Хуситы против военных: GuardZoo похищает стратегические секреты

В марте 2014 года компания Symantec впервые обнаружила Android-троян удалённого доступа под названием Dendroid RAT. Этот вредоносный софт продавался за $300 и обладал широким спектром функций, включая управление звонками, доступ к SMS-сообщениям, создание фото и видео, а также инициирование HTTP-атак. В августе того же года весь исходный код Dendroid RAT утёк в сеть.

В этом месяце исследователи из компании Lookout публично связали свежевыявленную вредоносную активность с утекшим Dendroid RAT. По данным экспертов, именно на его основе злоумышленниками была скомпилирована новая версия хакерского инструмента под названием GuardZoo.

Главной целью для атак при помощи GuardZoo стали военнослужащие из стран Ближнего Востока, а создание и эксплуатацию вредоноса исследователи приписывают йеменским хуситам. Как сообщается, GuardZoo применяется уже много лет, как минимум с октября 2019 года. Однако лишь сейчас эксперты собрали достаточно информации, чтобы озвучить обоснованное предположение о происхождении вредоноса и характере атак.

Хуситы взяли под контроль столицу Йемена в 2014 году, что привело к гражданской войне. По данным правозащитных организаций, начиная с июня 2019 года противоречивое вмешательство Саудовской Аравии вызвало волну произвольных арестов, пыток и насильственных исчезновений.

Обновлённая версия GuardZoo распространяется через WhatsApp и WhatsApp Business, а также через прямые загрузки из мобильных браузеров. Вредонос поддерживает более 60 команд, включая возможность получать дополнительные полезные нагрузки, загружать файлы и APK, изменять адрес командного сервера и удалять себя с зараженного устройства.

Хотя приманки для GuardZoo изначально были весьма общими, со временем они эволюционировали и стали включать военную тематику с такими названиями, как «Конституция вооружённых сил» и «Реструктуризация новых вооружённых сил». Тем временем, эмблемы вооружённых сил различных стран Ближнего Востока, включая Йемен и Саудовскую Аравию, регулярно появлялись в подобных приложениях.

Злонамеренная активность затронула более 450 жертв, в основном военных из Йемена, а также из Египта, Омана, Катара, Саудовской Аравии, Турции и ОАЭ. GuardZoo специально разработан для кражи фотографий, документов и файлов карт с устройств жертв, что указывает на интерес к сбору тактической и стратегической военной информации.

С начала кампании GuardZoo использует одни и те же динамические DNS-домены для C2-операций, которые, хоть и регулярно изменяются, всё ещё зарегистрированы на YemenNet. Это подтверждает связь с хуситами, контролирующими северо-запад Йемена. В последние годы они активно внедряют кибервозможности в свои действия, а также прямо атакуют киберпространство, взять даже февральский случай с подводным кабелем в Красном море.

Данный инцидент подчёркивает растущую важность кибербезопасности в военной сфере и необходимость повышенной бдительности при использовании мобильных устройств военнослужащими. Он также демонстрирует, как политические конфликты всё чаще переносятся в цифровое пространство, где информационное преимущество может иметь решающее значение.