Новый доклад Amnesty International показывает, как сербские правоохранители применяли технологии взлома от израильской компании Cellebrite, чтобы не только получить доступ к данным с телефонов журналистов и активистов, но и заразить их мощным шпионским ПО. Этот инцидент демонстрирует, что инструменты Cellebrite, предназначенные для анализа содержимого устройств при физическом доступе, фактически открыли путь к установке вредоноса.
Случай с журналистом Славишей Милановым, сотрудником издания FAR, яркий пример: его остановили под предлогом проверки на психоактивные вещества, изъяли смартфон без ордера и доступа к паролю, а затем вернули уже «обновлённым» — с вредоносными программами и скрытой прослушкой. Эксперты Amnesty, совместно с исследователями Google, обнаружили новую шпионскую программу, названную NoviSpy, которая использовалась для записи звонков, скриншотов, чтения сообщений и кражи контактов.
Google, получив информацию от Amnesty, смогла удалённо удалить вредоносное ПО с других Android-устройств. Qualcomm, обнаружив уязвимость в своих чипах, выпустила патч. Между тем сама Cellebrite утверждает, что практикует проверку клиентов на соответствие нормам прав человека, и готова принять меры, если нарушения подтвердятся.
Cellebrite — израильская компания, продающая технологию мобильной криминалистики правоохранительным органам и частным компаниям по всему миру. Один из её основных продуктов — UFED. Он может быть выполнен в виде устройства размером с планшет или программного обеспечения для ПК и предоставляет доступ к данным, хранящимся в мобильных устройствах. Инструменты Cellebrite часто способны обойти или перебрать пароль смартфона, давая правоохранителям доступ к данным без согласия владельца.
Amnesty сообщает, что её доклад основан на онлайн-интервью и двух командировках в Сербию в сентябре и ноябре, в ходе которых организация опросила 28 представителей гражданского общества по всей стране; на судебно-техническом анализе смартфонов некоторых опрошенных, которые подозревали, что их устройства были заражены шпионским ПО или взломаны с помощью инструментов извлечения данных; а также на обзоре документов, связанных с поставками технологии Cellebrite сербским властям.
Расследование началось ещё в 2021 году, когда Amnesty получила несколько сообщений от активистов и одного журналиста из Сербии, заметивших подозрительную активность на своих смартфонах после общения с сербскими властями. По крайней мере в двух случаях люди приходили в полицейский участок или встречались с властями, чтобы сообщить о преступлении, жертвами которого они стали.
Amnesty сообщает, что провела судебно-технический анализ множества устройств и выявила «новую, ранее не известную систему шпионского ПО для Android», названную NoviSpy. Дончха О’Керхейл, руководитель лаборатории безопасности Amnesty, рассказал 404 Media, что организация не знает, как сербские власти называют это ПО, поэтому дала ему имя «Novi», что означает «новый» на сербском.
По словам Amnesty, сербские власти разработали или приобрели NoviSpy. Полиция устанавливает NoviSpy на смартфоны во время ареста, задержания или допроса представителей гражданского общества, считает организация. В ряде случаев аресты или задержания, по всей видимости, специально планировались для заражения устройства.
В случае с Милановым, по его словам, в феврале его остановили сотрудники дорожной полиции, когда он ехал с коллегой, главным редактором FAR, Петаром Виденовым, в город Пирот на юго-востоке Сербии. Примерно в 10:50 утра полицейские остановили их и потребовали документы. Сотрудники полиции при этом разговаривали по телефону. Они заявили, что Миланов должен «пройти проверку на психоактивные вещества».
В полицейском участке у Миланова попросили выключить смартфон Xiaomi Redmi Note 10S и сдать личные вещи. Он передал устройство, кошелёк, ключи и табак. По данным Amnesty, Миланов не сообщал полиции свой пароль от гаджета. Его проверили на алкоголь и наркотики, результаты оказались отрицательными.
Спустя более часа после остановки, Миланов спросил офицера: «Что происходит, мы закончили? Мне нужно в Пирот по делам». Офицер ответил, что ждёт «шефа» и вышел из комнаты позвонить. «В какой-то момент я слышу, как он говорит: “Он чист, я не могу его больше задерживать”», — вспоминает Миланов. Потом ещё двое сотрудников в штатском допросили журналиста в другом здании о его работе и финансировании FAR. В итоге полиции вернула ему вещи, и мужчину отпустили. Журналист заметил, что на смартфоне начали происходить странные вещи: отключились мобильная передача данных и Wi-Fi, некоторые приложения стали потреблять слишком много заряда аккумулятора. Он воспользовался приложением Stay Free, которое отслеживает активность на смартфоне, и оно показало, что многие приложения были активны, пока устройство находилось у полиции.
Amnesty, проведя судебно-технический анализ, установила, что власти использовали инструмент Cellebrite для разблокировки смартфона Миланова. На устройстве был обнаружен бинарный файл от Cellebrite под названием «falcon».
NoviSpy представлен в виде двух приложений: «com.serv.services» и «com.accesibilityservice». Первое может собирать журналы звонков, списки контактов, текстовые сообщения и записывать звук через микрофон устройства. Второе — скрытно делать скриншоты.
В одном случае Amnesty обнаружила, что смартфон Samsung Galaxy S24+ оставался заражённым, и эксперты смогли восстановить журналы слежки и скриншоты с устройства. NoviSpy пересылает украденные данные на сервер с IP-адресом 195.178.51.251. По информации Amnesty, этот IP ранее ассоциировался с инфраструктурой FinFisher в 2014 году. Публичный сервер на том же IP имел имя компьютера «DPRODAN-PC». Amnesty утверждает, что конфигурационный файл NoviSpy также содержит номер телефона, связанный с тем же лицом.
Получив информацию о NoviSpy, Google смогла удалённо удалить активные инфекции с других Android-устройств, говорится в отчёте. Представитель Google подтвердил сотрудничество с Amnesty. О’Керхейл говорит, что у него нет окончательной цифры по количеству удалённых или обнаруженных случаев заражения, но «мы полагаем, что эти атаки довольно обширны».
Кроме того, Amnesty обнаружила уязвимость в Android, затрагивающую устройства с чипами Qualcomm. О’Керхейл говорит, что Amnesty заметила подозрительные логи ядра, сгенерированные бинарным файлом «falcon» от Cellebrite, из-за неудачных попыток эксплуатации. Эксперты заподозрили использование zero-day уязвимости, сообщили о ней в Google, которая затем нашла несколько таких уязвимостей. Qualcomm выпустила исправление в октябре 2024 года.
Сербия также может быть клиентом ряда других систем удалённого шпионского ПО, включая FinFisher, Predator и Pegasus от NSO Group.
В ответе Amnesty, приведённом в отчёте, Виктор Купер, старший директор по корпоративным коммуникациям Cellebrite, заявил, что компания проводит ряд мер комплексной проверки в области прав человека, прежде чем вести дела с правоохранителями или оборонными и гражданскими агентствами любой страны, а также что у них есть независимый комитет по этике и добропорядочности. Купер добавил, что решения Cellebrite лицензируются исключительно для законного использования и требуют ордера или согласия для помощи правоохранительным органам в расследованиях по закону.
Этот инцидент в очередной раз поднимает вопросы о том, как технология, задуманная для борьбы с преступностью, может быть использована против тех, кто пытается разоблачать коррупцию и злоупотребления властью. Вопрос не только в технических решениях, но и в том, какой контроль и ответственность несут компании и государства, вооружающиеся такими инструментами.
Ещё по теме:
- Девятая планета: новые доказательства указывают на её существование
- Китайские «кулибины» сделали ноутбук на базе PlayStation 5
- Мини-камеры, скрытые устройства и огромные выигрыши: как «технологичные» мошенники меняют мир покера
