Śledztwo organizacji pozarządowych ujawnia inwigilację mediów przez KGB

Białoruski Komitet Bezpieczeństwa Państwowego (KGB) co najmniej od 2021 roku wykorzystuje specjalistyczne oprogramowanie szpiegowskie do inwigilowania dziennikarzy i pracowników mediów. Takie ustalenia przedstawiły Laboratorium Bezpieczeństwa Cyfrowego oraz organizacja Reporterzy bez Granic we współpracy z wschodnioeuropejską organizacją pozarządową RESIDENT.NGO.

Wykryte narzędzie, nazwane po analizie ResidentBat, jest przeznaczone na urządzenia mobilne z systemem Android, takie jak smartfony i tablety. Po zainstalowaniu umożliwia dostęp do wrażliwych informacji, w tym historii połączeń, nagrań z mikrofonu, wiadomości SMS, korespondencji z szyfrowanych komunikatorów oraz plików zapisanych w pamięci urządzenia. W przeciwieństwie do znanych systemów szpiegowskich działających zdalnie, ResidentBat wymaga fizycznego dostępu do telefonu lub tabletu, co oznacza, że instalacja odbywa się bezpośrednio przez służby.

Oprogramowanie zostało odkryte na telefonie jednego z dziennikarzy, który wcześniej był przesłuchiwany w siedzibie białoruskiego KGB. Jego tożsamość została zweryfikowana przez Reporterów bez Granic, jednak nie została ujawniona ze względów bezpieczeństwa. Przed rozpoczęciem przesłuchania dziennikarz musiał oddać telefon do depozytu, a w trakcie rozmowy został poproszony o jego odblokowanie i okazanie wybranych treści w obecności funkcjonariusza. Następnie urządzenie ponownie trafiło do przechowalni.

Zdaniem organizacji zaangażowanych w śledztwo w tym czasie funkcjonariusze mogli poznać kod odblokowujący i zainstalować oprogramowanie szpiegowskie. Kilka dni później na telefonie pojawiło się ostrzeżenie z programu antywirusowego o podejrzanej aktywności. Właściciel urządzenia zwrócił się wówczas do RESIDENT.NGO, która wraz z Laboratorium Bezpieczeństwa Cyfrowego RSF przeprowadziła szczegółową analizę.

Porównanie próbek kodu dostępnych na platformach antywirusowych pozwoliło zidentyfikować kilka wersji ResidentBat, najprawdopodobniej używanych przez tę samą instytucję. Najstarsza z nich pochodziła z 2021 roku, co doprowadziło analityków do wniosku, że narzędzie mogło być stosowane przez KGB od co najmniej czterech lat. Wyniki dochodzenia zostały przekazane Google, która zapowiedziała wysłanie ostrzeżeń o atakach wspieranych przez struktury państwowe do użytkowników uznanych za cele tej kampanii.

Autorzy raportu zwracają również uwagę, że pochodzenie ResidentBat nie jest jednoznaczne. Część kodu zawiera elementy w języku angielskim, co może sugerować, że oprogramowanie było projektowane z myślą o szerszym zastosowaniu lub zostało stworzone na zlecenie przez podmiot zewnętrzny.