Новый шпионский вирус Dante: след Memento Labs

Исследователи из Kaspersky обнаружили новый шпионский вирус под названием Dante, нацеленный на пользователей Windows в России и Беларуси. Разработчиком Dante является итальянская компания Memento Labs, основанная в 2019 году после приобретения стартапа Hacking Team. Генеральный директор Memento Паоло Леззи подтвердил, что обнаруженное Kaspersky ПО действительно принадлежит их компании.

По словам Леззи, причиной утечки стал один из клиентов – правительственная организация, использовавшая устаревшую версию шпионского ПО, поддержка которой прекращается к концу года. "Они явно использовали уже устаревший агент", – отметил Леззи, имея в виду программу-шпион. Он добавил, что Memento уже предписывала всем клиентам прекратить использование этого вредоносного ПО, предупредив о возможном обнаружении Kaspersky еще в декабре 2024 года. В среду компания планирует отправить еще одно уведомление с требованием прекратить использование их шпионского ПО для Windows.

На данный момент Memento Labs специализируется исключительно на разработке шпионского ПО для мобильных платформ. Компания также занимается созданием "zero-day" уязвимостей – неизвестных программных ошибок, используемых для доставки шпионского ПО, но в основном закупает эксплойты у сторонних разработчиков.

Представитель Kaspersky Маи Аль Акка отказался назвать конкретное правительство, стоящее за кампанией шпионажа, но подтвердил, что "использовался именно Dante". "Эта группа отличается глубоким знанием русского языка и местных нюансов, что Kaspersky наблюдала и в других кампаниях, связанных с этой [государственной] угрозой. Однако случайные ошибки указывают на то, что злоумышленники не были носителями языка", – цитирует ее слова TechCrunch.

Kaspersky выявила хакерскую группу, использующую Dante, под названием "ForumTroll", которая нацеливалась на участников российского политического и экономического форума Primakov Readings. Атаки затронули различные отрасли в России, включая СМИ, университеты и государственные организации.

Обнаружение Dante произошло после того, как Kaspersky зафиксировала "волну" кибератак с фишинговыми ссылками, эксплуатирующими уязвимость "нулевого дня" в браузере Chrome. Леззи утверждает, что эта уязвимость не была разработана Memento.

В своем отчете исследователи Kaspersky предположили, что Memento "продолжала совершенствовать" шпионское ПО, изначально разработанное Hacking Team, до 2022 года, после чего оно было "заменено на Dante". Леззи признал, что некоторые "аспекты" или "поведение" шпионского ПО Memento могли сохраниться от разработок Hacking Team.

Одним из ключевых признаков принадлежности ПО к Memento стало наличие в коде слова "DANTEMARKER" – явная отсылка к имени Dante, которое компания ранее публично раскрыла на конференции по технологиям наблюдения. Стоит отметить, что некоторые версии шпионского ПО Hacking Team, известного как Remote Control System, также имели названия, связанные с историческими итальянскими личностями, такими как Леонардо да Винчи и Галилео Галилей.

История взломов:

В 2019 году Паоло Леззи приобрел Hacking Team и переименовал ее в Memento Labs, заплатив за компанию всего один евро. Планировалось начать все с нуля: "Мы хотим изменить абсолютно все", – заявлял владелец Memento после покупки. Спустя год CEO и основатель Hacking Team Дэвид Винченцетти объявил о "смерти" компании.

При покупке Hacking Team у компании оставалось всего три правительственных клиента, что значительно меньше, чем более 40 клиентов в 2015 году. В том же году хактивист Phineas Fisher взломал серверы стартапа, получив около 400 гигабайт внутренней переписки, контрактов, документов и исходный код шпионского ПО.

До взлома клиенты Hacking Team из Эфиопии, Марокко и Объединенных Арабских Эмиратов были уличены в использовании шпионского ПО компании для слежки за журналистами, критиками и диссидентами. Публикация внутренних данных компании выявила, что региональное правительство Мексики использовало шпионское ПО Hacking Team для слежки за местными политиками, а также, что компания продавала свое ПО странам с нарушениями прав человека, включая Бангладеш, Саудовскую Аравию и Судан.

Леззи не сообщил точное количество текущих клиентов Memento, но намекнул, что их меньше 100. Он также упомянул, что из бывшего персонала Hacking Team в Memento осталось всего два сотрудника.

Обнаружение шпионского ПО Memento демонстрирует продолжающееся распространение подобных технологий наблюдения, считает Джон Скотт-Рэйлтон, старший научный сотрудник Citizen Lab Университета Торонто, специализирующийся на расследованиях злоупотреблений шпионским ПО. "Это показывает, что скандальная компания может умереть из-за громкого взлома и серии скандалов, но из ее пепла может возродиться новая компания с совершенно новым шпионским ПО", – добавил он. "Нам нужно сохранять страх перед последствиями. Очень многое говорит тот факт, что "отголоски" самого скандального, опозоренного и взломанного бренда все еще существуют".