Rząd Etiopii używał szpiegowskiego oprogramowania PC Surveillance System (PSS), które nabył od izraelskiej firmy Cyberbit z branży „bezpieczeństwa cybernetycznego”, współpracującej z organami wywiadowczymi. Według badaczy z Citizen Lab, którzy ujawnili prowadzone od 2016 roku śledztwo,  tajna operacja szpiegowania obywateli Etiopii rozpoczęła się jeszcze w 2016 roku i polegała głównie na wysyłaniu wiadomości zawierających linki do różnych stron internetowych — stron, które zawierały zainfekowane programy podszywające się pod produkty Adobe, Avasta, Aviry, CCleanera i innych. Ekspertom udało się ustalić adres IP niepoprawnie skonfigurowanego serwera C&C, który zawierał informacje o wszystkich zainfekowanych urządzeniach, do których zdalny dostęp miały osoby sprawujące kontrolę nad serwerem.

Początki złego

Protesty przeciwko rządowi Etiopii rozpoczęły się w listopadzie 2015 r., w odpowiedzi na decyzję o realizacji projektu „rozwojowego”, obejmującego zniszczenie części lokalnego środowiska naturalnego i boiska do piłki nożnej w strefie Oromia w Etiopii.

Według planów, wiązało się z wysiedleniem około 2 milionów mieszkańców. Po kilku miesiącach „negocjacji”, protestujący zostali obwołana terrorystami — zabito ponad 1000 demonstrantów, a wielu z nich aresztowano.

Początkowo jednym z najbardziej niewygodnych politycznych przeciwników był Jawar Mohammed, aktywista i dyrektor wykonawczy portalu informacyjnego Oromia Media Network (OMN), finansowanego przez Amerykanów. Według organizacji praw człowieka, portal OMN odegrał ważną informacyjną rolę podczas zamieszek. Pracownicy OMN-u, dziennikarze i osoby współtworzące treść na portalu były od 2014 roku wielokrotnie aresztowane. Na celowniku rządu znalazły się także inne osoby, skądinąd powiązane z publicznymi instytucjami Unii Europejskiej, uczelniami i kancelariami prawnymi. Wszystkie te osoby miały wspólny mianownik — nie zgadzały się z panującą stroną polityczną.

Cyberbit i oprogramowanie szpiegujące PC Surveillance System (PSS)

Cyberbit to spółka działająca w sektorze bezpieczeństwa cybernetycznego powołana do życia w 2015 roku przez inną izraelską spółkę z tej samej branży.  

Zrzut ekranu z panelu kontrolnego PSS (PC Surveillance System).

Jak wyjaśnia CitizenLab, firma Cyberbit jest drugim największym dostawcą oprogramowania szpiegującego, zaraz po NSO Group Technologies — prywatnej cyberarmii Izraela. Obie spółki działają na tym samym rynku i są nawet powiązane z tymi samymi klientami.

Oprogramowanie PC Surveillance System zostało stworzone dla organów ścigania i organizacji wywiadowczych w celu „zapobieganiu terroryzmowi, przestrzegania i bezpieczeństwa publicznego poprzez”: uzyskiwanie dostępu, monitorowanie, pozyskiwanie i analizowanie informacji z komputerów. PSS potrafi m.in.: monitorować i nagrywać rozmowy VoIP, wykradać pliki, wiadomości e-mail, rejestrować naciskane klawisze.

Wektory infekcji

Zaczynało się niepozornie. Ot, wykorzystywano tradycyjną socjotechnikę do nakłonienia ofiary, aby pobrała z podanego linku program, pod pozorem odtworzenia filmu lub zaktualizowania wtyczki flash.

Takiego rodzaju wiadomości e-mail były wysyłane do ofiar, w tym do Jawara Mohammeda:

From: sbo radio <sbo.radio88[@]gmail.com>

Date: Tue, 4 Oct 2016 16:50:13 +0300

Subject: Fw: Confidential video made public

What do you think of this video ? In case you don’t have the right version of adobe flash and can’t watch the video, you can get the latest version of Adobe flash from Here

http://getadobeplayer[.]com/f….

———- Forwarded message ———-

From: sbo radio <sbo.radio88[@]gmail.com>

Date: Tue, Oct 10, 2014 at 4:23 PM

Subject: Video hints Eritrea and Ethiopia war is highly likely to continueDear Excellencies,Video : Eritrea and Ethiopia war likely to continue

http://www.eastafro[.]net/eri…

regards,

Sbo Radio

Mit freundlichen Grüßen

Wśród zainfekowanych programów znalazły się fałszywe instalatory antywirusów od firm Avast i Avira, a także CCleaner i programy do Adobe.  

Jedna z wielu złośliwych stron internetowych.

Badaczom z Citizen Lab udało się znaleźć plik zawierający lokalizację zainfekowanych urządzeń: każde urządzenie posiadało unikalny identyfikator, a także szczegółowe informacje o systemie. Na podstawie tych danych udało się stworzyć mapę ofiar:

Spośród analizowanych próbek udało się zaobserwować dokładne działanie szpiegowskiego oprogramowania. PSS potrafi:

  • nagrywać audio i wideo, nawet o konkretnym czasie ustalonym według harmonogramu,
  • wykradać historię przeglądarki i przechowywane hasła,
  • tworzyć nowe pliki, usuwać istniejące, itp.
  • edytować wartości rejestru,
  • identyfikować ofiarę w oparciu o sieć bezprzewodową,
  • uzyskiwać dostęp do kontaktów ze Skype i dziennika połączeń,
  • identyfikować podłączone urządzenia sieciowe,
  • identyfikować uruchamiane procesy,
  • robić zrzuty ekranu,
  • rejestrować naciskane klawisze,
  • uzyskiwać dostęp do danych ze schowka systemowego (czyli to, co zostanie skopiowane),
  • odczytywać historię plików,
Marketingowy schemat PSS.

Infekcje oprogramowaniem szpiegującym PC Surveillance System (PSS) zaobserwowano także w innych krajach o systemie rządów innym niż demokracja: Nigeria, Filipiny, Rwanda, Uzbekistan i Zambia. Dowody wskazują również na to, że rząd Etiopii nadużywał oprogramowania szpiegowskiego, w tym narzędzia RCS (Remote Control System) opracowanego przez zespół Hacking Team oraz FinSpy — malware, które zostało zlecone przez rząd niemiecki i stworzone przez niemiecką firmę do walki z „przestępczością internetową”. Narzędzia te wykorzystano do walki z dziennikarzami, działaczami, aktywistami i innymi osobami, których działalność była nie na rękę rządowi Etiopii.

Raport Citizen Lab ujawnia coś jeszcze. Otóż firma Cyberbit dostarczając szpiegowskie oprogramowanie PSS, bezpośrednio uczestniczyła w celowym łamaniu praw człowieka. W dodatku wykorzystywała wizerunek innych producentów aplikacji trzecich i oprogramowania antywirusowego — oczywiście w celu „świadczenia lepszej jakości usług”. Własnych usług. Wyręczanie się legalnymi programami innych firm przez izraelską spółkę z sektora bezpieczeństwa to bardzo karygodne i bezpośrednie posunięcie. Widać Izraelczycy nie przebierali w środkach i stosowali takie same sztuczki, jak cyberprzestępcy.

AUTOR:

Adrian Ścibor

Podziel się