Групу хакерів викрили під час атак на пристрої Android та резервні копії iCloud
Дослідники з безпеки стверджують, що виявили групу хакерів, що займалася хакерством за наймом, та атакувала журналістів, активістів та урядовців по всьому Близькому Сходу та Північній Африці. Хакери використовували фішингові атаки для доступу до резервних копій iCloud та облікових записів месенджерів жертв у Signal, а також розгортали шпигунське програмне забезпечення для Android, здатне захопити контроль над пристроями жертв.
Ця хакерська кампанія підкреслює зростаючу тенденцію, коли урядові установи передають свої хакерські операції приватним компаніям, що займаються хакерством за наймом. Деякі уряди вже покладаються на комерційні компанії, які розробляють шпигунські програми та експлойти, що використовуються поліцією та розвідувальними службами для доступу до даних на телефонах людей.
Дослідники з організації з цифрових прав Access Now задокументували три випадки нападів протягом 2023–2025 років на двох єгипетських журналістів та журналіста в Лівані, справу якого також задокументувала організація з цифрових прав SMEX.
Компанія Lookout, що займається мобільною кібербезпекою, також розслідувала ці атаки . Три організації співпрацювали між собою та опублікували окремі звіти в середу.
За даними Lookout, атаки виходять за рамки членів єгипетського та ліванського громадянського суспільства та охоплюють уряди Бахрейну та Єгипту, а також Об'єднані Арабські Емірати, Саудівську Аравію, Велику Британію та, можливо, Сполучені Штати чи випускників американських університетів.
Lookout дійшов висновку, що хакери, що стоять за цією шпигунською кампанією, працюють на найманого постачальника хакерських послуг, пов'язаного з BITTER APT, хакерською групою, яку компанії з кібербезпеки підозрюють у зв'язках з урядом Індії.
Джастін Альбрехт, головний дослідник Lookout, розповів TechCrunch, що компанія, яка стоїть за цією кампанією, може бути відгалуженням індійського стартапу Appin, що займається хакерством за наймом, і назвав одну з таких компаній під назвою RebSec можливою підозрюваною. У 2022 та 2023 роках Reuters опублікувала розширені розслідування щодо Appin та інших подібних індійських компаній, які викрили, як ці компанії нібито наймають для злому керівників компаній, політиків, військових чиновників та інших осіб.
Аппін, очевидно, пізніше закрився, але Альбрехт зазначив, що відкриття цієї нової хакерської кампанії показує, що активність «не зникла, і вони просто перейшли до менших компаній».
Ці групи та їхні клієнти отримують «правдоподібне заперечення, оскільки вони керують усіма операціями та інфраструктурою». А для їхніх клієнтів ці групи хакерів, що займаються наймом, ймовірно, дешевші, ніж купівля комерційного шпигунського програмного забезпечення , сказав Альбрехт.
Зв'язатися з Rebsec для отримання коментарів не вдалося, оскільки компанія видалила свої акаунти в соціальних мережах та вебсайт.
Мохаммед Аль-Маскаті, слідчий і директор служби цифрової безпеки Access Now , який працював над цими справами, сказав, що «ці операції стали дешевшими, і є можливість уникнути відповідальності, особливо враховуючи, що ми не знатимемо, хто є кінцевим клієнтом, а інфраструктура не розкриє особу, яка стоїть за ним».
Хоча такі групи, як BITTER, можуть не мати найсучасніших інструментів для злому та шпигунства, їхня тактика все ще може бути дуже ефективною.
У рамках цієї кампанії, що була частиною атак, хакери використовували кілька різних методів. Під час атаки на користувачів iPhone хакери намагалися обманом змусити жертв видати свої облікові дані Apple ID, щоб потім зламати їхні резервні копії iCloud, що фактично надало б їм доступ до повного вмісту iPhone жертв.
Згідно з Access Now, це «потенційно дешевша альтернатива використанню більш складних і дорогих шпигунських програм для iOS».
Під час атаки на користувачів Android хакери використовували шпигунське програмне забезпечення під назвою ProSpy, яке маскувалося під популярні додатки для обміну повідомленнями та зв'язку, такі як Signal, WhatsApp та Zoom, а також ToTok та Botim – два додатки, популярні на Близькому Сході.
У деяких випадках хакери намагалися обманом змусити жертв зареєструвати та додати новий пристрій, контрольований хакерами, до свого облікового запису Signal, що є популярним методом серед різних хакерських груп, зокрема російських шпигунів .