Эксперты Kaspersky GReAT впервые обнаружили использование шпионского ПО, созданного итальянской компанией Memento Labs (ранее HackingTeam), в реальных атаках. Отследить активность зловреда удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций.
Hacking Team - один из старейших производителей шпионского ПО. Компания была основана в 2003 году и занималась разработкой и продажей «легальных» программ для слежки. Получила знаменитость из-за шпионской программы Remote Control Systems (RCS), которой пользовались государственные органы по всему миру.
После взлома в 2015 году в интернет попали 400 ГБ внутренних документов Hacking Team, ну а в 2019 году её покупала InTheCyber Group и переименовала в Memento Labs. Спустя четыре года компания заявила о новом шпионском ПО Dante. Однако до сих пор зловред не встречался в реальных атаках, а о его возможностях было мало что известно.
В начале марта 2025 года «Лаборатория Касперского» обнаружила трудную целевую кампанию, в какой использовалась уязвимость нулевого дня в Chrome. Преступники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в научно-экспертном форуме «Примаковские чтения». Если жертва переходила по ссылке и отмыкала браузер Chrome, устройство сразу заражалось. Никаких иных действий от пользователя не требовалось.
В операции «Форумный тролль» использовалось шпионское ПО LeetAgent. Все команды были написаны на языке Leet, что редко встречается во вредоносном ПО для трудных целевых атак. Эксперты «Лаборатории Касперского» проследили активность LeetAgent до 2022 года и выявили иные атаки такого же типа группы, нацеленные на организации и приватных лиц в России и Беларуси. Изучая арсенал преступников, они обнаружили ранее неизвестного автора зловред - и пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее Hacking Team). Анализ показал, что в Dante и некоторых приборах, используемых в операции «Форумный тролль», пребывает похожий код, что повелевает на то, что эти приборы также были разработаны Memento Labs.
«Создатели шпионского ПО превосходно известны профессионалам по кибербезопасности. Однако вредоносные программы посещает трудно идентифицировать и отнести конкретной группе, особенно в случае целевых атак. Чтобы установить происхождение Dante, нам пришлось разобраться в нескольких слоях запутанного кода, выследить очевидные признаки его использования в течение нескольких лет и сопоставить с возможными творцами. Похоже, разработчики зловреда не просто так выбрали наименованье Dante, поскольку тому, кто пытается разобраться в его происхождении, предстоит нелёгкий путь», - говорил ведущий эксперт Kaspersky GReAT Борис Ларин.
Фото: Unsplash