ФСБ заразила телефон антивоенного россиянина шпионской программой Monokle. Что о ней известно и как она работает
Российский правозащитный проект «Первый отдел» рассказал историю айтишника Кирилла Парубца, которому удалось обмануть ФСБ. Весной 2022 года силовики задержали его и попытались завербовать. После освобождения Парубец обнаружил на своем телефоне разработанную в России шпионскую программу семейства Monokle. Рассказываем, как она работает и почему молодому человеку все-таки удалось избежать работы на ФСБ и покинуть Россию.
Неудавшаяся попытка вербовки
Кирилл Парубец — этнический украинец, родился в Москве, а с 2020-го жил в Киеве, где работал программистом и занимался волонтерством, доставлял гуманитарную помощь жителям Донбасса. После начала полномасштабного вторжения супруги продолжили участвовать в волонтерских проектах, но в условиях войны Кирилл не смог продлить ВНЖ. Поэтому он решил получить гражданство Молдовы, а затем Румынии. Но для оформления необходимых документов паре пришлось вернуться в Россию.
Спустя некоторое время после возвращения — утром 18 апреля 2024 года — силовики ворвались в их квартиру и провели обыск. «Ты хохлам деньги переводил?» — спросили они молодого человека. Парубец признался, что занимался благотворительностью.
По его словам, оперативники быстро нашли ноутбуки и мобильники в их квартире. Они попросили программиста разблокировать телефон и избили его после отказа. Молодой человек был вынужден согласиться предоставить доступ к девайсу, после чего семью задержали, изъяв технику и загранпаспорта.
Суд арестовал супругов на 15 суток по административному делу о нарушении общественного порядка. «Вот Так» изучил постановление суда. В документе говорится, что Парубец «выражал явное неуважение к обществу, сопровождающееся нецензурной бранью в общественных местах, сопряженное с неповиновением законному требованию представителя власти». При этом уточняется, что программист раскаялся в содеянном и сознался в ссоре с женой.
Как утверждает айтишник, во время допроса сотрудники ФСБ рассказали, что он подозревается в госизмене, и предложили ему следить за другом в обмен на свободу. От Парубца требовалось, чтобы он поддерживал связь с близким человеком и ждал дальнейших указаний со стороны спецслужб. Программист согласился, и ему вернули изъятые во время обыска вещи.
Уже на свободе он обратил внимание, что в возвращенном телефоне обновлялось неизвестное приложение ARM Cortex, которое имело большое количество прав. Кирилл связался с другими IT-специалистами, разбирающимися в шпионских софтах, и они подтвердили, что установленное на его телефон приложение может быть обновленной версией Monokle — программы, которую ФСБ использует для слежки за россиянами.
Некоторое время Парубец поддерживал связь с сотрудниками спецслужб и готовился к отъезду из России. При выезде из страны пара выключила мобильные телефоны и поместила их в клетку Фарадея — специальный контейнер, способный блокировать электромагнитные излучения и радиоволны, чтобы избежать слежки. Никаких данных о своем друге Парубец, по его словам, ФСБ не передал.
Возможности Monokle
Эксперт в области интернет-безопасности и глава Общества защиты интернета Михаил Климарев рассказал «Вот Так», что программы системы Monokle достаточно примитивны. Для их установки силовикам достаточно получить в руки разблокированный телефон. Уже после этого устройство начнет передавать данные.
Согласно отчету компании по кибербезопасности Lookout, разработанная центром программа Monokle работает на смартфонах под Android и скрывается в телефонах под видом популярных приложений: Google Play, Evernote, Skype, Signal и PornHub,
Софт обладает широкими возможностями, позволяющими отслеживать любое действие в устройстве, собирать пароли, записывать разговоры и передавать информацию в реальном времени.
- Шпионаж на воздушной подушке. Как ФСБ посадила крымчанина, обвинив в передаче Китаю документов на военные корабли
Monokle использует службу Android Accessibility Services, которая призвана облегчить работу со смартфоном для людей с ограниченными возможностями. Благодаря этой службе программа может использовать разные функции телефона. Отключение и блокировка не помогают — спецслужбы могут удаленно управлять устройством. Кроме того, программа открывает им полный доступ к паролям, файлам, словарю и запросам пользователя. Существует ли подобное приложение для смартфонов Apple, работающих на операционной системе iOS, пока неизвестно.
О разработке первой версии шпионского софта Monokle российским Специальным технологическим центром (СТЦ) в 2019 году заявляли США. Программа разрабатывалась для получения данных с телефонов сирийских повстанцев и пользователей приложения Uzbek Chat. Первый раз вредоносное ПО заметили в 2016 году, а первые атаки с его помощью начались в начале 2018-го.
СТЦ зарегистрирован в Петербурге и играет важную роль в обеспечении вооруженной агрессии РФ против Украины. Специальный технологический центр выполняет заказы Минобороны, Росгвардии, ФСБ и других силовых ведомств. Именно СТЦ производит беспилотники «Орлан» различных модификаций, а также целый ряд средств радиоэлектронной борьбы и разведки. С 2016 года компания находится под санкциями.
Другие попытки кибершпионажа
Кейс Кирилла Парубца — это первый зафиксированный случай использования данного программного обеспечения российскими властями против антивоенных российских активистов. Однако Monokle не единственная программа, используемая с этой целью.
В сентябре 2023 года специалисты по кибербезопасности проекта Access Now нашли в телефоне издателя «Медузы» Галины Тимченко шпионскую программу Pegasus. Позже специалисты того же проекта совместно с исследователями Citizen Lab проверили мобильники еще нескольких десятков российских и беларусских журналистов и активистов. У многих из них тоже обнаружили этот софт.
При этом девайсы были заражены за пределами России. Так, в августе 2020 года шпионское ПО Pegasus было установлено на телефон гендиректора «Новой газеты Европа» Марии Епифановой, когда она находилась в Латвии. Вредоносный софт на мобильники корреспондента «Новой газеты Балтия» Евгения Павлова и бывшего шеф-редактора программы «Балтия.Неделя» канала «Настоящее Время» Евгения Эрлиха установили, предположительно, в 2022 году на территории Латвии и Австрии соответственно.
Специалисты Citizen Lab отмечали, что взлом минимум пяти из семи указанных в расследовании устройств мог совершить один человек. Доказательств того, что за атакой стоят Россия, Беларусь или Литва, исследователи не привели. Но они подчеркнули, что эту программу могут применять спецслужбы Латвии и Эстонии, а до 2021 года ею пользовались власти Польши.