Власти Эфиопии пытались шпионить за ИБ-экспертом

Власти Эфиопии пытались шпионить за ИБ-экспертом

Исследователь получил фишинговое письмо в период, когда он и его коллеги расследовали серию кибератак на эфиопских журналистов и активистов.

Исследователь безопасности Билл Маржак (Bill Marczak) получил фишинговое письмо, содержащее ссылку на вредоносное шпионское ПО. По одной из версий письмо было отправлено хакерами, предположительно связанными с правительством Эфиопии.

Маржак работает исследователем в компании Citizen Lab, изучающей то, как правительства по всему миру используют новые технологии, включая шпионское ПО, против диссидентов и активистов. За несколько лет Маржак и его коллеги раскрыли множество хакерских атак, однако на этот раз Маржак сам стал целью злоумышленников.

Согласно отчету Citizen Lab, эксперт получил электронное письмо в период, когда он и его коллеги расследовали фишинговые атаки на эфиопских журналистов и активистов, критиковавших действующее правительство. Электронные письма, в том числе и полученное Маржаком, были предназначены для заражения компьютеров шпионским ПО, разработанным израильской компанией Cyberbit, дочерней компанией оборонного подрядчика Elbit Systems.

По данным специалистов, ранее Эфиопия покупала шпионское ПО у компаний FinFisher и Hacking Team для кибератак на диссидентов. Поводом для исследования стало получение директором новостного агентства Oromia Media Network Джаваром Мохаммедом (Jawar Mohammed) подозрительного письма в октябре 2016 года. Oromia Media Network базируется в США и освещает новости из эфиопского региона Оромия. Ранее в этом году Эфиопия обвинила Мохаммеда в терроризме и государственной измене за предполагаемую роль его компании в разжигании протестов.

Мохаммед послал Маржаку полученные фишинговые письма, после чего исследователь проанализировал их и обнаружил, что содержащиеся в них вредоносные ссылки ведут на сайты, замаскированные под новостные и медиа-ресурсы, такие как EastAFRO.com. На сайтах появлялось всплывающее окно с запросом на загрузку якобы новой версии проигрывателя Adobe Flash, содержащей вредоносное ПО.

По словам специалистов, в коде вредоноса были обнаружены упоминания программы PC Surveillance System PSS - шпионского продукта для Windows, продаваемого израильской компанией Cyberbit.

Вредоносная программа связывалась с C&C-сервером. Просканировав интернет на предмет подобных серверов, исследователи обнаружили еще несколько. На серверах хранились журналы, содержавшие имена жертв взлома с их IP-адресами и геолокацией.

Благодаря полученной информации исследователи смогли найти и предупредить других жертв о фишинговой кампании.

Cyberbit никак не прокомментировала ситуацию.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!