Специалисты технологоческого подразделения Amnesty International – Amnesty Tech – выявили очередную волну рассылок фишинговых сообщений и программ-шпионов правозащитникам из Узбекистана. Пик кибератак пришёлся на период с мая по август 2019 года.
В докладе Targeted Surveillance Attacks in Uzbekistan: An Old Threat with New Techniques («Случаи целенаправленной слежки в Узбекистане: угроза прежняя, уловки новые») раскрываются детали того, как неизвестные собирали конфиденциальные данные работающих по Узбекистану журналистов и местных правозащитников, используя фишинговые сообщения и программы-шпионы, которые самоустанавливались на устройства Windows и Android ОС.
При этом, кибератаки на правозащитников стали более инновационными. Если раньше злоумышленники рассылали фишинговые сообщения в форме фальшивых уведомлений от Google и Mail.ru со ссылками на сайты, имитирующими настоящие сайты интернет-сервисов, то теперь они начали пользоваться более продвинутой технологией под названием «перехват сеанса», в результате которого осуществляется подмена настоящего сайта фишинговым, для того чтобы максимально обойти двухфакторную аутентификацию.
Что касается программ-шпионов для Windows, то они были встроены в установщик мессенджера Telegram для настольных ПК и в установщик Adobe Flash Player и были модифицированы так, чтобы одновременно с легальным ПО устанавливать программы-шпионы. После установки такое шпионское ПО использовалось для кражи паролей, записывало нажатие клавиш и регулярно делало скриншоты экрана.
«В Узбекистане систематически следят за активистами. Выявленная нами кампания тщательно организована с целью нагнетания атмосферы страха и направлена против журналистов и активистов, открыто выступающих в защиту прав человека
Этьен Менье, технический специалист Amnesty International
Шпионское ПО для устройств на Android ОС было разработано на базе приложения Droid-Watcher с открытым исходным кодом, поддержку которого разработчик прекратил ещё несколько лет назад. С помощью шпионского ПО злоумышленники могли удалённо следить за взломанным телефоном на Android ОС, записывать разговоры, СМС и переписку из чатов таких приложений, как «ВКонтакте», Telegram и WhatsApp. Помимо прочего, они могли отслеживать точную геолокацию такого телефона в реальном времени.
Исследователям не удалось установить, кто организовал кибератаки на правозащитников, однако ранее Amnesty International задокументировала аналогичные нарушения, ответственность за которые лежала на силовых ведомствах Узбекистана.
«В Узбекистане систематически следят за активистами. Выявленная нами кампания тщательно организована с целью нагнетания атмосферы страха и направлена против журналистов и активистов, открыто выступающих в защиту прав человека», – считает Этьен Менье, технический специалист Amnesty International.
В 2017 году в докладе «Мы найдём тебя везде» (*.pdf) Amnesty International рассказала о том, какое воздействие на гражданское общество имеет организованная властями слежказа правозащитниками в Узбекистане и за его пределами.