Одна из самых закрытых и загадочных киберопераций XXI века вновь всплыла в поле зрения специалистов по информационной безопасности. История шпионского инструмента Careto, впервые всплывшего в 2014 году, получила продолжение — теперь с прямыми намёками на связь с государственными структурами Испании.
Изначально расследование началось после обнаружения аномальной интернет-активности, которую сначала приняли за банальные фишинговые рассылки. Позже выяснилось, что это была лишь видимая часть сложной сети. Главный след вёл на Кубу — в правительственную сеть, где вирус не просто скрывался, а контролировал систему. Анализ показал, что перед исследователями — не очередной вредонос, а продукт с признаками разведывательного ПО высокого класса, разработанного явно не обычными преступниками.
Название Careto появилось не случайно — в коде вируса засветилось испанское ругательство, написанное с характерной орфографией. Этот штрих стал не единственным культурным маркером. Среди других — тематика, связанная с сепаратистами из организации ETA, а также поддельные страницы популярных испанских медиаресурсов.
Примечательно, что основной фокус программы был направлен на Кубу — страну, где находились лица, разыскиваемые испанскими властями. Этот факт, по мнению экспертов, напрямую указывает на политическую подоплёку цифровой кампании.
Но операции не ограничились Кубой. Отследить Careto удалось в 31 стране. Цели — объекты с высокой ценностью, к примеру, правительственные порталы, энергетика, диппредставительства, университеты и правозащитники. Вирус охватывал регионы от Европы до Северной и Южной Америки, Северной Африки и даже самой Испании, не обойдя стороной Гибралтар — спорную территорию на юге Пиренейского полуострова.
Функционал программы поражал масштабом. Она перехватывала звонки в Skype, снимала экран, извлекала ключи шифрования, имела доступ к микрофону и документам.
Были версии под Windows, macOS, Linux, а также, вероятно, под мобильные платформы. Более того, код содержал методы обхода антивирусных систем, в том числе тех, что выпускает Касперский, что особенно эффективно работало против пользователей на Кубе.
После выхода доклада о Careto в 2014 году вся инфраструктура, связанная с вирусом, исчезла. Сервера очищены, журналы удалены, следы заметены. Специалисты расценили это как явный признак вовлечённости хорошо организованной государственной структуры. Но спустя восемь лет Careto вновь дал о себе знать, т. к. атаки повторились — сначала в Латинской Америке, затем в Центральной Африке.
Доклад на конференции Virus Bulletin 2024 года подтвердил, что злоумышленники используют обновлённые модули, способные действовать как трояны, шпионы и инструменты скрытого наблюдения. Сценарии атак по-прежнему демонстрируют высокий уровень анонимности и изоляции командных серверов, что затрудняет их отслеживание.
Хотя официальные представители Лаборатории Касперского не дали прямого подтверждения роли Испании, бывшие участники расследования открыто утверждают, что ещё в 2014 году команда была почти уверена в происхождении угрозы. При этом внутренняя политика компании запрещала публично указывать на правительства, входящие в круг международных партнёров.
Ещё по теме: