По данным группы анализа угроз Google, в прошлом году правительственные хакеры воспользовались тремя ранее неизвестными уязвимостями нулевого дня в операционной системе Apple iOS. Они использовали шпионские инструменты, разработанные европейским стартапом в области технологий наблюдения и взлома Variston, чьё вредоносное ПО уже дважды анализировалось Google в 2022 и 2023 годах.
Специалисты из группы анализа угроз Google обнаружили использование ПО Variston в марте 2023 года для таргетинга iPhone в Индонезии. Хакеры доставили текстовое SMS-сообщение, содержащее вредоносную ссылку, которая заразила телефон жертвы шпионским ПО, а затем перенаправили жертву на новостную статью в индонезийской газете Pikiran Rakyat. Google не раскрыла, кто выступил госзаказчиком этой атаки.
Variston была основана в 2018 году в Барселоне Ральфом Вегенером (Ralf Wegener) и Рамананом Джаяраманом (Ramanan Jayaraman) и вскоре после этого приобрела итальянскую компанию по исследованию компьютерной безопасности и уязвимостей нулевого дня Truel IT. По слухам, за последнее время штат Variston заметно сократился, хотя говорить о снижении активности пока не приходится. По данным Google, Variston сотрудничает «с несколькими другими организациями в разработке и доставке шпионского ПО».
Одной из таких организаций Google называет Protected AE, основанную в 2016 году в Объединённых Арабских Эмиратах. В регистрационных документах профиль компании описывается как «Protect Electronic Systems». На официальном сайте Protected AE позиционирует себя как «передовую компанию в области кибербезопасности и криминалистики». По данным Google, Protected AE «объединяет разрабатываемое ею шпионское ПО с платформой и инфраструктурой Heliconia [от Variston] в полный пакет, который затем предлагается для продажи либо местному брокеру, либо непосредственно государственному заказчику».
Хотя в последние несколько лет большое внимание уделялось израильским производителям шпионского ПО, таким как NSO Group, Candiru и QuaDream, отчёт Google показывает, что европейские производители шпионского ПО также расширяют своё присутствие и возможности. Исследователи Google отслеживают около 40 компаний, которые продают эксплойты и шпионское программное обеспечение для наблюдения правительственным заказчикам по всему миру.
Кроме Variston аналитики Google отмечают итальянские компании Cy4Gate, RCS Lab и Negg. RCS Lab была основана в 1993 году и раньше была партнёром ныне несуществующего производителя шпионского ПО Hacking Team, но до недавних лет не занималась разработкой шпионского ПО самостоятельно, сосредоточившись вместо этого на продаже продуктов для традиционного прослушивания телефонных разговоров операторов связи.
Google уверена, что шпионское ПО может использоваться для слежки за журналистами, правозащитниками, диссидентами и оппозиционными политиками, которых компания относит к «пользователям высокого риска». «Хотя число [этих] пользователей невелико по сравнению с другими видами киберугроз, последствия гораздо шире, — считает Google. — Такой тип целенаправленных нападок угрожает свободе слова, свободной прессе и честности выборов во всём мире».
