Хакерская программа Pegasus, созданная для слежки за террористами и опасными преступниками, оказалась опасным оружием: по всему миру спецслужбы начали использовать ее против политических оппонентов, обычных граждан и высокопоставленных лиц — об этом сообщается в расследовании, проведенном Amnesty International и рядом журналистских объединений. Технология взлома основана на уязвимостях нулевого дня: жертвы даже не замечали, что кто-то получал доступ к их данным. Защититься было невозможно — не помогали ни специальные программы, ни запрет на доступ к камере, геолокации и микрофону. Любые следы взлома самоуничтожались. Как продукт израильской компании NSO Group сделал президентов и премьер-министров жертвами слежки и почему мир стоит на пороге глобального кибершпионского скандала — в материале далее.
Всевидящий Пегас
Вредоносное программное обеспечение Pegasus изначально предназначено для взлома устройств на Android и iOS: предполагалось, что с его помощью правоохранительные органы незаметно смогут следить за преступниками. Мощная программа позволяет получить доступ к абсолютно всей информации, хранящейся на скомпрометированном гаджете, и даже самовольно включать микрофон и камеру. Клиентами NSO Group, производящей ПО, были многие государства.
Некоторое время назад Amnesty International и некоммерческая журналистская организация Forbidden Stories получили доступ к утекшей базе, состоявшей из 50 тысяч телефонных номеров, за владельцами которых следили покупатели Pegasus. В числе клиентов израильской компании — власти Бахрейна, Марокко, Саудовской Аравии, Индии, Мексики, ОАЭ, Того и других стран. География использования программы от NSO Group масштабна: от Венгрии до Руанды, от Мексики до Катара, — везде можно обнаружить жертв слежки. Среди них — правозащитники, политики, журналисты, бизнесмены и даже главы государств.
Гражданские активисты уже давно утверждают, что ПО может использоваться вовсе не во благо общества. Эта утечка впервые позволила понять, в каких масштабах Pegasus применялся против мирного населения, хотя NSO Group и продолжала настаивать на том, что программу используют исключительно для слежки за террористами и опасными преступниками. «Цифры наглядно показывают, что широко распространены злоупотребления, которые подвергают опасности жизни журналистов, их семей и близких, подрывают свободу прессы и приводят к закрытию критически важных СМИ», — комментирует генеральный секретарь Amnesty International Агнес Калламард (Agnes Callamard). По ее словам, речь идет о контроле над повесткой и подавлении любого несогласного.
Так, тщательный анализ показал, что жертвами шпионажа стали по меньшей мере 180 журналистов из 20 стран, в том числе репортеры, редакторы и руководители Associated Press, Reuters, CNN, Financial Times, The Economist, The New York Times, France 24. Доподлинно известно, что некоторые журналисты, подвергавшиеся слежке, получали угрозы. Некоторых из них арестовали, другим пришлось бежать из своей страны из-за преследований, — однако, как оказалось, даже это не помогло им скрыться от наблюдения. С Pegasus связаны и имена нескольких убитых сотрудников СМИ: так, с помощью этого ПО пытались шпионить за близкими саудовского журналиста Джемаля Хашукджи (Jamal Khashoggi), жестоко убитого в октябре 2018 года. В списке потенциальных жертв слежки был найден и номер мексиканского журналиста Сесилио Пинеды Бирто (Cecilia Pineda Birto), убитого в 2017 году (его телефон, исследование которого помогло бы пролить свет на то, действительно ли для слежки за ним использовали израильское ПО, так и не был найден). В докладе Forbidden Stories утверждается: нынешние разоблачения доказывают, что технология NSO Group стала ключевым инструментом в руках репрессивных правительственных структур и спецслужб.
Узнать, успешно ли были скомпрометированы все телефоны, указанные в утекшей базе, можно только при наличии этих устройств. Тем не менее исследователям удалось провести экспертизу нескольких гаджетов. Выяснилось, что только за прошедший месяц злоумышленники заразили 67 iPhone. Шпионская программа для этого использовала уязвимость нулевого дня — то есть дефект в безопасности, который не был выявлен на этапе тестирования.
Forbidden Stories удалось связаться с несколькими жертвами заражения. Среди них — известный венгерский журналист-расследователь Сабольч Паньи (Szabolcs Panyi). Он освещал в основном международную повестку и писал об обороноспособности государств. Журналист имел тысячи знакомых и спикеров во многих странах, включая Соединенные Штаты Америки. К тому же ранее он обучался в США по стипендии Фулбрайта — предполагается, что это могло вызывать недоверие к нему со стороны спецслужб, опасающихся влияния США на Венгрию. Экспертиза показала, что телефон Паньи был успешно взломан в 2019 году. «В этой стране есть люди, которые считают обычного журналиста таким же опасным, как человека, подозреваемого в терроризме», — заявил он Forbidden Stories.
Техника небезопасности
Впервые о Pegasus стало широко известно в мае 2019 года, после резонансной публикации в Financial Times. Издание выяснило, что некие хакеры взламывали телефоны пользователей через мессенджер WhatsApp. Злоумышленники звонили жертве через приложение и таким образом внедряли опасное ПО через брешь в защите программы. Заражение происходило даже в том случае, если юзер не брал трубку. Заметить установку было практически невозможно, данные о звонке немедленно стирались. Тогда руководство NSO Group заявило, что их программа используется исключительно специальными государственными службами для борьбы с террористическими организациями, и пообещало провести собственное расследование произошедшего. WhatsApp пришлось выпустить обновление программы и просить всех пользователей установить его — тогда аудитория мессенджера насчитывала более полутора миллиарда человек.
Нынешнее расследование Amnesty International доказывает, что с тех пор технологии внедрения шагнули далеко вперед. Оно стало еще изящнее — теперь программе не нужны никакие звонки. На телефон жертвы отправляется обычное сообщение (теперь злоумышленники могут использовать даже iMessage) со ссылкой. Никакого фишинга — жертве даже не нужно на нее кликать, достаточно просто прочесть послание. Далее шпионская программа полностью захватывает телефон: контакты и вызовы, фотографии и видеозаписи, СМС и сообщения во всех приложениях (включая защищенные программы), геолокация, микрофоны, данные о посещенных сайтах (даже через VPN), — доступ ко всему этому оказывается в руках атакующих. Более того, Pegasus дает им возможность в любой момент подключиться к гаджету и послушать, о чем говорит жертва и окружающие ее люди или подглядеть за ними через камеру.
«Это омерзительное программное обеспечение — прямо-таки весьма красноречиво пакостное», — заявил в интервью The Washington Post Тимоти Саммерс (Timothy Summers), бывший инженер по кибербезопасности американской спецслужбы, а ныне сотрудник Университета штата Аризона. По словам эксперта, с помощью этого ПО можно шпионить почти за всем населением планеты. «Нет ничего плохого в создании технологий, которые позволяют собирать данные; иногда это необходимо. Но человечество находится не на том этапе, когда мы можем обладать столь большой властью, запросто доступной кому угодно», — отметил он.
«NSO Group должна быть гораздо более разборчивой в том, кому она продает свои продукты и насколько тщательно следит за использованием своих шпионских программ клиентами. На данный момент неясно, есть ли у компании возможность и тем более желание сделать это», — добавила в разговоре с «Лентой.ру» Жозефина Вулфф (Josephine Wolff), доцент кафедры политики кибербезопасности в Университете Тафтса (США). В то же время эксперт признала, что программа может стать ценным инструментом для борьбы с преступностью и терроризмом. Неясно только, как можно ограничить использование Pegasus лишь этими функциями.
Pegasus был создан около десяти лет назад разработчиками, ранее занятыми в сфере правительственного кибершпионажа. Согласно ранним заявлениям NSO Group, чтобы правительство какой-либо страны могло купить программу, министерство обороны Израиля должно утвердить специальную лицензию. «Государство Израиль одобряет экспорт киберпродуктов исключительно государственным структурам для законного использования и только в целях предотвращения и расследования преступлений и борьбы с терроризмом», — заверили в израильском оборонном ведомстве. По словам представителя структуры, в случаях, когда экспортируемые товары используются в нарушение экспортных лицензий или сертификатов, принимаются меры.
Ответить всем
Спикеры NSO Group утверждают, что их клиенты — около шести десятков разведывательных, военных и правоохранительных органов в 40 странах. Однако ни одну страну и ни одну спецслужбу они не называют, объясняя свое молчание политикой конфиденциальности: они «не могут подтвердить или опровергнуть личности государственных заказчиков». Высокопоставленные клиенты, упомянутые в расследовании, либо отказались отвечать на вопросы журналистов, либо заявили, что не являются клиентами NSO Group.
Сама организация на все вопросы, заданные по следам скандала, ответила, что не имеет доступа к собираемым покупателями данным. В NSO также посчитали названное расследователями количество номеров, за которыми велась слежка, утрированным. По мнению представителей компании, такое большое количество жертв шпионского ПО — речь идет о 50 тысячах человек — доказывает только то, что на самом деле за ними следили не правительства. Более того, они заявили, что не имеют представления о конкретной разведывательной деятельности своих клиентов. «Даже элементарное понимание разведки с точки зрения здравого смысла приводит к выводу, что программа используется в основном для целей, отличных от наблюдения», — подчеркнули в NSO.
При этом в компании обратили внимание на то, что их технологии помогли в борьбе с группировками, занимавшимися наркотрафиком, вовлечением в проституцию и торговлей детьми. «Проще говоря, NSO Group выполняет миссию по спасению жизней. Компания продолжит добросовестно заниматься этим, несмотря на все попытки дискредитировать ее на ложных основаниях», — заявили в организации. Представители NSO Group добавили, что намерены отстаивать свое имя в суде: юрист, нанятый организацией, уже объявил, что журналисты неверно истолковали исходные данные.
В NSO отрицают и причастность к убийствам журналистов. От связи с убийством Джемаля Хашукджи компания пытается откреститься чуть ли не со дня трагедии, случившейся в 2018 году: администрация выпустила заявление о своей непричастности сразу же после происшествия.
Адвокат компании настаивает на том, что она непричастна и к убийству Сесилио Пинеды Бирто, застреленного в 2017 году на автомойке. По его словам, даже если за журналистом следили с помощью Pegasus, это не означает, что собранные данные каким-либо образом привели к его смерти. Юрист подчеркнул, что правительства могли обнаружить его местоположение другими способами. В то же время в базе номеров, владельцы которых могли стать жертвами слежки, мексиканских больше всего: 15 тысяч из 50 тысяч. Некоторые из них принадлежат критикующим правительство журналистам, профсоюзным активистам и оппозиционным политическим деятелям. В утекшей базе номеров контакты Пинеды встречаются дважды. Согласно рейтингам «Репортеров без границ», Мексика неоднократно входила в число самых опасных для журналистов стран.
Передовые цели
В последние дни скандал получил продолжение на самом высоком уровне. 20 июля французское издание Le Monde сообщило, что в списке потенциальных жертв Pegasus удалось обнаружить один из телефонных номеров президента Франции Эммануэля Макрона. Известно, что глава государства регулярно пользовался этим номером с 2017 года. Как сообщает СМИ, он мог стать жертвой кибершпионажа со стороны разведывательной службы Марокко. Также в числе преследуемых политиков Le Monde называет полтора десятка французских министров, в том числе бывшего премьера Эдуара Филиппа.
Накануне публикации резонансного материала власти опубликовали заявление, в котором отрицают какую-либо причастность к использованию Pegasus и отвергают «необоснованные и ложные утверждения». Президент Франции в ответ на это заявил, что если бы информация о слежке за ним была правдой, обвинения в адрес виновных были бы крайне серьезными. Чтобы проверить эту информацию, в стране проведут собственное расследование.
В список попал и основатель Telegram Павел Дуров. The Guardian сообщила, что злоумышленники могли попытаться взломать телефон предпринимателя в 2018 году. В списке жертв Pegasus обнаружился британский номер, который в течение нескольких лет был привязан к аккаунту Дурова в Telegram.
Согласно материалу The Washington Post, среди объектов шпионажа оказались также председатель Европейского совета Шарль Мишель, президент Ирака Бархам Салих и глава ЮАР Сирил Рамафоса, а также король Марокко и премьер-министры Пакистана и Египта — всего три президента, один монарх и 10 премьеров. Вероятно, государства запустят проверки и расследования по этим инцидентам.
Работа журналистов, исследующих базу, продолжается. Какие еще имена окажутся в списке жертв шпионского ПО, пока неизвестно. «Утверждение NSO, что следить за американскими телефонами невозможно, — это наглая ложь», — предупреждает бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден и добавляет, что код, использованный против одного телефона, может применяться и против любого другого устройства.
По материалам lenta.ru