последствия этого конфликта для региона на фоне его дальнейшей эскалации. Вмешательство кадыровцев уже привело к кровопролитию. Теперь их провальная попытка примирения может запустить механизм кровной мести. 03 октября 2024, 19:11