На протяжении как минимум десяти лет хакерская группировка атаковала людей по всей Индии, чтобы подбросить на их устройства сфабрикованные доказательства преступной деятельности. В свою очередь, эти фальшивые доказательства часто служили предлогом для ареста жертв.
Отчёт, опубликованный на этой неделе компанией Sentinel One, специализирующейся на кибербезопасности, раскрывает дополнительные подробности о группировке, показывая, как её цифровые грязные трюки использовались для слежки и преследования «правозащитников, учёных и адвокатов» по всей Индии.
Исследователи назвали группировку ModifiedElephant («Модифицированный слон»). Она в основном занимается шпионажем, но иногда участвует в фальсификациях, чтобы, по всей видимости, подставить свои цели и обвинить их в преступлениях. Исследователи пишут:
Цель ModifiedElephant – долгосрочная слежка, которая иногда заканчивается передачей «улик» – файлов, инкриминирующих цель в конкретных преступлениях – до удобно скоординированных арестов.
Самое громкое дело, связанное со Слоном, касается маоистского активиста Рона Уилсона и группы его соратников, которые в 2018 году были арестованы индийскими службами безопасности и обвинены в заговоре с целью свержения правительства. На ноутбуке Уилсона были найдены доказательства предполагаемого заговора – в том числе документ в формате word с подробным описанием планов убийства премьер-министра страны Нарендры Моди. Однако позднее судебная экспертиза устройства показала, что документы были поддельными и были подброшены с помощью вредоносного ПО. По мнению исследователей Sentinel, их туда поместил та самая группа хакеров.
Дело, получившее большую известность после освещения в газете Washington Post, было раскрыто после того, как вышеупомянутый ноутбук был проанализирован бостонской компанией Arsenal Consulting, занимающейся цифровой криминалистикой. В итоге Arsenal пришла к выводу, что Уилсон и все его так называемые соучастники, а также многие другие активисты были подвергнуты цифровым подтасовкам. В своем отчёте компания объяснила, насколько масштабным было вмешательство:
Arsenal связал одного и того же злоумышленника со значительной инфраструктурой вредоносных программ, которая была развёрнута в течение примерно четырёх лет, чтобы не только атаковать и скомпрометировать компьютер г-на Уилсона в течение 22 месяцев, но и заразить его соответчиков обвиняемых по другим громким индийским делам.
Как хакеры вообще попали на компьютер?
Согласно отчёту Sentinel One, Elephant использует обычные хакерские инструменты и методы, чтобы обосноваться на компьютерах жертв. В фишинговые письма, обычно составленные с учетом интересов жертвы, загружаются вредоносные документы, содержащие коммерческие инструменты удаленного доступа (RAT) – простые в использовании программы, доступные в даркнете.
В частности, Elephant использовал DarkComet и Netwire. После успешного фишинга жертвы и загрузки вредоносного ПО хакеров, RAT позволял хакерам получить полный контроль над устройством жертвы; они могли спокойно вести наблюдение или, как в случае с Уилсоном, размещать поддельные, уличающие документы, пишут исследователи.
Все это довольно гнусно. Как и в любом другом хакерском мире, трудно однозначно сказать, кем на самом деле является «Слон». Однако очевидные контекстуальные свидетельства указывают на то, что группировка преследует «интересы» индийского правительства, пишут исследователи:
Мы наблюдаем, что деятельность ModifiedElephant резко совпадает с государственными интересами Индии и что существует заметная корреляция между атаками ModifiedElephant и арестами людей по спорным, политически окрашенным делам.
К сожалению, ModifiedElephant – не единственная подобная организация, которая занимается такими вещами. Совершенно другая группировка, как полагают, провела аналогичные операции против Бариша Пехливана, журналиста из Турции, который в 2016 году был заключён в тюрьму на 19 месяцев после того, как турецкое правительство обвинило его в терроризме. Цифровая экспертиза позже показала, что файлы, использованные для обоснования обвинений Пехливана, были подброшены, как и документы на ноутбуке Уилсона.
В целом, это довольно тревожный факт. «Остаётся много вопросов об этом субъекте угрозы и его операциях», — пишут исследователи Sentinel One. «Однако ясно одно: критики авторитарных правительств по всему миру должны тщательно изучить технические возможности тех, кто стремится заставить их замолчать».
Ещё по теме:
- Цирк! Теперь можно посещать сайты, используя только эмодзи 🙄
- Прокурор Техаса подал в суд на компанию Meta из-за применения Facebook методов распознавания лиц
- Полиция США спасла 80-летнюю бабушку от похитителя благодаря игре Wordle