Журналисты Washington Post и других изданий в совместном расследовании выяснили, что шпионская программа Pegasus израильской компании NSO Group использовалась для взлома смартфонов, принадлежащих политикам, журналистам, активистам и бизнесменам по всему миру. Причем взламывали их не киберпреступники — а государства. И иногда такие атаки несли за собой тяжелые последствия.
Pegasus как минимум успешно использовалась для взлома смартфонов близких саудовского обозревателя Джамаля Хашогги. В 2018 году он умер после пыток в стамбульском консульстве Саудовской Аравии.В числе объектов для слежки также был мексиканский журналист Сесилио Пинеда Бирто. Через несколько недель после попадания в систему Pegasus он был застрелен на автомойке, а его телефон пропал.
Всего, по данным журналистов, объектами наблюдения могли стать около 50 тысяч номеров из 50 стран.
В числе клиентов NSO Group, согласно расследованию, были как минимум 10 стран — Мексика, Марокко, ОАЭ, Индия, Азербайджан, Венгрия, Бахрейн, Казахстан и Саудовская Аравия (России и Китая в этом списке нет, потому что они не вызвали доверия у основателей компании). В списке объектов для слежки — три президента, десять премьер-министров и один король, выяснила WP. Один из президентов — Эммануэль Макрон (в списке жертв еще целый ряд крупнейших французских политиков), а еще — главы Ирака и ЮАР, премьер-министры Пакистана, Египта и Марокко. Король тоже марокканский — Мухаммед VI.
Журналистов среди этих 50 тысяч меньшинство, однако в списке есть номера сотрудников CNN, Associated Press, Voice of America, New York Times, Wall Street Journal, Bloomberg News, Le Monde во Франции, Financial Times и даже Al Jazeera в Катаре.
Как это работает
Pegasus может взламывать смартфоны и получать доступ ко всему их содержимому: звонкам и сообщениям, отслеживать геолокацию, включать камеру и аудио и так далее. Чтобы получить программу на телефон, «цель» должна была всего лишь перейти по зараженной ссылке — но в последние годы не требовалось и этого, выяснили журналисты, смартфон получал невидимые пользователю сообщения, активирующие вирус.
Работало это одинаково эффективно и на Android, и на iOS. Для атаки использовались 0-day уязвимости — те, о которых сами разработчики операционных систем еще ничего не знают. Таким образом, хакерам удавалось быстро взламывать даже новейшие модели iPhone, сложности с разблокировкой которых возникали, например, у ФБР. В итоге атакующий получает доступ ко всем данным смартфона — включая переписки в защищенных шифрованием мессенджерах, например, Signal и Telegram. Расследование взломов еще идет, но вполне возможно, что используемые NSO уязвимости были и в последних версиях крупнейших операционных систем.
Хронология скандалов
Для многих история с Pegasus на этой неделе стала открытием, но на самом деле это далеко не первый громкий скандал вокруг софта от NSO Group. Летом 2016 года компания Lookout, занимающаяся кибербезопасностью, объявила, что израильская NSO смогла взломать тогдашнюю iOS и установить программу, перехватывающую все действия пользователя. Затем в 2017 году в использовании Pegasus для слежки свое правительство обвинили и мексиканские журналисты.
В 2019 году о Pegasus заговорили во всем мире: в мае того года выяснилось, что большая уязвимость в WhatsApp позволяла установить шпионское ПО на смартфон с помощью всего лишь одного звонка через мессенджер. Сотрудники израильской компании отрицали, что сами выбрали жертву, но не опровергали причастность их ПО к атаке. А в конце октября глава WhatsApp в колонке в The Washington Post обвинил NSO Group в причастности к взлому устройств минимум 100 правозащитников и активистов по всему миру.
В 2020 году история повторилась снова: журналисты телеканала Al Jazeera предъявили доказательства того, что они стали жертвами кибершпионажа. Согласно отчету Citizen Lab, хакеры использовали троянскую программу Kismet минимум против 37 журналистов издания.
Кто такие NSO Group
Создатели NSO Group — два израильских предпринимателя Омри Лави и Шалев Хулио. Свой бизнес они начали в конце 2000-х. Тогда двое двадцатилетних предпринимателей, которые раньше торговали мобильными телефонами, создали компанию CommuniTake, которая помогала операторам связи получать доступ к телефонам своих клиентов через СМС, чтобы устранять разные неполадки, пишет WP.
Но история NSO Group началась не с этого — а с внезапного запроса от правоохранительных органов одной из европейских стран. На встречу молодые предприниматели ехали с опаской, размышляя, не нарушили ли они чего-то, о чем не знали. Однако вместо обвинений им поступило неожиданное предложение: технологию израильтян можно использовать, чтобы спасать жизни, прослушивая телефоны террористов, педофилов и других преступников. Так, может быть, стоит сделать версию для государств?
Совет директоров CommuniTake смену курса не одобрил, и предприниматели решили уйти из компании и сделать новую. В итоге в декабре 2009 года была зарегистрирована NSO Group. Основатели, чтобы «спать по ночам», сразу же определили для себя три принципа работы, говорит один из них: выдавать лицензии только определенным государственным организациям, не иметь никакой информации о том, для чего используется их ПО, и получать на сделки одобрение минобороны Израиля. Кроме того, со всех своих клиентов компания брала подписку, что ее софт используется только против терроризма и только правоохранительными органами.
Первым клиентом компании через год после основания стала Мексика. Свой продукт основатели назвали Pegasus — потому что он был как троянский конь, только посланный по воздуху. После этого президент Мексики позвонил основателям в Рождество, чтобы поблагодарить за самый большой подарок мексиканскому народу — с помощью софта задержали крупного преступника (какого — не раскрывалось, но, скорее всего, речь о наркобароне Хоакине Гусмане Лоэре).
Но по-настоящему громко NSO прозвучала только летом 2016 года после отчета Lookout. Тогда индустрия действительно перепугалась. Во-первых, софт NSO задействовал целых три неизвестных до того времени уязвимости Apple. Во-вторых, 70% компании купила за $120 млн американская инвесткомпания Francisco Partners. Но в начале 2019 года, по данным The Times of Israel, основатели NSO Group выкупили контрольный пакет обратно. Для сделки компания была оценена примерно в $1 млрд.
NSO Group предлагает слежку класса люкс, писала в 2016 году The New York Times. Тогда установка шпионского ПО стоила $500 тысяч, а слежка за первыми 10 айфонами обходилась клиентам еще в $650 тысяч, еще 17% от стоимости продукта уходило на обслуживание. Бизнес оказался успешным. В 2018 году выручка компании составила $250 млн.
С первого года работы число клиентов NSO ежегодно удваивалось, а сама компания получила множество наград от израильских властей. Бизнес израильтян начал стремительно расти: за десять лет он дорос до компании со штатом в 750 человек с потенциальной оценкой в $2 млрд. В планах даже было IPO. Свою историю основатели преподносят, как историю успеха в духе стартапов из Кремниевой долины. Израиль же со временем завоевал себе репутацию государства с самой высокой концентрацией стартапов на душу населения. Однако эксперты считают, что вся история NSO, скорее, повествует о том, как маленькая страна стремится к тому, чтобы любыми средствами заполучить союзников во враждебном регионе, пишет WP.
Спасатели жизней
По словам основателей, утверждения о том, что выявленный журналистами список и софт NSO как-то связаны, — ложные. Компания все еще ведет собственное расследование, но если хотя бы один из подтвержденных журналистами взломов окажется настоящим, «мы как компания не выдержим этого». С таким заявлением один из основателей NSO Шалев Хулио выступил в понедельник. Но спустя несколько дней риторика несколько изменилась: нет смысла винить компанию в том, что делают ее клиенты, «критиковать нас — это все равно что критиковать производителей автомобилей за то, что пьяные водители разбиваются за рулем», заявили в NSO.
Некоторые клиенты NSO действительно злоупотребляли ее софтом — но это было в прошлом, уверен Хулио. После этого компания отключила пятерых своих клиентов, но каких именно — не раскрывает, потому что связана соглашениями о неразглашении (по словам источников WP, компания отключила Саудовскую Аравию, Дубай в Объединенных Арабских Эмиратах и некоторые госагентства в Мексике). «Мы создали эту компанию, чтобы спасать жизни, — заявил Хулио. — Но все, что мы слышим, это то, что мы нарушаем права человека, и это очень расстраивает, потому что лично мне известно, сколько жизней было спасено благодаря нашей технологии. Но я не могу об этом говорить публично».
По уверениям основателей, NSO не продает свой софт всем подряд — например, России и Китаю она давать доступ к Pegasus якобы не стала. Кроме того, с прошлого года компания требует от клиентов подписывать документ о соблюдении прав человека. Из-за этого основатели отказались от неназванной сделки на $300 млн.
«Если кто-то скажет, что нашел лучший способ ловить преступников, террористов и педофилов, я закрою эту компанию», — заявил Хулио. «Кто-то должен делать грязную работу», — вторит ему Омри Лави.
Почему это важно
Скандал с Pegasus уже называют главным событием года в мире IT. Правозащитники по всему миру бьют тревогу и призывают ввести мораторий на экспорт технологий для киберслежки, пока IT-отрасль не продемонстрирует, что способна уважать права человека.
На новый скандал стали отвечать и крупные IT-компании: Amazon, например, сообщил, что отключил NSO Group от обслуживания в своем облачном подразделении после того, как «узнал об этой деятельности». Это не мудрено, ведь за самим Джеффом Безосом тоже следили. Глава WhatsApp Уилл Кэткарт в Twitter написал, что софт NSO Group используется «для совершения ужасных преступлений против прав человека по всему миру и это необходимо остановить». Правительство Израиля тоже не осталось в стороне: власти создали оперативную группу, чтобы уладить скандал и разобраться с темой регулирования такой чувствительной сферы.
Хотя России среди стран-заказчиц NSO Group нет — по крайней мере, это следует из данных расследования — в списке целей для слежки журналисты нашли, например, Павла Дурова. Правда, речь идет о британском номере телефона, который был привязан к личному Telegram-аккаунту предпринимателя, а сделали это, скорее всего, власти ОАЭ, куда Дуров переехал в 2018 году. Кроме того, среди доменов, которые один из авторов расследования, Amnesty International, связал с NSO Group, были и похожие на домены из рунета — plata-shtraf.info, photo-afisha.net, или prikol-girls.com. С помощью перехода по таким ссылкам компания заражала телефоны в 2016–2018 годах.
Очередной скандал с NSO проливает свет на масштабную проблему: продажа софта для слежки правоохранительным органам, по сути, никак не регулируется и кому продавать, решает сама компания, руководствуясь собственными непрозрачными правилами (в духе, чтобы «спокойно спать по ночам»). Кроме того, NSO — не первый и не единственный игрок на этом рынке в одном только Израиле. Другой пример — компания Cellebrite, которая делает устройства и софт для взлома смартфонов и тоже продает их всем подряд, от Венесуэлы и Белоруссии до Саудовской Аравии, и тоже для «борьбы с терроризмом».
Чтобы отслеживать атаки в реальном времени и усложнить хакерам работу, исследователи просят Google и Apple предоставить более обширный доступ к своим операционным системам сторонним экспертам. Ну а пока нам остается только ждать следующего большого скандала c Pegasus или другим похожим софтом. И проверять свои смартфоны на следы взлома. Правда, простого способа это сделать нет.
Источник
Journal information