Шпионаж наивысшего уровня. О чем на самом деле говорит история с прослушкой через Pegasus

"ДС" рассказывает, что такое ПО Pegasus, чем известна компания NSO и почему Эдвард Сноуден призвал запретить продажи подобных технологий

Pegasus взламывает смартфоны и айфоны на ОС Android и позволяет извлекать из них переписку владельца, медиа-файлы и даже незаметно включать их микрофоны и камеры / AFP/Getty Images

Как технологии массового наблюдения использовались для слежки за журналистами

Эксперты Amnesty International и организации Forbidden Stories совместно с журналистами ряда изданий, среди которых The Guardian и The Washington Post, рассказали о существовании массовой слежки за журналистами и правозащитниками многих стран мира. Для этой сделки использовались инструменты израильской компании NSO Group, а именно – разработанная ею шпионская программа Pegasus. Это приложение, созданное изначально для слежки за преступниками и террористами, использовалось совершенно с другими целями.

Авторы расследования обнаружили, что с Pegasus так или иначе связана более чем 50 тыс. смартфонов – владельцы этих номеров названы как личности, представляющие интерес для клиентов компании NSO. Это означает, что клиенты израильской компании NSO, купившие программу для слежки Pegasus, могли взломать устройства пользователей, чей номер телефона попал в базу авторов расследования. Другой вариант – владельцы этих номеров рассматривались как потенциальные цели.

В Amnesty International пришли к выводу, что жертвами этой слежки стали люди из 50 стран мира, среди которых были и журналисты, в том числе работающие в таких изданиях, как Reuters, CNN, Associated Press, The Wall Street Journal, Le Monde, Financial Times. Жертвами слежки были политики, бизнесмены и даже руководители ряда государств. Среди номеров телефонов, ставших целями шпионского ПО Pegasus, – несколько сотен политиков и чиновников, почти 200 журналистов, около сотни правозащитников.

Жертвы и потенциальные пострадавшие – от Джамаля Хашогги до Эммануэля Макрона

В результате анализа списка номеров авторы расследования пришли к выводу, что 15 тыс. из них принадлежат жителям Мексики. Кроме того, жертвами работы Pegasus были жители ряда стран Ближнего Востока (Саудовской Аравии и ОАЭ), а также Франции, Венгрии, Казахстана, Индии, Азербайджана, Пакистана, Израиля, Бахрейна, Марокко, Руанды.

В частности, Pegasus был обнаружен на смартфоне невесты убитого журналиста Джамаля Хашогги. В этом списке обнаружили номер телефона мексиканского расследователя Сесилио Пинеда Бирто, убитого в 2017 году. Его убийство связывают с его профессиональной деятельностью.

Известно, что правительство Виктора Орбана активно использовало Pegasus против венгерских журналистов-расследователей. Более того – заражение устройств некоторых журналистов четко коррелировало с запросами к чиновникам о комментариях по ряду спорных вопросов.

В списке номеров телефонов предполагаемых жертв Pegasus оказался и номер президента Франции Эммануэля Макрона, а также нескольких высокопоставленных чиновников страны. В публикации The Washington Post упоминается, что среди целей для слежки были обнаружены номера телефонов 14 глав государств и 10 премьер-министров.

Что такое ПО Pegasus и как заражались устройства

Pegasus – это высококлассное шпионское приложение, разработанное компанией NSO. Pegasus работает на iOS и Android. После заражения гаджета с помощью этого приложения оно передает контроль над устройством внешней стороне – компании NSO или ее клиентам, собственно и заказавшим взлом. Приложение получает доступ к камере и микрофону, то есть может прослушивать, что говорят рядом с телефоном и фиксировать сделанные фотографии или незаметно включать камеру и вести скрытую съемку. Также Pegasus может читать содержимое смартфона – СМС, электронную почту, заметки, фиксировать геолокацию, то есть знать, где физически находится устройство и его владелец в режиме реального времени, и даже прогнозировать его маршрут, к примеру, определяя путь перемещения его автомобиля. Эксперты, опрошенные The Guardian, подчеркивают, что Pegasus позволяло читать содержимое сообщений даже зашифрованных мессенджеров, например, Telegram и WhatsApp и даже Signal.

Существует несколько векторов атак с помощью Pegasus, то есть способов установки шпионского приложения на смартфон жертвы. Один из них – это оправка зараженной ссылки, при переходе по которой на гаджет пользователя попадает приложение-шпион.

Но кроме того, есть предположения, что заражения гаджетов могли осуществляться без каких-либо действий пользователя. Приложения, разработанные NSO, использовали так называемые уязвимости нулевого дня (0-day). Так называют неустраненные уязвимости устройств или ПО, о которых разработчикам не было известно и которые не были устранены, например, с помощью выпуска обновленной версии. Обычно разработчики ПО делают многое для того, чтобы они первыми узнавали про 0-day-уязвимости и оперативно устраняли их. Однако, судя по истории с Pegasus, компания NSO нашла способ получения информации об этих уязвимостях, например, покупая их в DarkWeb на закрытых хакерских площадках.

NSO group и истории взломов

Компания NSO Group позиционирует себя как разработчика систем "киберразведки в интересах глобальной безопасности". Один из главных ее продуктов — программа для удаленного взлома устройств, которая используется для борьбы с терроризмом и преступностью.

NSO Group заявила о начале расследования после разоблачений Amnesty International, подчеркнув, что компания продает свои разработки "исключительно правоохранительным и разведывательным органам проверенных правительств с единственной целью — спасать жизни путем предотвращения преступлений и террористических актов".

В недавно опубликованном отчете о прозрачности NSO Group приводит выдержки из своих контрактов с клиентами, в которых упоминается требование использовать ее разработки только в рамках уголовных расследований и инцидентов, связанных с национальной безопасностью.

Однако если вспомнить скандалы, связанные с NSO, то становится очевидно, что компания несколько лукавит. Например, еще в 2019 году сообщалось, что ПО Pegasus эксплуатировало уязвимости мессенджера WhatsApp для его взлома.

В декабре 2020 года стало известно, что инструмент Pegasus использовался для взлома журналистов Al Jazeera.

В конце 2020 года несколько крупных игроков ИТ-рынка, среди которых Microsoft, Cisco, GitHub, Google, LinkedIn, VMWare и ряд других, в судебном порядке потребовали, чтобы такие компании, как NSO Group, несли ответственность за нарушения, совершенные с помощью их инструментов, и потребовали лишить их какого-либо иммунитета в таких случаях.

Последствия разоблачения и реакция на него

Эдвард Сноуден подчеркивает факт злоупотребления инструментами для слежки, о котором он говорил еще в 2013 году, и заявил, то такая отрасль, в которой работает NSO Group, не должна существовать. "Неважно, под каким флагом вы живете и на каком языке говорите, мы все являемся пострадавшими", — заявил Сноуден в интервью Die Zeit.

В компании Apple лишний раз сказали, что ее устройства являются одними из наиболее защищенных, и добавили, что обычному пользователю нечего бояться, ибо такого рода атаки стоят дорого и не могут быть массовыми. Хотя в компании сделают все, чтобы защитить всех ее потребителей.

Компания Amazon отключила свой облачный сервис Amazon CloudFront для компании NSO Group. Это произошло только сейчас, хотя журналисты и раньше обвиняли Amazon в том, что ее инфраструктура используется NSO Group для взломов.

Сразу несколько стран начали расследование деятельности NSO Group, а "Репортеры без границ" заявили о готовности подать в суд против ответственных за эту массовую слежку.

Украина: собственная "ламповая" слежка

В списке жертв компании NSO Group и ее инструмента Pegasus отсутствуют номера телефонов, связанные с Украиной. По крайней мере на данный момент об этом не упоминалось. Тем не менее это совсем не означает, что украинские журналисты и их профессиональная деятельность находятся вне поля зрения заинтересованных лиц.

В 2019 году о более чем полугодовой слежке за съемочной группой "Схем" и Bihus.info заявляли журналисты, работающие в этих проектах. Охранная фирма, фигурировавшая в обвинениях, отбросила все претензии.

Михаил Ткач, журналист программы "Схемы: коррупция в деталях" говорил о прослушке у себя дома в 2020 году, а в 2021 году сообщил об "усиленном внимании" со стороны охраны Зеленского.

Эти истории лишь говорят о том, что заказчикам, заинтересованным в слежке за украинскими журналистами, дешевле организовать физическое наблюдение, чем платить сотни тысяч долларов за услуги, подобные той, которая предлагает NSO Group.

О чем на самом деле говорит история про Pegasus и NSO Group

Масштабы деятельности NSO Group и ее инструмента Pegasus впечатляют. Хотя на самом деле обычному пользователю, не политику или тому, кто владеет коммерческими секретами или занимается расследованиями коррупционных схем, инструменты типа Pegasus не страшны. Их стоимость слишком высока, поэтому условный "возврат инвестиций" для их использования должен быть соответствующий, чтобы заказчик был готов заплатить от $300 тыс. за возможность использовать инструмент на нескольких устройствах. Впрочем, проверить свое устройство и удостовериться, что вы не являетесь жертвой Pegasus, можно, следуя этой инструкции.

В то же время, история с NSO Group и Pegasus поднимает актуальность множества вопросов, связанных с кибербезопасностью, использованием гаджетов и повседневной работой журналиста.

Авторы расследования о деятельности NSO Group утверждают, что их продукт позволял читать зашифрованные сообщения в таких приложениях как Telegram и Signal. Второй считается одним из самых надежных на сегодняшний день защищенных мессенджеров. Соответственно, возможность доступа к информации, передаваемой с его помощью – это серьезная угроза для всей цифровой коммуникации и лишнее подтверждение тому, что говорить о какой-либо цифровой приватности и защищенных сервисах обмена данными не имеет смысла.

Использование разработчиками из NSO Group уязвимостей нулевого дня – это еще один опасный прецедент. Компании платят большие деньги за то, чтобы они первыми узнавали про такие уязвимости (в рамках специальных программ под названием bug bounty), однако, вероятно, цена, которую за них платили в обход bug bounty, была сравнима или даже выше официальных выплат. Это увеличивает риск использования подобных уязвимостей в будущем для более серьезных взломов – не только смартфонов конкретных людей, но и объектов критической инфраструктуры.

Размах и точная нацеленность слежки на расследователей не только усложняет работу журналистов, но и ставит под угрозу безопасность их источников.

Еще один риск – это незаконные сбор и использование персональных данных. Если такие истории стали возможными в странах ЕС с их жесткими законами о конфиденциальности, то там, где таких законов нет, риск превращения NSO Group-like-инструментов в массовые возрастает в разы.