България е една от страните, където е засечена активност на шпионския софтуер KingsPawn. Продуктът се разработва от израелската компания QuaDream, твърдят Microsoft Threat Intelligence i Citizen Lab.
Под „активност“ се има предвид, че в страната са засечени сървъри, на които се е хоствал част от кода, или където са били изпращани данните, събрани от мобилните телефони на подслушваните.
KingsPawn е написан, за да се инсталира на някои модели iPhone. Софтуерът е създаден от израелската компания QuaDream. Според Citizen Lab KingsPawn e бил използван, за да се подслушват журналисти, политически лидери, представители на неправителствени организации.
За дистрибутирането на зловредния код са били използвани домейни, свързани с местоположението на жертвите. Логиката тук е следната: ако искаш да подслушваш французин, първо трябва да го накараш да отвори уебсайт, на който е качен подслушващия софтуер. А по-вероятно е французинът да отвори сайта, ако е за нещо, което го засяга: например регионални новини, събития и т.н.
Честа практика е да се създават фалшиви новинарски сайтове с имена, звучащи подобно на легитимни регионални медии. Преди години хакерите от ATP28 бяха регистрирали няколко сайта, които звучат като популярни български медии.
На подобен принцип се е разпространявал и KingsPawn. В публикувания от Microsoft списък с домейни има поне два, които могат да се свържат с България. И двата домейна звучат новинарски: novinite[.]biz и bgnews-bg[.]com. Регистрирани са през 2022 г.
Означава ли това, че са били подслушвани българи; или че българското разследване е използвало KingsPawn?
„Списъкът с домейни включва такива, които са силно свързани с държави, в които Citizen Lab засича жертви на подслушване или където софтуера на QuaDream е бил използван, или и двете – казват от Microsoft. – Но наличието на подслушвани в една страна не означава, че са ги подслушвали властите в същата страна, тъй като международното подслушване е честа практика.“