لو رفتن استفاده یک دولت از بدافزار شرکت جاسوسی‌افزار مِمِنتو لَبز

روز دوشنبه، محققان شرکت بزرگ امنیت سایبری کسپرسکی، گزارشی را منتشر کردند که در آن یک جاسوس‌افزار جدید به نام Dante را شناسایی کرده‌اند. به گفته آن‌ها، این جاسوس‌افزار قربانیان ویندوزی را در روسیه و بلاروس هدف قرار می‌داده است. محققان اعلام کردند که جاسوس‌افزار Dante توسط Memento Labs، یک شرکت سازنده فناوری‌های نظارتی مستقر در میلان ساخته شده است که در سال ۱۳۹۸ پس از تصاحب و تغییر مالکیت شرکت اولیه‌ی سازنده جاسوس‌افزار، Hacking Team، تشکیل شد.

پائولو لزی، مدیر اجرایی Memento، به خبرنگار تایید کرد که جاسوس‌افزاری که توسط کسپرسکی شناسایی شده، در واقع متعلق به Memento است.

لزی در یک تماس تلفنی، یکی از مشتریان دولتی این شرکت را مسئول افشای Dante دانست و گفت که این مشتری از یک نسخه قدیمی جاسوس‌افزار ویندوز استفاده کرده که دیگر تا پایان امسال توسط Memento پشتیبانی نخواهد شد.

لزی به خبرنگار گفت: «مشخص است که آن‌ها از یک “عامل” از رده خارج استفاده کرده‌اند.» او از واژه “عامل” به عنوان اصطلاح فنی برای جاسوس‌افزاری که روی رایانه هدف نصب شده، استفاده کرد.

لزی گفت: «فکر می‌کردم [مشتری دولتی] دیگر از آن استفاده نمی‌کند.»

لزی که گفت مطمئن نیست کدام یک از مشتریان این شرکت گرفتار شده‌اند، افزود که Memento قبلاً از همه مشتریان خود خواسته است تا استفاده از بدافزار ویندوز را متوقف کنند. لزی گفت که این شرکت از آذر ماه ۱۴۰۳ به مشتریان هشدار داده بود که کسپرسکی عفونت‌های جاسوس‌افزار Dante را شناسایی کرده است. او اضافه کرد که Memento قصد دارد روز چهارشنبه دوباره پیامی برای همه مشتریان خود ارسال کند و از آن‌ها بخواهد تا استفاده از جاسوس‌افزار ویندوز خود را متوقف کنند.

او همچنین گفت که Memento در حال حاضر فقط برای پلتفرم‌های تلفن همراه جاسوس‌افزار تولید می‌کند. به گفته لزی، این شرکت همچنین برخی از آسیب‌پذیری‌های روز صفر (zero-days) را توسعه می‌دهد (به این معنی که نقص‌های امنیتی در نرم‌افزار که برای فروشنده ناشناخته است و می‌تواند برای تحویل جاسوس‌افزار استفاده شود)، هرچند که این شرکت بیشتر اکسپلویت‌های خود را از توسعه‌دهندگان خارجی تهیه می‌کند.

وقتی خبرنگار با مای ال آکا، سخنگوی کسپرسکی، تماس گرفت، او حاضر نشد بگوید که کسپرسکی معتقد است کدام دولت پشت این کمپین جاسوسی قرار دارد، اما گفت که “کسی بوده که توانسته از نرم‌افزار Dante استفاده کند.”

ال آکا به خبرنگار گفت: «این گروه به دلیل تسلط قوی خود بر زبان روسی و آگاهی از تفاوت‌های ظریف محلی برجسته است، ویژگی‌هایی که کسپرسکی در کمپین‌های دیگر مرتبط با این تهدید [تحت حمایت دولت] مشاهده کرده است. با این حال، اشتباهات گاه به گاه نشان می‌دهد که مهاجمان، بومی زبان نیستند.»

کسپرسکی در گزارش جدید خود اعلام کرد که یک گروه هکری را پیدا کرده که از جاسوس‌افزار Dante استفاده می‌کند و آن را “ForumTroll” می‌نامد و هدف قرار دادن افراد با دعوت‌نامه‌هایی به همایش سیاست و اقتصاد روسیه با عنوان “Primakov Readings” را شرح می‌دهد. کسپرسکی گفت که هکرها طیف گسترده‌ای از صنایع در روسیه، از جمله رسانه‌ها، دانشگاه‌ها و سازمان‌های دولتی را هدف قرار داده‌اند.

کشف Dante توسط کسپرسکی پس از آن صورت گرفت که این شرکت امنیت سایبری روسی اعلام کرد “موجی” از حملات سایبری با لینک‌های فیشینگ را شناسایی کرده است که از یک آسیب‌پذیری روز صفر در مرورگر کروم سوء استفاده می‌کردند. لزی گفت که آسیب‌پذیری روز صفر کروم توسط Memento توسعه داده نشده است.

محققان کسپرسکی در گزارش خود به این نتیجه رسیدند که Memento جاسوس‌افزاری را که در ابتدا توسط Hacking Team توسعه یافته بود، تا سال ۱۴۰۱ “بهبود بخشیده” است، زمانی که این جاسوس‌افزار “با Dante جایگزین شد.”

لزی اذعان کرد که ممکن است برخی از “جنبه‌ها” یا “رفتارها” از جاسوس‌افزار ویندوز Memento از جاسوس‌افزاری که توسط Hacking Team توسعه یافته بود، باقی مانده باشد.

یک نشانه آشکار مبنی بر اینکه جاسوس‌افزاری که توسط کسپرسکی شناسایی شده متعلق به Memento است، این بود که توسعه‌دهندگان ظاهراً کلمه “DANTEMARKER” را در کد جاسوس‌افزار قرار داده‌اند، که به گفته کسپرسکی، اشاره‌ای واضح به نام Dante است، که Memento قبلاً و به طور علنی در یک کنفرانس فناوری نظارتی فاش کرده بود.

مشابه جاسوس‌افزار Dante شرکت Memento، برخی از نسخه‌های جاسوس‌افزار Hacking Team با نام رمز Remote Control System، از شخصیت‌های تاریخی ایتالیایی مانند لئوناردو داوینچی و گالیلئو گالیله نامگذاری شده بودند.

تاریخچه هک‌ها

در سال ۱۳۹۸، لزی شرکت Hacking Team را خرید و نام آن را به Memento Labs تغییر داد. به گفته لزی، او تنها یک یورو برای این شرکت پرداخت کرد و برنامه این بود که از نو شروع کند.

مالک Memento پس از خرید در سال ۱۳۹۸ به Motherboard گفت: «ما می‌خواهیم همه چیز را کاملاً تغییر دهیم. ما از ابتدا شروع می‌کنیم.»

یک سال بعد، دیوید وینچنزتی، مدیرعامل و بنیانگذار Hacking Team، اعلام کرد که Hacking Team “مرده” است.

لزی در زمان خرید Hacking Team به خبرنگار گفت که این شرکت تنها سه مشتری دولتی باقی‌مانده دارد، که در مقایسه با بیش از 40 مشتری دولتی که Hacking Team در سال ۱۳۹۴ داشت، بسیار کمتر است. در همان سال، یک هکتیویست به نام Phineas Fisher به سرورهای این استارت‌آپ نفوذ کرد و حدود 400 گیگابایت ایمیل‌های داخلی، قراردادها، اسناد و کد منبع جاسوس‌افزار آن را به سرقت برد.

پیش از این هک، مشتریان Hacking Team در اتیوپی، مراکش و امارات متحده عربی با استفاده از جاسوس‌افزار این شرکت، روزنامه‌نگاران، منتقدان و مخالفان را هدف قرار می‌دادند. پس از اینکه Phineas Fisher اطلاعات داخلی شرکت را به صورت آنلاین منتشر کرد، روزنامه‌نگاران فاش کردند که یک دولت منطقه‌ای مکزیک از جاسوس‌افزار Hacking Team برای هدف قرار دادن سیاستمداران محلی استفاده کرده است و Hacking Team به کشورهایی که حقوق بشر را نقض می‌کنند، از جمله بنگلادش، عربستان سعودی و سودان، و دیگران، فروش داشته است.

لزی از گفتن اینکه Memento در حال حاضر چند مشتری دارد به خبرنگار خودداری کرد، اما تلویحاً اشاره کرد که کمتر از 100 مشتری دارد. او همچنین گفت که تنها دو کارمند فعلی Memento از کارکنان سابق Hacking Team باقی مانده‌اند.

به گفته جان اسکات-ریل‌تون، محقق ارشد که به مدت یک دهه در Citizen Lab دانشگاه تورنتو در مورد سوء استفاده از جاسوس‌افزارها تحقیق کرده است، کشف جاسوس‌افزار Memento نشان می‌دهد که این نوع فناوری نظارتی همچنان در حال گسترش است. همچنین نشان می‌دهد

همچنین نشان می‌دهد که یک شرکت بحث‌برانگیز می‌تواند به دلیل یک هک تماشایی و چندین رسوایی از بین برود، اما با این حال، یک شرکت جدید با جاسوس‌افزار کاملاً جدید همچنان می‌تواند از خاکستر آن بیرون بیاید.

اسکات-ریل‌تون به خبرنگار گفت: «این به ما می‌گوید که باید ترس از عواقب را حفظ کنیم. این نشان می‌دهد که پژواک‌های رادیواکتیوترین، شرم‌آورترین و هک‌شده‌ترین برند هنوز هم وجود دارند.»