Šiais metais vietos valdžios institucijos įsilaužė į serbų žurnalisto ir aktyvisto telefonus, naudodamos teismo medicinos įrankių gamintojos „Cellebrite“ pagamintą mobiliųjų telefonų atrakinimo įrenginį. Remiantis nauja „Amnesty International“ ataskaita, valdžios tikslas buvo ne tik atrakinti telefonus, kad būtų galima pasiekti savo asmeninius duomenis, kaip leidžia „Cellebrite“, bet ir įdiegti šnipinėjimo programas, kad būtų galima toliau stebėti.
„Amnesty“ savo ataskaitoje nurodė, kad mano, kad tai „pirmosios teismo ekspertizės dokumentais patvirtintos šnipinėjimo programos, kurias įgalina naudoti“ Cellebrite įrankiai.
Ši grubi, bet veiksminga technika yra vienas iš daugelio būdų, kaip vyriausybės naudoja šnipinėjimo programas savo piliečiams stebėti. Per pastarąjį dešimtmetį tokios organizacijos kaip „Amnesty“ ir skaitmeninių teisių grupė „Citizen Lab“ užfiksavo daugybę atvejų, kai vyriausybės naudojo pažangias šnipinėjimo programas, kurias sukūrė Vakarų stebėjimo technologijų pardavėjai, tokie kaip NSO Group, Intellexa ir dabar nebeegzistuojanti šnipinėjimo programų pradininkė „Hacking Team“ ir kt. , nuotoliniu būdu nulaužti disidentus, žurnalistus ir politinius oponentus.
Dabar, kai dėl saugumo patobulinimų pabrangsta nulinės dienos ir nuotoliniu būdu įdiegtos šnipinėjimo programos, valdžios institucijoms gali tekti labiau pasikliauti ne tokiais sudėtingais metodais, kaip fizinis telefonų, kuriuos nori nulaužti, pagalba.
Nors daugybė piktnaudžiavimo šnipinėjimo programomis atvejų pasitaikė visame pasaulyje, nėra jokios garantijos, kad jie negalės – arba neatsitiks – Jungtinėse Valstijose. Lapkričio mėnesį „Forbes“ pranešė, kad Tėvynės saugumo departamento Imigracijos ir muitinės tarnybos (ICE) išleido 20 mln. Atsižvelgiant į išrinktojo prezidento Donaldo Trumpo pažadėtą masinio trėmimo kampaniją, kaip Forbes Pranešama, kad ekspertai nerimauja, kad ICE padidins savo šnipinėjimo veiklą, kai nauja administracija perims Baltųjų rūmų kontrolę.
Trumpa ankstyvųjų šnipinėjimo programų istorija
Istorija linkusi kartotis. Net kai pirmą kartą pasirodo kažkas naujo (arba be dokumentų), gali būti, kad tai iš tikrųjų yra to, kas jau įvyko, kartojimas.
Prieš dvidešimt metų, kai vyriausybinės šnipinėjimo programos jau egzistavo, bet antivirusinėje pramonėje, kuriai pavesta gintis nuo jų, buvo mažai žinoma, policininkai galėjo pasiekti savo ryšius fiziškai įdėdami šnipinėjimo programas tikslinio kompiuterio kompiuteryje. Valdžios institucijos turėjo turėti fizinę prieigą prie taikinio įrenginio – kartais įsilauždamos į jų namus ar biurą – tada rankiniu būdu įdiegti šnipinėjimo programas.
Susisiekite su mumis
Ar turite daugiau informacijos apie vyriausybės šnipinėjimo programas ir jų kūrėjus? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram ir Keybase @lorenzofb arba el. paštu. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.
Štai kodėl, pavyzdžiui, ankstyvosios „Hacking Team“ šnipinėjimo programų versijos nuo 2000-ųjų vidurio buvo sukurtos paleisti iš USB rakto arba kompaktinio disko. Dar anksčiau, 2001 m., FTB įsiveržė į mafiozo Nicodemo Scarfo biurą, kad įdiegtų šnipinėjimo programą, skirtą stebėti, ką Scarfo įvedė jo klaviatūra, siekdamas pavogti raktą, kuriuo jis šifravo savo el.
Šie metodai vėl populiarėja, jei ne dėl būtinybės.
„Citizen Lab“ dokumentavo anksčiau 2024 m. įvykusį atvejį, kai Rusijos žvalgybos agentūra FSB tariamai įdiegė šnipinėjimo programas Rusijos piliečio Kirilo Parubetso, opozicijos politinio aktyvisto, nuo 2022 m. gyvenančio Ukrainoje, telefone, kol jis buvo sulaikytas. Rusijos valdžia privertė „Parabuts“ atsisakyti savo telefono slaptažodžio prieš įdiegdama šnipinėjimo programas, galinčias pasiekti jo asmeninius duomenis.
Sustokite ir ieškokite
Pastaraisiais atvejais Serbijoje Amnesty aptiko naują šnipinėjimo programą žurnalisto Slavišos Milanovo ir jaunimo aktyvisto Nikola Ristić telefonuose.
2024 m. vasarį vietos policija sustabdė Milanovą dėl įprasto eismo patikrinimo. Vėliau jis buvo pristatytas į policijos nuovadą, kur agentai atėmė iš jo Android telefoną Xiaomi Redmi Note 10S, kol jis buvo apklausiamas, teigia Amnesty.
Kai Milanovas jį atgavo, pasakė, kad rado kažką keisto.
„Pastebėjau, kad mano mobilieji duomenys (duomenų perdavimas) ir Wi-Fi išjungti. Mobiliųjų duomenų programa mano mobiliajame telefone visada įjungta. Tai buvo pirmasis įtarimas, kad kažkas pateko į mano mobilųjį telefoną“, – neseniai interviu „TechCrunch“ sakė Milanovas.
Milanovas sakė tada naudojęs „StayFree“ – programine įranga, kuri seka, kiek laiko kas nors naudoja savo programėles, ir pastebėjo, kad „daug programų buvo aktyvios“, kol telefonas tariamai buvo išjungtas ir buvo policijos rankose, kuri, pasak jo, niekada nebuvo. paprašė arba privertė jį atiduoti savo telefono kodą.
„Parodė, kad laikotarpiu nuo 11:54 iki 13:08 daugiausia buvo aktyvuotos nustatymų ir saugos programos, taip pat Failų tvarkyklė bei Google Play parduotuvė, Diktofonas, Galerija, Kontaktas, kuris sutampa su telefono skambėjimo laiku. nebuvo su manimi“, – sakė Milanovas.
„Per tą laiką jie ištraukė 1,6 GB duomenų iš mano mobiliojo telefono“, – sakė jis.
Tuo metu Milanovas buvo „nemaloniai nustebęs ir labai piktas“ ir jautė „blogą nuojautą“ dėl pažeidžiamo jo privatumo. Jis susisiekė su Amnesty, kad patikrintų jo telefoną.
„Amnesty“ saugumo laboratorijos vadovas Donncha Ó Cearbhaill išanalizavo Milanovo telefoną ir iš tikrųjų nustatė, kad jis buvo atrakintas naudojant „Cellebrite“ ir įdiegė „Android“ šnipinėjimo programą, kurią Amnesty vadina „NoviSpy“ iš serbų kalbos žodžio „naujas“.
Šnipinėjimo programos tikriausiai „plačiai“ naudojamos pilietinėje visuomenėje
„Amnesty“ atlikta „NoviSpy“ šnipinėjimo programų analizė ir daugybė veikimo saugumo arba OPSEC klaidų rodo, kad Serbijos žvalgyba yra šnipinėjimo programų kūrėja.
Remiantis Amnesty ataskaita, šnipinėjimo programa buvo naudojama „sistemingai ir slaptai užkrėsti mobiliuosius įrenginius arešto, sulaikymo arba kai kuriais atvejais informacinių interviu su pilietinės visuomenės nariais metu. Daugeliu atvejų areštai ar sulaikymai buvo surengti siekiant suteikti slaptą prieigą prie asmens įrenginio, kad būtų galima išgauti duomenis arba užkrėsti įrenginį“, – teigia Amnesty.
Amnesty mano, kad NoviSpy greičiausiai buvo sukurtas šalyje, sprendžiant iš to, kad kode yra komentarų ir eilučių serbų kalba ir kad jis buvo užprogramuotas bendrauti su serveriais Serbijoje.
Serbijos valdžios institucijų klaida leido Amnesty tyrėjams susieti NoviSpy su Serbijos saugumo informacijos agentūra, žinoma kaip Bezbedonosno-informaciona Agencija arba BIA, ir vienu iš jos serverių.
Analizuodami Amnesty mokslininkai nustatė, kad NoviSpy buvo sukurtas bendrauti konkrečiu IP adresu: 195.178.51.251.
2015 m. tas pats IP adresas buvo susietas su agentu Serbijos BIA. Tuo metu „Citizen Lab“ nustatė, kad tas konkretus IP adresas „Shodan“ – paieškos sistemoje, kurioje pateikiami serveriai ir kompiuteriai, veikiantys internetu, – identifikavo save kaip „DPRODAN-PC“. Pasirodo, asmuo, kurio el. pašto adresas yra „dprodan“, 2012 m. vasario mėn. susisiekė su šnipinėjimo programų gamintoju „Hacking Team“ dėl demonstracinės versijos. Remiantis nutekintais Hacking Team el. laiškais, įmonės darbuotojai pateikė demonstracinę versiją Serbijos sostinėje Belgrade. apie tą datą, todėl Citizen Lab padarė išvadą, kad „dprodan“ taip pat yra Serbijos BIA darbuotojas.
Tas pats IP adresų diapazonas, kurį „Citizen Lab“ nustatė 2015 m. (195.178.51.xxx), vis dar yra susijęs su BIA, teigia Amnesty, kuri teigė, kad pastaruoju metu viešoji BIA svetainė buvo priglobta tame IP diapazone.
„Amnesty“ pranešė, kad atliko dviejų dešimčių Serbijos pilietinės visuomenės narių, kurių dauguma buvo „Android“ naudotojų, teismo ekspertizę ir nustatė kitus „NoviSpy“ užkrėstus žmones. Pasak Amnesty, kai kurios šnipinėjimo programos kodo įkalčiai rodo, kad BIA ir Serbijos policija juo plačiai naudojasi.
BIA ir Serbijos vidaus reikalų ministerija, kuri prižiūri Serbijos policiją, neatsakė į „TechCrunch“ prašymą pakomentuoti.
„NoviSpy“ kode yra Amnesty tyrėjų nuomone, didėjantis vartotojo ID, kuris vienos aukos atveju buvo 621. Kitos aukos, užsikrėtusios maždaug po mėnesio, atveju šis skaičius buvo didesnis nei 640, o tai rodo, kad valdžios institucijos užkrėtė daugiau nei dvidešimt žmonių per tą laiką. „Amnesty“ tyrėjai teigė, kad „VirusTotal“, internetinėje kenkėjiškų programų nuskaitymo saugykloje, rado 2018 m. išleistą „NoviSpy“ versiją, o tai rodo, kad kenkėjiška programa buvo kuriama kelerius metus.
Atlikdama Serbijoje naudojamų šnipinėjimo programų tyrimą, Amnesty taip pat nustatė nulinės dienos „Qualcomm“ mikroschemų rinkinių, naudojamų prieš serbų aktyvisto įrenginį, išnaudojimą, greičiausiai naudojant „Cellebrite“. Spalį „Qualcomm“ paskelbė, kad ištaisė pažeidžiamumą po „Amnesty“ atradimo.
Pasiekus komentarą, Cellebrite atstovas Viktoras Cooperis sakė, kad bendrovės įrankiai negali būti naudojami kenkėjiškoms programoms įdiegti, „trečioji šalis turėtų tai padaryti“.
„Cellebrite“ atstovas atsisakė pateikti išsamios informacijos apie savo klientus, tačiau pridūrė, kad bendrovė „toliau tirs“. Bendrovė teigė, kad jei Serbija nutrauktų savo galutinio vartotojo susitarimą, bendrovė „iš naujo įvertintų, ar jie yra viena iš 100 šalių, su kuriomis bendradarbiaujame“.