История NSO Group: как стартап по спасению жизней создал инструмент для слежки за бизнесменами, правозащитниками и СМИ
«Это ужасно, но такова цена ведения подобного бизнеса», — считает один из основателей компании.
Расследование злоупотреблений властей с использованием программ NSO Group получило название «Проект Pegasus» — по названию платформы для взлома смартфонов Изображение Forbidden Stories
Израильская компания NSO Group попала в центр международного скандала, когда журналисты двух десятков СМИ при поддержке Amnesty International выяснили, что с помощью программ компании власти ряда стран следили за оппозиционерами и независимыми журналистами. Всего в списке объектов слежки оказались 50 тысяч телефонных номеров, среди их владельцев — предприниматели и менеджеры компаний, десятки правозащитников и сотни политиков, включая президентов, министров и членов королевских семей.
Журналисты The Washington Post взяли объёмное интервью у основателей NSO Group Шалева Хулио и Омри Лави в попытке понять их отношение к происходящему и воссоздать историю компании. TJ публикует компиляцию самых значительных моментов вместе с данными из других источников.
Обычное детство и первый шаг в бизнесе
Шалев Хулио и Омри Лави подружились ещё в школе — особенно сильно они сблизились после поездки в Европу, где посетили с экскурсией концентрационные лагеря. Парни жили в портовом городе Хайфа и многие часы подряд проводили за компьютерными играми и в онлайн-чатах.
Шалев Хулио, один из основателей компании NSO Group Фото NSO Group
Друзья смотрели на компьютеры только как на источник развлечений и не пытались вникать глубже — например, освоить программирование. Когда подошло время армейской службы (в Израиле действует обязательный призыв для мужчин и женщин), Хулио и Лави попали в обычные, нетехнические войска. По словам Эдди Шалева, первого инвестора их будущей компании, парни «вообще не были компьютерщиками».
Непонятно, насколько точна эта информация: другие источники утверждают, что Шалев Хулио и Омри Лави служили в «Отряде 8200» — подразделении израильского Корпуса разведки, которое занимается взломами информационных систем. По некоторым оценкам, «Отряд 8200» сравним с Агентством национальной безопасности США по техническому уровню работы.
Омри Лави, один из основателей компании NSO Group Скриншот из видео CTech
Зато Хулио обладал «харизмой настоящего предпринимателя» и сразу после армии попытался основать собственное дело. Во время учёбы на юридическом факультете ему и Лави пришла в голову идея создать приложение, которое позволяло бы людям легко искать и покупать товары, мелькающие в телевизионных передачах. Друзья основали свой первый стартап MediAnd, но в 2008 году он обанкротился из-за мирового экономического кризиса.
Случайная подработка с серьёзными последствиями
После банкротства Лави устроился продавцом смартфонов Nokia и BlackBerry в киоске торгового центра. Понемногу он проникся проблемами обслуживания мобильных устройств и однажды пожаловался другу, насколько сложное это занятие — устанавливать обновления и чинить неполадки. Хулио увидел в этом деловую возможность.
Друзья основали компанию CommuniTake, которая упрощала обслуживание мобильных устройств. Работало это следующим образом.
В случае проблемы владелец смартфона обращался в CommuniTake и получал специальную ссылку по SMS. При нажатии на неё контроль над смартфоном переходил оператору компании, который чинил неисправность. По сути, это было настоящим взломом устройства с получением полного удалённого доступа — пусть и с разрешения владельца.
CommuniTake стала первым деловым успехом Хулио и Лави, клиентская база начала расти. В 2009 году двадцатилетние партнёры выехали в Европу на очередные переговоры с клиентом — и там их неожиданно посетили представители правоохранительных органов. Как признаются Хулио и Лави, поначалу они испугались и принялись вспоминать, что могли сделать не так.
Однако агенты обратились не с обвинениями, а с просьбой. Они сказали, что технология получения удалённого доступа через SMS уникальна и может быть полезна для спасения человеческих жизней. По словам агентов, смартфоны с их возможностями для шифрования переписки сделали бесполезными традиционные методы прослушки, но Хулио и Лави могут помочь властям, если адаптируют для них свою технологию.
Новый курс в новой компании
Разговор с агентами поразил друзей — они даже не подозревали, как далеко преступники оторвались от госорганов в гонке возможностей благодаря развитию технологий. Хулио и Лави направились в совет директоров CommuniTake и попытались убедить их сменить направление деятельности компании. Предложение высмеяли — с деловой точки зрения было безумием идти на такой трудный и непредсказуемый шаг, когда компания успешно развивалась. Идею пришлось оставить.
Несколько месяцев спустя Хулио участвовал в поисково-спасательной операции на Гаити после разрушительного землетрясения 2010 года. Вытаскивая тела из-под обломков зданий, он вспомнил слова агентов о спасении человеческих жизней.
Я подумал: если у нас есть что-то, что может спасти людей, то почему бы нам это не сделать? Момент настал.
Хулио снова попытался повлиять на совет директоров CommuniTake и снова потерпел неудачу. Тогда он убедил Лави покинуть успешную компанию и основать новую. Её первым офисом стал отремонтированный курятник в одном из киббуцев (израильская сельскохозяйственная коммуна с трудовым равенством и общим имуществом).
Шалев Хулио во время спасательной операции на Гаити Фото из личного архива Хулио
Вскоре после этого шага уверенность Хулио стала испаряться — он засомневался в самой возможности создать программу, которая могла бы удалённо давать полицейским полный доступ к смартфонам потенциальных преступников без ведома и согласия последних. Друзьям помогла случайная встреча.
Однажды в кафе их разговор о сложности удалённого взлома смартфонов услышали двое мужчин за соседним столиком. Незнакомцы сообщили, что у них есть друг-инженер, который работает в местном филиале Texas Instruments и наверняка может написать нужную программу. Поговорив с этим человеком по телефону, Хулио сразу же предложил ему работу с намного большей зарплатой, хотя на тот момент у него и Лави совсем не было денег.
Быстрый взлёт к успеху и скандалам
Нив Карми, бывший инженер Texas Instruments, стал третьим сооснователем компании, которая получила название NSO Group по первым буквам имён: Нив, Шалев (Shalev) и Омри. Вскоре в компанию пришли деньги — основатель венчурного фонда Genesis Partners Эдди Шалев и ещё несколько человек вложили в NSO Group полтора миллиона долларов.
Эдди Шалев, израильский инвестор Фото Globes
Через семь месяцев у компании была готова ранняя версия продукта, а в 2012 году правительство Мексики подписало с NSO Group контракт на 20 миллионов долларов. Программное обеспечение компании получило название Pegasus в честь крылатого коня из греческой мифологии — потому что эти программы были, по сути, «троянскими конями», но при этом перемещались по воздуху через мобильные сети.
Pegasus использует самые свежие и ещё не исправленные уязвимости в системах и приложениях iOS, BlackBerry и Android, чтобы взламывать смартфоны и получать контроль над ними. Владельцу устройства достаточно нажать на невинно выглядящую ссылку, а порой и этого не требуется — так, одна из уязвимостей в WhatsApp активировалась простым звонком, даже без ответа абонента.
В конце года основателям компании позвонил президент Мексики, чтобы поблагодарить за «самый большой рождественский подарок, который вы только могли сделать мексиканскому народу». Именно программы NSO Group помогли мексиканским властям выследить крупнейшего наркобарона Хоакина Гусмана по прозвищу «Коротышка» и задержать его (в 2019 году Гусмана приговорили в США к пожизненному заключению и конфискации имущества на сумму 12,6 миллиардов долларов).
Мексиканский наркобарон Хоакин Гусман во время задержания Фото Reuters
Количество клиентов NSO Group, по словам одного из бывших сотрудников, удваивалось ежегодно, но их точный список неизвестен. Об успехе компании можно судить по следующим цифрам: в 2014 году её с 50 сотрудниками в штате купил американский инвестиционный фонд за 130 миллионов долларов, а через три года NSO Group выставили на продажу более чем за миллиард долларов. К тому моменту в ней работали уже около 500 человек.
Сейчас штат NSO Group насчитывает 750 человек, а стоимость компании превышает 1,5 миллиарда долларов — и это несмотря на скандалы, которые начали её сопровождать с 2016 года. Тогда журналистам впервые стало известно, что правительства и спецслужбы используют Pegasus не только для борьбы с криминалом и терроризмом, но и для слежки за оппозиционерами, журналистами и гражданскими активистами.
Последнее расследование показало причастность программного обеспечения NSO Group ко взлому 37 смартфонов, которые принадлежали журналистам, правозащитникам, предпринимателям и двум женщинам, близких к убитому саудовскому журналисту Джамалю Хашукджи. Шалев Хулио, комментируя этот момент, заявил, что «если хотя бы часть обвинений окажется правдой — наша компания этого не выдержит».
«Кто-то должен делать грязную работу»
Ещё в 2010 году, до того как Нив Карми написал первую строчку кода для NSO Group, основатели приняли три правила работы компании, «чтобы можно было продолжать спокойно спать по ночам»:
- продавать программное обеспечение только государственным структурам, потому что частным лицам незачем иметь такие возможности для злоупотреблений;
- после продажи лицензии на программы NSO Group не будет иметь никакого доступа к данным, которые собирает заказчик;
- каждая сделка должна быть одобрена отделом экспортного контроля Министерства обороны Израиля.
Последнее правило Шалев Хулио назвал самым важным — и оно же самое необычное, потому что отдел экспортного контроля регулирует продажу оружия в другие страны, а программы вроде Pegasus получили статус оружия только в 2017 году после принятия Израилем соответствующего закона.
Второе правило утвердили согласно принципу «меньше знаешь — крепче спишь»: по твёрдому убеждению Хулио и Лави, компании совершенно незачем знать, над чем и как работают правоохранительные органы разных стран. Конечно, государства могут злоупотреблять слежкой, поэтому пользовательское соглашение NSO Group требует использовать Pegasus только для борьбы с преступностью и терроризмом.
Я хочу сказать одно: мы создали эту компанию, чтобы спасать жизни. На мой взгляд, люди крайне мало знают о том, что полиции и спецслужбам приходится делать каждый день, чтобы обеспечить элементарную безопасность для своих сограждан. Всё, что мы слышим — обвинения в нарушении прав человека, и это огорчает. Потому что я знаю, сколько жизней спасли наши технологии по всему миру, но не могу об этом рассказать.
Хулио признал, что некоторые заказчики злоупотребляли программным обеспечением компании, но это «было в прошлом». По его словам, после проверок NSO Group разорвала контракты с пятью клиентами за последние несколько лет, но назвать их он не может из-за соглашений о конфиденциальности.
Два неназванных источника The Washington Post сообщили, что Хулио говорил о Саудовской Аравии, ОАЭ и некоторых госструктурах Мексики. По их данным, NSO Group перестала работать с Саудовской Аравией после убийства журналиста Джамаля Хашукджи. В свою очередь, Хулио уверяет, что компания тщательно изучает информацию, добытую журналистами в ходе расследований, и не находит в ней связи со своей деятельностью.
Генеральный директор WhatsApp Уилл Кэткарт в интервью The Guardian подтвердил, что власти в 2019 году использовали программы NSO Group для взлома смартфонов 1400 человек, включая высокопоставленных чиновников из стран-союзников США. Атаки проходили через мессенджер WhatsApp, что стало причиной судебного иска к NSO Group в 2019 году.
Компанию критикуют не только правозащитники — некоторые представители сплочённого технологического сообщества Израиля заявили, что считают бизнес компании неэтичным. Её упрекают в производстве «наступательного кибернетического оружия» вместо того, чтобы сосредоточиться на защите людей от хакерских атак — как делает CommuniTake, которую Хулио и Лави когда-то основали.
Большая красная кнопка для пресечения злоупотреблений
Сейчас Шалев Хулио колеблется между защитой и раскаянием. С одной стороны, он говорит, что за большей частью нападок на его компанию стоят «враждебные Израилю силы», которые не утруждают себя логичностью обвинений. Например, NSO Group упрекают в сотрудничестве с властями Саудовской Аравии до убийства Хашукджи в 2018 году, но не видят ничего странного в том, что США продавали оружие этой стране вплоть до середины 2019 года.
Видимо, кто-то решил наступить нам на горло. В мире много компаний, которые занимаются киберразведкой, но все сосредоточились на израильтянах. Собрать такой коллектив журналистов со всего мира и подключить Amnesty International — похоже, здесь кто-то намеренно постарался. Я считаю, что это либо Катар, либо BDS, либо и те, и другие. В конце концов, это всегда одни и те же лица.
BDS — это глобальное движение за «бойкот, изоляцию и санкции», которое призывает «оказывать давление на Израиль, пока он не перестанет нарушать международное право в Палестине».
С другой стороны, Хулио уверяет в готовности разорвать контракт с любым клиентом, который «утратит доверие» со стороны компании. По его словам, NSO Group отказалась продавать свои продукты в 90 стран, включая Россию и Китай. С 2020 года компания требует от клиентов гарантий соблюдения прав человека, а в июне 2021 года опубликовала первый отчёт о прозрачности.
Также Хулио сообщил о наличии специальной программы, которая может мгновенно отключить Pegasus определённому клиенту-нарушителю условий договора.
Основатели компании уверены, что кибербезопасность должен регулировать глобальный орган — тогда злоупотреблений программами вроде Pegasus было бы меньше. Израильское правительство тоже должно сыграть роль: например, оно могло бы запретить экспорт любых технологий в страны, которые нарушают условия NSO Group. Но в целом, по мнению Хулио и Лави, компания служит благим целям.
Если кто-то предложит более эффективный способ ловить террористов и педофилов — я полностью отключу Pegasus и закрою компанию.
Злоупотребления властей и нападения на журналистов — это ужасно… но такова цена ведения подобного бизнеса. Наши технологии помогают справиться с худшими явлениями этой планеты. Кто-то должен делать грязную работу.
22 июля NSO Group заявила в официальном пресс-релизе, что прекращает отвечать на вопросы о неправомерном использовании Pegasus и «не будет подыгрывать порочной и клеветнической кампании». Компания «продолжит свою миссию по спасению жизней, помогая правительствам во всём мире предотвращать террористические атаки, разрушать сети педофилии и незаконного оборота наркотиков».
#безопасность #взломы #шпионаж #спецслужбы #pegasus