Полиция во всем мире все чаще использует хакерские инструменты для выявления и отслеживания протестующих, раскрытия секретов политических диссидентов и превращения компьютеров и телефонов активистов в неизбежные подслушивающие устройства. Теперь новые улики в деле в Индии связывают правоохранительные органы с хакерской кампанией, которая использовала эти инструменты, чтобы сделать еще один ужасающий шаг: установить ложные компрометирующие файлы на компьютеры жертв, которые та же полиция затем использовала в качестве основания для ареста и заключения их в тюрьму.
Более года назад судебные аналитики обнаружили, что неизвестные хакеры сфабриковали улики на компьютерах как минимум двух активистов, арестованных в Пуне, Индия, в 2018 году, оба из которых томятся в тюрьме и, наряду с 13 другими, обвиняются в терроризме. Исследователи из охранной фирмы SentinelOne и некоммерческих организаций Citizen Lab и Amnesty International с тех пор связали эту фальсификацию доказательств с более широкой хакерской операцией, направленной против сотен людей в течение почти десяти лет, используя фишинговые электронные письма для заражения целевых компьютеров шпионским ПО, а также проданные инструменты для взлома смартфонов. израильским хакерским подрядчиком NSO Group. Но только сейчас исследователи SentinelOne выявили связи между хакерами и правительственным учреждением: не кем иным, как тем самым индийским полицейским агентством в городе Пуна, которое арестовало нескольких активистов на основании сфабрикованных доказательств.
«Существует доказуемая связь между людьми, арестовавшими этих людей, и людьми, подбросившими улики», — говорит Хуан Андрес Герреро-Сааде, исследователь безопасности из SentinelOne, который вместе с коллегой-исследователем Томом Хегелем представит результаты на конференции Black Hat Security. конференция в августе. «Это выходит за рамки этического компромисса. Это за пределами бессердечия. Поэтому мы пытаемся предоставить как можно больше данных в надежде помочь этим жертвам».
Новые выводы SentinelOne, которые связывают полицию города Пуна с давней хакерской кампанией, которую компания назвала Modified Elephant, сосредоточены на двух конкретных целях кампании: Роне Уилсон и Варваре Рао. Оба мужчины являются активистами и правозащитниками, которые были заключены в тюрьму в 2018 году как часть группы под названием Bhima Koregaon 16, названной в честь деревни, где ранее в том же году вспыхнуло насилие между индусами и далитами — группой, когда-то известной как «неприкасаемые». (Один из этих 16 обвиняемых, 84-летний священник-иезуит Стэн Свами, скончался в тюрьме в прошлом году после заражения COVID-19. Рао, которому 81 год и он болен, был освобожден под залог по медицинским показаниям, срок действия которого истекает в следующем году. месяц. Из остальных 14 только один был освобожден под залог.)
В начале прошлого года Arsenal Consulting, цифровая криминалистическая фирма, работающая от имени обвиняемых, проанализировала содержимое ноутбука Уилсона вместе с ноутбуком другого обвиняемого, адвоката по правам человека Сурендры Гэдлинг. Аналитики «Арсенала» обнаружили, что улики на обеих машинах явно были сфабрикованы. В случае Уилсона вредоносное ПО, известное как NetWire, добавило 32 файла в папку на жестком диске компьютера, включая письмо, в котором Уилсон, по-видимому, вступил в сговор с запрещенной маоистской группой с целью убийства премьер-министра Индии Нарендры Моди. На самом деле письмо было создано с помощью версии Microsoft Word, которой Уилсон никогда не пользовался и которая никогда не устанавливалась на его компьютер. «Арсенал» также обнаружил, что компьютер Уилсона был взломан для установки вредоносного ПО NetWire после того, как он открыл вложение, отправленное с учетной записи электронной почты Варвары Рао, которая сама была взломана теми же хакерами. «Это одно из самых серьезных дел, связанных с фальсификацией улик, с которыми когда-либо сталкивался «Арсенал», — написал президент «Арсенала» Марк Спенсер в своем докладе индийскому суду.
