Моссад почти не виден. Победы и поражения израильских спецслужб - Сергей Вадимович Чертопруд

своим командно-контрольным сервером, чтобы тайно загружать вредоносные компоненты на пользовательские устройства. Важно отметить, что в данном случае шпионское ПО было намеренно развернуто после загрузки приложения из магазина Google Play, чтобы обойти процедуру проверки безопасности Google. Это позволило оператору шпионского ПО удаленно выполнять код на смартфонах пользователей для отслеживания местоположения, доступа к камерам и микрофонам, загрузки изображений, отслеживания звонков и эксфильтрации файлов.

Пользователи Golden Cup, среди которых были как израильские гражданские лица, так и военнослужащие, не осознавали, что их устройства были заражены шпионскими программами. Пока солдаты занимались своими повседневными делами на базах, операторы шпионских программ собирали огромное количество данных со взломанных смартфонов. Всего за несколько недель скрытого сбора, до обнаружения службой безопасности ЦАХАЛ, противник успешно собрал непубличную информацию о различных базах, офисах и военной технике ЦАХАЛа, такой как танки и бронемашины.

Тот же противник атаковал израильских солдат с помощью нескольких других вредоносных приложений для Android в течение лета 2018 года. Фитнес-приложение, отслеживающее маршруты бега пользователей, собрало телефонные номера солдат, совершающих пробежки в особо уязвимом географическом месте. Получив эти данные эти цифры, злоумышленник обратился к солдатам с просьбой загрузить второе приложение, которое затем установило шпионское ПО. Дополнительные нападения на израильских солдат тем же летом включали кампании социальной инженерии, поощряющие цели загружать различные приложения для знакомств, содержащие шпионские программы, с такими названиями, как Wink Chat и Glance Love, что побудило ЦАХАЛ в ответ начать операцию «Разбитое сердце».

ХАМАС: операция «Бородатая Барби»

Портал ZDNet со ссылкой на Министерство обороны Израиля сообщил, что представители палестинского исламистского движения ХАМАС соблазняли израильских военных в соцсетях под видом юных девушек. «Девушки» уговаривали жертв установить на свои телефоны вредоносные приложения-мессенджеры, в которых обещали поделиться интимными фотографиями. Точное число военнослужащих, которые стали жертвами кибератаки, израильское Минобороны не назвало.

Специально для этой акции агенты ХАМАС создали фейковые учетные записи в соцсетях и мессенджерах. В настоящий момент выявлено шесть аккаунтов, в числе которых есть две девушки с «русскими» корнями: Сара Орлова и Мария Якобова.

Также выявлено несколько вирусных мессенджеров: Grixy, Zatu и Catch&See. Часть вредоносов — трояны, которые самостоятельно скачивают на смартфоны жертв вирусы-шпионы. Такие вирусы, работая в фоновом режиме, отслеживают географическое положение телефона, делают снимки экрана и собирают другую информацию, которую незаметно отправляют агентам ХАМАС.

Израильская компания Check Point, занимающаяся вопросами кибербезопасности, считает, что созданием вредоносных программ занималась группа под кодовым названием APT-C-23. Для атаки на израильских военных хакеры использовали malware-вирусы, написанные для Android-смартфонов.

Министерство обороны Израиля, по понятным причинам — о них подробно ниже, скромно умалчивает тот факт, израильские военнослужащие стали очередными жертвами хакерской атаки «Бородая Барби».

Хак-группа APT-C-23 (она же Desert Scorpion, Desert Falcon, Arid Viper), известная своими атаками на Ближнем Востоке, а также атаками на военные и образовательные учреждения как минимум с 2017 года,

В первые годы своего существования APT-C-23 проводил фишинговые атаки против палестинских правоохранительных органов, военных и образовательных учреждений, а также израильских спецслужб. Затем объектом ее атак стал исключительно Израиль. Западные исследователи утверждают, что группа APT-C-23, наряду с MoleRATs, являются одним из подразделений «кибервойск» ХАМАСА и работают на благо палестинской политической группировки.

Начиная с 2019 года APT-C-23 регулярно проводит атаки, которые на Западе называют «Бородая Барби». Мишени — сотрудники оборонных, юридических, правоохранительных и правительственных организаций Израиля. Хакеры создают несколько поддельных профилей Facebook* (принадлежит Meta*, признанной в РФ экстремистской, деятельность организации запрещена территории РФ), используя сфабрикованные личности и украденные или сгенерированные искусственным интеллектом изображения привлекательных женщин, и обращались к целям атаки через эти профили.

Чтобы создать видимость подлинности, операторы курируют эти профили в течение нескольких месяцев, публикуя сообщения на иврите и ставя лайки группам и популярным страницам в Израиле.

Для правдоподобности операторы этих профилей создают сеть друзей, которые являются реальными людьми, работающими в полиции, силах обороны, аварийных службах или правительстве Израиля.

Завоевав доверие адресата путем общения с ним в течение некоторого времени, хакеры предлагали перенести разговор в WhatsApp, якобы для большей конфиденциальности.

В этот момент, если общение происходит с помощью смартфона жертвы и принимала интимный характер: злоумышленники предлагают перейти на якобы более защищенное приложение для обмена мгновенными сообщениями для Android, которое на самом деле является вредоносной программой VolatileVenom. Во время первого запуска и процесса регистрации приложение выдает ложную ошибку и заявляет, что автоматически удалится с устройства.

Однако на самом деле оно продолжает работать в фоновом режиме, выполняя следующие функции:

Кража SMS-сообщений

Сбор информации из списка контактов

Использование камеры устройства для съемки фотографий

Кража файлов со следующими расширениями: pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text

Кража изображений со следующими расширениями: jpg, jpeg, png

Запись звука

Использование фишинга для кражи учетных данных для популярных приложений, таких как Facebook* (Соцсети Instagram и Facebook запрещены в РФ; они принадлежат корпорации Meta, которая признана в РФ экстремистской) и Twitter.

Сброс системных уведомления

Получение списка установленных приложений

Управление Wi-Fi

Запись звонков / звонков WhatsApp

Чтение журнала вызовов

Загрузка файлов на зараженное устройство

Снимки экрана

Чтение уведомлений следующих приложений: WhatsApp, Facebook* (принадлежит Meta*, признанной в РФ экстремистской, деятельность организации запрещена территории РФ), Telegram, Instagram* (принадлежит Meta*, признанной в РФ экстремистской, деятельность организации запрещена территории РФ), Skype, IMO, Viber

Если жертва использует для общения компьютер, то хакер отправляет ссылку на RAR-файл, который якобы содержит эротическое видео, но на самом деле является загрузчиком бэкдора BarbWire.

Однако этот RAR-файл содержит вредоносную программу-загрузчик Barb(ie), которая приводит к установке бэкдора BarbWire.

Barb(ie) подключается к командно-контрольным серверам (C2) и отправляет профиль идентификатора системы, а также устанавливает постоянную связь, создавая две запланированные задачи. Наконец, он загружает и устанавливает на устройство бэкдор BarbWire

BarbWire — это полноценный бэкдор с широкими возможностями, такими как:

Защита от обнаружения

Разведка ОС (имя пользователя, архитектура, версия Windows, установленные антивирусные продукты)

Шифрование данных

Перехват клавиатуры

Захват экрана

Аудиозапись

Загрузка дополнительных вредоносных программ

Перечисление локальных/внешних дисков и каталогов

Кража определенных типов файлов и эксфильтрация данных в формате RAR.

Ничего личного, только бизнес

После 7 октября 2023 года активизировались торговцы персональными данными военнослужащих и сотрудниках спецслужб. Например, 15 октября 2023 года на русскоязычном хакерском форуме RAMP пользователь под псевдонимом «blackfield» выставил на продажу базу данных, содержащую личные данные, номера телефонов, фотографии и ссылки на соцсети членов Армии обороны Израиля (ЦАХАЛ) и Службы безопасности Израиля (Шабак).

Продавец оценил стоимость пакета данных в 15 тыс. долларов США, что по мнению экспертов выше