Hôm thứ Hai, các nhà nghiên cứu tại gã khổng lồ an ninh mạng Kaspersky đã công bố một báo cáo xác định một phần mềm gián điệp mới có tên Dante mà họ cho rằng nhắm mục tiêu vào các nạn nhân Windows ở Nga và nước láng giềng Belarus. Các nhà nghiên cứu cho biết phần mềm gián điệp Dante được sản xuất bởi Memento Labs, một nhà sản xuất công nghệ giám sát có trụ sở tại Milan, được thành lập vào năm 2019 sau khi một chủ sở hữu mới mua lại và tiếp quản nhà sản xuất phần mềm gián điệp thời kỳ đầu Hacking Team.
Giám đốc điều hành Memento, Paolo Lezzi, xác nhận với TechCrunch rằng phần mềm gián điệp bị Kaspersky phát hiện thực sự thuộc về Memento.
Trong một cuộc gọi, Lezzi đổ lỗi cho một trong những khách hàng chính phủ của công ty đã tiết lộ Dante, nói rằng khách hàng này đã sử dụng phiên bản phần mềm gián điệp Windows lỗi thời và sẽ không được Memento hỗ trợ vào cuối năm nay.
“Rõ ràng là họ đã sử dụng một tác nhân đã chết,” Lezzi nói với TechCrunch, đề cập đến “tác nhân” là từ kỹ thuật để chỉ phần mềm gián điệp được cài trên máy tính của mục tiêu.
“Tôi nghĩ [the government customer] thậm chí còn không sử dụng nó nữa,” Lezzi nói.
Lezzi, người cho biết ông không chắc khách hàng nào của công ty đã bị bắt, nói thêm rằng Memento đã yêu cầu tất cả khách hàng của mình ngừng sử dụng phần mềm độc hại Windows. Lezzi cho biết công ty đã cảnh báo khách hàng rằng Kaspersky đã phát hiện nhiễm phần mềm gián điệp Dante kể từ tháng 12 năm 2024. Ông nói thêm rằng Memento có kế hoạch gửi một tin nhắn tới tất cả khách hàng của mình vào thứ Tư, yêu cầu họ một lần nữa ngừng sử dụng phần mềm gián điệp Windows của họ.
Ông cũng cho biết hiện Memento chỉ phát triển phần mềm gián điệp cho nền tảng di động. Công ty cũng phát triển một số lỗ hổng zero-day – nghĩa là các lỗ hổng bảo mật trong phần mềm mà nhà cung cấp không xác định được có thể được sử dụng để phân phối phần mềm gián điệp – tuy nhiên, theo Lezzi, công ty chủ yếu khai thác các lỗ hổng từ các nhà phát triển bên ngoài.
Liên hệ với chúng tôi
Bạn có thêm thông tin về Phòng thí nghiệm Memento? Hoặc các nhà sản xuất phần mềm gián điệp khác? Từ một thiết bị không hoạt động, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382 hoặc qua Telegram, Keybase và Wire @lorenzofb hoặc qua email.
Khi được TechCrunch liên hệ, người phát ngôn của Kaspersky Mai Al Akka sẽ không cho biết chính phủ nào mà Kaspersky tin là đứng đằng sau chiến dịch gián điệp, nhưng đó là “ai đó đã có thể sử dụng phần mềm Dante”.
“Nhóm này nổi bật nhờ khả năng sử dụng tiếng Nga tốt và kiến thức về các sắc thái địa phương, những đặc điểm mà Kaspersky đã quan sát thấy trong các chiến dịch khác có liên quan đến vấn đề này. [government-backed] mối đe dọa. Tuy nhiên, thỉnh thoảng có một số lỗi cho thấy những kẻ tấn công không phải là người bản ngữ”, Al Akka nói với TechCrunch.
Trong báo cáo mới của mình, Kaspersky cho biết họ đã tìm thấy một nhóm hack sử dụng phần mềm gián điệp Dante mà họ gọi là “ForumTroll”, mô tả việc nhắm mục tiêu vào những người được mời tham gia diễn đàn kinh tế và chính trị Nga Primkov Readings. Kaspersky cho biết tin tặc nhắm vào nhiều ngành công nghiệp ở Nga, bao gồm các cơ quan truyền thông, trường đại học và tổ chức chính phủ.
Việc phát hiện ra Dante của Kaspersky được đưa ra sau khi công ty an ninh mạng Nga cho biết họ đã phát hiện ra một “làn sóng” tấn công mạng với các liên kết lừa đảo đang khai thác lỗ hổng zero-day trong trình duyệt Chrome. Lezzi nói rằng zero-day của Chrome không phải do Memento phát triển.
Trong báo cáo của mình, các nhà nghiên cứu của Kaspersky kết luận rằng Memento “tiếp tục cải tiến” phần mềm gián điệp do Hacking Team phát triển ban đầu cho đến năm 2022, khi phần mềm gián điệp này “được thay thế bởi Dante”.
Lezzi thừa nhận rằng có thể một số “khía cạnh” hoặc “hành vi” của phần mềm gián điệp Windows của Memento còn sót lại từ phần mềm gián điệp do Hacking Team phát triển.
Một dấu hiệu nhận biết rằng phần mềm gián điệp bị Kaspersky bắt được thuộc về Memento là các nhà phát triển được cho là đã để lại từ “DANTEMARKER” trong mã của phần mềm gián điệp, một tham chiếu rõ ràng đến tên Dante, mà Memento đã tiết lộ trước đây và công khai tại một hội nghị công nghệ giám sát, theo Kaspersky.
Giống như phần mềm gián điệp Dante của Memento, một số phiên bản phần mềm gián điệp của Hacking Team, có tên mã là Hệ thống điều khiển từ xa, được đặt theo tên các nhân vật lịch sử của Ý, như Leonardo Da Vinci và Galileo Galilei.
Lịch sử các vụ hack
Vào năm 2019, Lezzi đã mua Hacking Team và đổi tên thành Memento Labs. Theo Lezzi, anh chỉ trả một euro cho công ty và kế hoạch là bắt đầu lại.
“Chúng tôi muốn thay đổi hoàn toàn mọi thứ,” chủ sở hữu Memento nói với Bo mạch chủ sau thương vụ mua lại vào năm 2019. “Chúng tôi đang bắt đầu lại từ đầu.”
Một năm sau, Giám đốc điều hành và người sáng lập của Hacking Team, David Vincenzetti, thông báo rằng Hacking Team đã “chết”.
Khi mua lại Hacking Team, Lezzi nói với TechCrunch rằng công ty chỉ còn lại ba khách hàng chính phủ, khác xa so với con số hơn 40 khách hàng chính phủ mà Hacking Team có vào năm 2015. Cùng năm đó, một kẻ tấn công tên là Phineas Fisher đã đột nhập vào máy chủ của công ty khởi nghiệp và lấy đi khoảng 400 gigabyte email nội bộ, hợp đồng, tài liệu và mã nguồn cho phần mềm gián điệp của nó.
Trước vụ hack, các khách hàng của Hacking Team ở Ethiopia, Maroc và Các Tiểu vương quốc Ả Rập Thống nhất đã bị phát hiện đang nhắm mục tiêu vào các nhà báo, nhà phê bình và nhà bất đồng chính kiến bằng cách sử dụng phần mềm gián điệp của công ty. Sau khi Phineas Fisher công bố trực tuyến dữ liệu nội bộ của công ty, các nhà báo tiết lộ rằng chính quyền khu vực Mexico đã sử dụng phần mềm gián điệp của Hacking Team để nhắm mục tiêu vào các chính trị gia địa phương và Hacking Team đã bán cho các quốc gia vi phạm nhân quyền, bao gồm Bangladesh, Ả Rập Saudi và Sudan, cùng nhiều quốc gia khác.
Lezzi từ chối cho TechCrunch biết hiện tại có bao nhiêu khách hàng mà Memento có, nhưng ngụ ý rằng con số này ít hơn 100 khách hàng. Ông cũng nói rằng chỉ còn lại hai nhân viên hiện tại của Memento trong số các nhân viên cũ của Hacking Team.
Theo John Scott-Railton, một nhà nghiên cứu cao cấp đã điều tra việc lạm dụng phần mềm gián điệp trong một thập kỷ tại Phòng thí nghiệm Công dân của Đại học Toronto, việc phát hiện ra phần mềm gián điệp của Memento cho thấy loại công nghệ giám sát này tiếp tục phát triển. Nó cũng cho thấy
Ngoài ra, một công ty gây tranh cãi có thể chết vì một vụ hack ngoạn mục và một số vụ bê bối, tuy nhiên một công ty mới với phần mềm gián điệp hoàn toàn mới vẫn có thể thoát ra khỏi đống tro tàn,
Scott-Railton nói với TechCrunch: “Nó cho chúng ta biết rằng chúng ta cần phải tiếp tục lo sợ về hậu quả. “Nó nói lên nhiều điều rằng dư âm của thương hiệu bị nhiễm phóng xạ, đáng xấu hổ và bị tấn công nhất vẫn còn tồn tại.”
