Редактор для души — троян для слежки: новый приём цифровых репрессий

В марте 2025 года старшие члены Всемирного уйгурского конгресса ( WUC ), находящиеся в изгнании, стали жертвами целевой фишинговой кампании, направленной на установку вредоносного ПО для дистанционной слежки. Злоумышленники использовали специально модифицированную версию открытого текстового редактора для уйгурского языка, созданного разработчиком, пользовавшимся доверием в сообществе. Несмотря на то что само вредоносное ПО не отличалось технической сложностью, способ доставки был тщательно адаптирован к целевой аудитории, а технические следы указывают на начало подготовки атаки ещё в мае 2024 года.

Подобный подход уже стал характерным для атак, связанных с интересами китайских властей: в прошлом злоумышленники неоднократно использовали программы и сайты, созданные для поддержки репрессированных культур, в качестве инструмента цифрового преследования этих же сообществ. В данном случае речь идёт о продолжающихся угрозах цифровых репрессий против уйгурской диаспоры, когда технологии используются для слежки, запугивания и подавления инакомыслия за пределами Китая.

В середине марта 2025 года участники WUC получили уведомления от Google о попытках атак, поддержанных государственными структурами. После получения предупреждений они обратились за помощью к журналистам и специалистам Citizen Lab. В результате расследования была выявлена фишинговая рассылка, маскирующаяся под сообщения от партнёрской организации. Письма содержали ссылки на Google Drive, ведущие к архиву с заражённой версией редактора UyghurEditPP . После запуска программа собирала информацию о системе, передавала её на удалённый сервер и могла загружать дополнительные вредоносные модули.

Цифровое преследование уйгуров за рубежом давно является частью стратегии властей Китая. Репрессии против уйгуров в Синьцзяне, также известном как Восточный Туркестан, сопровождаются слежкой, принудительным контролем за перемещением, интернированием и подавлением культурной и религиозной активности. Эти методы распространились и за границу, включая физические угрозы, давление на семьи через видеозвонки и принуждение к отказу от правозащитной деятельности.

Особое внимание уделяется активистам, освещающим ситуацию с правами человека, таким как представители WUC. Организация, объединяющая более 30 групп в 18 странах, активно участвует в международных правозащитных инициативах и подвергается репрессиям со стороны Китая. Пекин объявил WUC террористической организацией и регулярно предпринимает попытки её дискредитации, в том числе через аресты, слежку и кибератаки.

В рамках расследования выявлены интересные детали о структуре атаки. Вредоносная программа связывалась с доменами tengri[.]ooguy[.]com и anar[.]gleeze[.]com, что подчёркивает целевую направленность на уйгурское сообщество: оба слова имеют глубокое значение в культуре Центральной Азии. Обнаруженные серверы использовали самоподписанный сертификат с поддельным именем Microsoft, что дополнительно указывает на нелегитимный характер инфраструктуры.

Более ранние стадии кампании включали регистрацию доменов, имитирующих имя настоящего разработчика UyghurEditPP, что свидетельствует о долгосрочной подготовке атаки. Однако в более поздний период злоумышленники перешли на использование других доменных имён, сохраняя общую тематику и инфраструктуру.

Дополнительно было найдено ещё одно заражённое приложение UyghurEditPP на VirusTotal, с небольшими отличиями в конфигурации. Это говорит о том, что атака могла проводиться в несколько этапов или что разные группы внутри уйгурской диаспоры подверглись разным кампаниям.

Методы, использованные в атаке, соответствуют известным тактикам, применяемым китайскими структурами: использование инструментов для поддержки культурных меньшинств, регистрация доменов через Dynu Systems и размещение серверов в автономной системе Choopa LLC, ранее неоднократно замеченной в подобных инцидентах.

Атаки на такие проекты наносят ущерб далеко за пределами одного взлома. Они подрывают доверие к инициативам, направленным на поддержку и сохранение культуры, порождая страх и самоцензуру. Цифровые репрессии оказывают тяжёлое психологическое воздействие на активистов и усиливают их уязвимость .

Чтобы снизить риски, важно загружать приложения только с официальных сайтов, проверять наличие цифровой подписи или статуса проверенного издателя, а также внимательно относиться к доменным именам и предупреждениям браузеров о возможных угрозах.

Хотя технический уровень атаки был невысоким, социальная инженерия оказалась на высоте, что подтверждает глубокое знание злоумышленниками своей целевой аудитории. Этот инцидент напоминает, что даже простые средства могут быть крайне опасными при грамотном использовании.

Проблема цифрового преследования требует внимания не только со стороны правозащитных организаций, но и от государств, принимающих уязвимых представителей диаспор. Уведомления о целенаправленных атаках, подобные тем, что рассылает Google, должны стать обязательной практикой для всех компаний, предоставляющих цифровые сервисы. Борьба с цифровыми репрессиями требует скоординированных действий как в государственном, так и в частном секторе.