Хакеры-наёмники атакуют журналистов и активистов на Ближнем Востоке

Специалисты по кибербезопасности обнаружили деятельность группы хакеров-наёмников, которая целенаправленно атаковала журналистов, активистов и государственных служащих в странах Ближнего Востока и Северной Африки. Злоумышленники использовали фишинговые атаки для получения доступа к резервным копиям iCloud и учётным записям в мессенджерах, а также внедряли шпионское ПО для Android, способное полностью контролировать устройства жертв.

Эта кампания отражает растущую тенденцию, когда государственные структуры передают хакерские операции на аутсорсинг частным компаниям. Некоторые правительства уже активно сотрудничают с коммерческими фирмами, разрабатывающими шпионское программное обеспечение и эксплойты для доступа к данным на мобильных устройствах.

Исследователи из организации по защите цифровых прав Access Now задокументировали три случая атак в период с 2023 по 2025 год против двух египетских журналистов и одного журналиста из Ливана. К расследованию также подключилась компания по мобильной кибербезопасности Lookout. Все три организации опубликовали отдельные отчёты, основанные на совместной работе.

Согласно данным Lookout, география атак не ограничивается гражданским обществом Египта и Ливана. В список целей входят представители правительств Бахрейна и Египта, а также цели в Объединённых Арабских Эмиратах, Саудовской Аравии, Великобритании и, потенциально, в США или среди выпускников американских университетов.

Аналитики Lookout пришли к выводу, что за этой шпионской кампанией стоит группа хакеров-наёмников, связанная с группировкой BITTER APT. Кибербезопасностные компании подозревают, что BITTER APT имеет связи с правительством Индии.

Джастин Альбрехт, ведущий исследователь Lookout, заявил, что компания, стоящая за кампанией, может быть ответвлением индийского стартапа Appin, занимавшегося хакерскими услугами. В качестве возможного подозреваемого была названа фирма RebSec. Ранее журналистские расследования Reuters раскрыли, как подобные индийские компании нанимались для взлома руководителей корпораций, политиков, военных и других лиц.

Хотя Appin, по всей видимости, прекратила деятельность, обнаружение новой хакерской кампании показывает, что подобная активность никуда не исчезла, а просто переместилась в меньшие компании. Для их заказчиков такие группы обеспечивают правдоподобное отрицание, поскольку они управляют всеми операциями и инфраструктурой. Кроме того, их услуги, вероятно, дешевле, чем покупка коммерческого шпионского ПО.

Связаться с RebSec для комментариев не удалось, так как компания удалила свои аккаунты в социальных сетях и официальный сайт.

Мохаммед Аль-Маскати, исследователь и директор службы цифровой безопасности Access Now, отметил, что подобные операции становятся дешевле, и ответственность за них легко уклониться, особенно когда конечный заказчик остаётся неизвестным, а инфраструктура не раскрывает стоящую за ней организацию.

Хотя группы вроде BITTER могут не обладать самыми передовыми хакерскими инструментами, их тактика всё ещё остаётся чрезвычайно эффективной.

В рамках этой кампании злоумышленники использовали несколько различных методов. При атаках на пользователей iPhone хакеры пытались обманом получить учётные данные Apple ID, чтобы взломать резервные копии iCloud. Это дало бы им доступ ко всему содержимому устройств жертв. По мнению Access Now, это потенциально более дешёвая альтернатива сложному и дорогому шпионскому ПО для iOS.

При таргетировании пользователей Android хакеры использовали шпионское ПО под названием ProSpy, которое маскировалось под популярные мессенджеры и приложения для связи, такие как Signal, WhatsApp и Zoom, а также под ToTok и Botim, широко используемые на Ближнем Востоке.

В некоторых случаях злоумышленники пытались заставить жертв зарегистрировать и добавить новое устройство, контролируемое хакерами, к своей учётной записи Signal. Эта техника популярна среди различных хакерских групп, включая российских кибершпионов.

Представитель посольства Индии в Вашингтоне не сразу ответил на запрос о комментарии.