Luni, cercetătorii de la gigantul din domeniul securității cibernetice Kaspersky au publicat un raport prin care identifică un nou spyware numit Dante, despre care spun că a vizat victime Windows din Rusia și Belarusul vecin.
Cercetătorii au declarat că spyware-ul Dante este realizat de Memento Labs, un producător de tehnologie de supraveghere cu sediul în Milano, care a fost înființat în 2019 după ce un nou proprietar a achiziționat și a preluat fostul producător de spyware Hacking Team.
Directorul executiv al Memento, Paolo Lezzi, a confirmat pentru TechCrunch că spyware-ul descoperit de Kaspersky aparține într-adevăr Memento.
Într-un apel, Lezzi a dat vina pe unul dintre clienții guvernamentali ai companiei pentru expunerea lui Dante, spunând că clientul a folosit o versiune învechită a spyware-ului Windows, care nu va mai fi suportată de Memento până la sfârșitul acestui an.
„În mod clar, au folosit un agent care era deja mort”, a declarat Lezzi pentru TechCrunch, referindu-se la un „agent” ca fiind termenul tehnic pentru spyware-ul plantat pe computerul țintă. „Am crezut că [clientul guvernamental] nici măcar nu-l mai folosește”, a spus Lezzi.
Lezzi, care a spus că nu este sigur care dintre clienții companiei a fost prins, a adăugat că Memento a solicitat deja tuturor clienților săi să nu mai folosească malware-ul Windows.
Lezzi a spus că compania a avertizat clienții că Kaspersky a detectat infecții cu spyware Dante încă din decembrie 2024. El a adăugat că Memento intenționează să trimită miercuri un mesaj tuturor clienților săi, cerându-le încă o dată să nu mai folosească spyware-ul Windows. El a mai spus că Memento dezvoltă în prezent doar spyware pentru platforme mobile.
Compania dezvoltă, de asemenea, unele zero-days – adică erori de securitate în software necunoscute furnizorului, care pot fi utilizate pentru a livra spyware – deși, compania își procură în mare parte exploatările de la dezvoltatori externi, potrivit lui Lezzi.
Contactat de TechCrunch, purtătorul de cuvânt al Kaspersky, Mai Al Akka, nu a vrut să spună ce guvern crede Kaspersky că se află în spatele campaniei de spionaj, dar a spus că este „cineva care a putut folosi software-ul Dante”.
„Grupul se remarcă prin stăpânirea sa puternică a limbii ruse și cunoașterea nuanțelor locale, trăsături pe care Kaspersky le-a observat în alte campanii legate de această amenințare [susținută de guvern]. Cu toate acestea, erorile ocazionale sugerează că atacatorii nu erau vorbitori nativi”, a declarat Al Akka pentru TechCrunch.
În noul său raport, Kaspersky a spus că a găsit un grup de hacking care folosește spyware-ul Dante, pe care îl numește „ForumTroll”, descriind țintirea persoanelor cu invitații la forumul rusesc de politică și economie Primakov Readings.
Kaspersky a spus că hackerii au vizat o gamă largă de industrii din Rusia, inclusiv instituții de presă, universități și organizații guvernamentale.
Descoperirea lui Kaspersky a lui Dante a venit după ce firma rusă de securitate cibernetică a spus că a detectat un „val” de atacuri cibernetice cu link-uri de phishing care exploatau o vulnerabilitate zero-day în browserul Chrome. Lezzi a spus că zero-day-ul Chrome nu a fost dezvoltat de Memento.
În raportul său, cercetătorii Kaspersky au concluzionat că Memento „a continuat să îmbunătățească” spyware-ul dezvoltat inițial de Hacking Team până în 2022, când spyware-ul a fost „înlocuit de Dante”.
Lezzi a recunoscut că este posibil ca unele „aspecte” sau „comportamente” ale spyware-ului Windows al Memento să fi fost rămase din spyware-ul dezvoltat de Hacking Team.
Un semn revelator că spyware-ul prins de Kaspersky aparținea Memento a fost faptul că dezvoltatorii ar fi lăsat cuvântul „DANTEMARKER” în codul spyware-ului, o referire clară la numele Dante, pe care Memento îl dezvăluise anterior și public la o conferință de tehnologie de supraveghere, potrivit Kaspersky.
La fel ca spyware-ul Dante de la Memento, unele versiuni ale spyware-ului Hacking Team, cu numele de cod Remote Control System, au fost numite după figuri istorice italiene, cum ar fi Leonardo Da Vinci și Galileo Galilei.
În 2019, Lezzi a achiziționat Hacking Team și l-a redenumit Memento Labs. Potrivit lui Lezzi, a plătit doar un euro pentru companie, iar planul era să o ia de la capăt. „Vrem să schimbăm absolut totul”, a declarat proprietarul Memento pentru Motherboard după achiziție în 2019. „O luăm de la zero.”
Un an mai târziu, CEO-ul și fondatorul Hacking Team, David Vincenzetti, a anunțat că Hacking Team este „mort”.
Când a achiziționat Hacking Team, Lezzi a declarat pentru TechCrunch că compania mai avea doar trei clienți guvernamentali, o situație foarte diferită de cei peste 40 de clienți guvernamentali pe care Hacking Team îi avea în 2015.
În același an, un hacktivist numit Phineas Fisher a intrat pe serverele startup-ului și a sifonat aproximativ 400 de gigaocteți de e-mailuri interne, contracte, documente și codul sursă al spyware-ului său.
Înainte de hack, clienții Hacking Team din Etiopia, Maroc și Emiratele Arabe Unite au fost prinși vizând jurnaliști, critici și disidenți folosind spyware-ul companiei.
Odată ce Phineas Fisher a publicat online datele interne ale companiei, jurnaliștii au dezvăluit că un guvern regional mexican a folosit spyware-ul Hacking Team pentru a viza politicieni locali și că Hacking Team a vândut țări cu abuzuri ale drepturilor omului, inclusiv Bangladesh, Arabia Saudită și Sudan, printre altele.
Lezzi a refuzat să spună pentru TechCrunch câți clienți are în prezent Memento, dar a sugerat că sunt mai puțin de 100 de clienți. El a mai spus că există doar doi angajați actuali Memento rămași din fostul personal al Hacking Team.
Descoperirea spyware-ului Memento arată că acest tip de tehnologie de supraveghere continuă să prolifereze, potrivit lui John Scott-Railton, un cercetător senior care a investigat abuzurile spyware timp de un deceniu la Citizen Lab de la Universitatea din Toronto.
De asemenea, arată că o companie controversată poate muri din cauza unui hack spectaculos și a mai multor scandaluri și, totuși, o nouă companie cu spyware nou-nouț poate ieși din cenușa sa. „Ne spune că trebuie să menținem frica de consecințe”, a declarat Scott-Railton pentru TechCrunch. „Spune multe faptul că ecouri ale celui mai radioactiv, jenant și piratat brand sunt încă în jur.”