Спецслужбы устроили массовую слежку за журналистами по всему миру с помощью шпионского ПО израильской NSO Group. Главное

В прессу попали 50 тысяч номеров, за которыми следили с помощью уязвимостей в смартфонах, компания утверждает, что продавала ПО только спецслужбам.

Власти как минимум десяти стран использовали программное обеспечение израильской компании NSO Group для массовой слежки за журналистами, активистами, бизнесменами и политическими деятелями. Программа Pegasus позволяла тайно следить за десятками тысяч людей с помощью неизвестных уязвимостей в смартфонах. TJ рассказывает главное о скандале.

19 июля почти два десятка зарубежных СМИ, включая The Washington Post и Guardian, опубликовали совместное расследование, которое провели при поддержке правозащитников Amnesty International. В материале говорилось о шпионской программе Pegasus, которую израильская компания NSO Group продавала властям разных стран для слежки за активистами, расследователями, оппозиционерами и диссидентами.

Среди клиентов компании оказались и страны бывшего СССР, включая Казахстан и Азербайджан. В последнем случае жертвой Pegasus стала журналистка Хадиджа Исмаилова — её считают одной из главных расследовательниц в стране. Она провела в тюрьме полтора года из-за обвинений в уклонении от уплаты налогов и растрате, хотя правозащитники называли дело сфабрикованным.

Расследование журналистов о Pegasus основано на списке как минимум из 50 тысяч телефонных номеров, оказавшихся в базе слежки. The Washington Post удалось распознать из перечня лишь около тысячи человек: они оказались активистами, оппозиционерами и журналистами СМИ Венгрии, Азербайджана, Казахстана, Индии, Израиля, Бахрейна, Мексики, Марокко, Руанды, Саудовской Аравии или ОАЭ.

В списке также обнаружили крупных бизнесменов и топ-менеджеров, членов королевских семей арабских стран, как минимум 85 правозащитников и более 600 политиков. Среди целей программы оказались в том числе и близкие убитого в консульстве Саудовской Аравии активиста Джамаля Хашукджи — жена и невеста.

Журналистам удалось подтвердить по меньшей мере 37 случаев взлома смартфонов с помощью Pegasus. Для этого они осмотрели 67 смартфонов, владельцы которых были в списке — на 23 обнаружили следы программы, а на 14 нашли следы проникновения.

На официальном сайте израильской компании говорится, что она проводит «киберразведку в интересах глобальной безопасности». Один из основных продуктов NSO Group — комплекс Pegasus, позволяющий тайно и удалённо получать доступ к данным на смартфонах.

NSO Group — одна из многих компаний, которые в Израиле основали бывшие военные, ушедшие в отставку. У истоков фирмы стоят выходцы из подразделения 8200, которое занимается электронной разведкой — они изначально собирались создать программу для удалённого взлома устройств. По задумке основателей NSO Group, разработка помогла бы властям бороться с терроризмом и преступностью.

Формально её разработали для борьбы с преступностью, а компания утверждает, что продаёт лицензии на ПО властям разных стран лишь в исключительных случаях после одобрения израильского правительства. Официально среди клиентов как минимум 60 силовых структур из 40 государств, но какие именно — в NSO Group не уточняют.

По данным журналистов, одним из самых крупных клиентов выступает Мексика — на неё приходится 15 тысяч телефонных номеров из 50 тысяч, попавших к журналистам. В списке целей политики, представители профсоюзов, журналисты и оппозиционеры. Другим крупным заказчиком выступает Индия — на неё приходятся сотни номеров.

Как минимум несколько десятков раз слежку заказывали власти Венгрии: они взломали смартфоны адвокатов, оппозиционеров и пятерых журналистов. К примеру, смартфон репортёра Сабольча Паньи инфицировали неоднократно, причём примерно в то же время, когда он направлял запросы чиновникам о чувствительных темах.

Про Pegasus впервые стало известно в 2016 году: тогда журналист Ахмед Мансур получил подозрительную ссылку по sms-сообщению и связался с экспертами из Citizen Lab. Они выяснили, что за ссылкой спрятался вредоносный код, который позволял удалённо взломать iPhone при помощи комбинации уязвимостей «нулевого дня» — это позволяло получить полный доступ к функциям и памяти устройства.

В 2018 году исследователи зафиксировали следы Pegasus уже в 45 странах от Мексики до Индии. А через год NSO Group стала фигурантом скандала из-за Facebook: разработчики WhatsApp узнали об уязвимости, которую эксплуатировала компания и обратились в суд. Баг в коде позволял позвонить жертве и установить шпионскую программу, даже если пользователь не снимал трубку. Суд ни к чему не привёл, зато выяснилось, что Facebook и сама хотела приобрести доступ к Pegasus.

Точный механизм работы программы остаётся в секрете, к тому же, методы постоянно меняются. Pegasus позволяет получить полный доступ к устройству удалённо и без следов: можно просматривать переписки, получать местоположение, включать камеру или микрофон.

В NSO Group используют незадокументированные уязвимости iOS и Android, которые позволяют взламывать айфоны даже с последними обновлениями и без участия жертвы — не нужно открывать ссылки или вводить пароли. В Amnesty International предполагают, что для этого используют уязвимости приложений, но удалось подтвердить лишь баг в мессенджере iMessage, который установлен по умолчанию на всех iPhone.

Во время расследования исследователи использовали сразу несколько 0-day-уязвимостей и взломали iPhone 12 с последней на тот момент iOS 14.6 без ведома пользователя. Для векторов атаки использовали парсеры JPG и GIF, а также другие методики.

До расследования в NSO Group утверждали, что предоставляют права на технологию только «в исключительных случаях после согласования с израильским правительством». Формально это действительно так: экспорт технологий контролирует Минобороны страны, но ведомство не слишком пристально регулирует стартапы.

После публикации расследования в NSO Group назвали число жертв в 50 тысяч человек «преувеличенным», а выводы «некорректными». Юристы фирмы заявили, что базу номеров могли собрать при помощи несвязанных с Pegasus технологий.

На своём сайте представители компании высказались более резко. Они назвали источники расследования недостоверными, а данные — «далёкими от реальности». В NSO Group подчеркнули, что не имеют отношения к убийству Джамаля Хашукджи, а также не хранят никаких данных на своих серверах.

В Apple заявили, что считают свои устройства самыми защищёнными на потребительском рынке и подчеркнули прицельный характер атак. По мнению представителей компании, они не могут затронуть массовую аудиторию, но с уязвимостями продолжат бороться.

В Amazon остановили и заблокировали работу аккаунта NSO Group на своём облачном хостинге без формальной причины. При этом компания может обратиться к услугам любого другого провайдера: сервера использовали лишь для передачи контента.

Исследователи Amnesty International опубликовали инструмент для проверки своего смартфона на заражение Pegasus. Программа работает на iOS и Android и пока что позволяет обнаружить следы проникновения шпионской программы.

Эдвард Сноуден в разговоре с The Guardian призвал запретить торговлю шпионским ПО глобально и на законодательном уровне. По его мнению, это сравнимо с продажей оружия массового поражения, поэтому странам стоит отказаться от этой практики.

#разборы #шпионаж #спецслужбы #pegasus