Сотрудники российских силовых структур установили на телефон антивоенного активиста Кирилла Парубца шпионскую программу семейства Monokle, выяснил «Первый отдел». Это первый известный случай, когда российские силовики применяют это ПО против людей, выступающих против войны в Украине.
Детали. О Monokle впервые стало известно в 2019 году из отчета компании по кибербезопасности Lookout. В отчете говорилось, что программы этого семейства работают на смартфонах под Android и маскируются под приложения популярных сервисов. Программа получала доступ ко многим функциям телефона, в том числе к записи экрана, определению геолокации, нажатиям клавиатуры, камере и микрофону. Все эти данные могут в реальном времени отправляться на удаленный сервер.
- ️В отчете Lookout говорилось, что потенциальными целями программы были люди, интересующиеся исламом, сирийские повстанцы, жители Кавказа и пользователи узбекского мессенджера UzbekChat. Первые известные образцы программы датированы 2015 годом, а в коде содержатся следы возможной разработки версии для iOS. Разработчик программы — петербургский «Специальный технологический центр», в 2016 году попавший под санкции США за помощь в кибероперациях ЦРУ.
- ️Кирилл Парубец, чью историю рассказывает «Первый отдел», стал первым известным случаем использования Monokle против российских антивоенных активистов. Парубец — этнический украинец, россиянин по паспорту и программист по профессии. В 2010-х годах он переехал жить в Украину, где волонтерствовал. После начала войны Парубец вернулся в Россию, чтобы собрать документы для подачи на гражданство Молдовы.
- ️В России к Парубцу и его жене пришли с обыском, его технику изъяли, а самого программиста арестовали. На допросе силовики сообщили Парубцу, что он подозревается в госизмене за перевод денег в Украину и предложили сделку: свободу в обмен на помощь в слежке за знакомым. Парубец сделал вид, что согласился, после чего ему вернули технику. Он решил проверить, не поставили ли на нее вредоносные программы и нашел в телефоне программу ARM Cortex vx3. У этой программы был доступ в том числе к записи звонков и определению геолокации.
- ️Эта программа оказалась из семейства шпионского ПО Monokle, сообщил «Первый отдел». Этот вывод подтвердили специалисты лаборатории Citizen Lab при Университете Торонто. «Анализируя эту вредоносную программу, я увидел, что у них очень много общего с Monokle. Их, вероятно, писали одни и те же разработчики. <…> Вероятно, это более новая версия Monokle», — рассказал исследователь Citizen Lab Купер Куинтин.
Контекст. Установка Monokle — не единственный спсооб слежки за оппонентами власти в России. Летом Citizen Lab опубликовала результаты расследования о том, что журналисты, правозащитники, оппозиционеры и американские политики стали целью сложной фишинговой атаки продолжительностью более полутора лет. Одна из двух участвующих в атаке группировок была связана с ФСБ. Атакуемым приходили фишинговые электронные письма, которые были отправлены от имени партнеров или сотрудников организаций. Подробнее об этой атаке читайте здесь.
Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook