"Это ураган, который не остановить", – комментирует новый шпионский скандал эксперт по информационным технологиям Дмитрий Золотухин и прогнозирует ему долгую историю. Программное обеспечение израильской NSO Group использовалось для слежки за активистами, политиками и правозащитниками по всему миру, утверждают журналисты 17 изданий. По их данным, проект Pegasus стал излюбленным оружием репрессивных правительств для подавления инакомыслия и борьбы с политическими оппонентами. Что нужно знать о новом международном скандале, как работает Pegasus и можно ли от него защититься, – в разборе LIGA.net

ЧТО СЛУЧИЛОСЬ. 18 июля вышло совместное расследование 17 журналистских организаций во главе с французской Forbidden Stories. Согласно нему, спецслужбы как минимум 10 стран использовали для слежки за политиками, журналистами и активистами программное обеспечение Pegasus, разработанное израильской компанией NSO Group.

Читайте нас в Telegram: проверенные факты, только важное

Технология позволяет получить полный доступ к сообщениям телефона, электронной почте, мультимедиа, микрофону, камере, звонкам и контактам. В списке потенциальных целей для слежки — более 50 000 человек, утверждают авторы.

Неизвестно, за всеми ли номерами велась слежка, однако журналистам, по их заявлениям, удалось идентифицировать около тысячи владельцев номеров из 50 стран. Среди них были правозащитники, оппозиционные политики, журналисты, адвокаты, предприниматели, а также чиновники.

КТО ПОД НАБЛЮДЕНИЕМ. Большая часть номеров из списка сосредоточена в 10 странах: Азербайджане, Бахрейне, Венгрии, Индии, Казахстане, Мексике, Марокко, ОАЭ, Руанде и Саудовской Аравии. Больше всего записей в список — свыше 15 000 — внесли представители Мексики, где Pegasus купили несколько государственных ведомств.

Одним из первых взлом своего iPhone обнаружил Билл Маршак, старший научный сотрудник организации Сitizen Lab при Университете Торонто. Он рассказал BBC, как это работает:

"Сначала пользователь iPhone, чтобы попасть под прослушку, должен был кликнуть на подброшенный ему линк, чтобы запустить взлом, но теперь и этого не требуется. Вы не делаете вообще ничего, ваш телефон лежит на столе, но в любой момент может быть взломан".

Сотрудники индийской полиции задерживают активистов, протестующих против слежки Pegasus (фото – Хариш Тьяги/EPA)

В список попали несколько тесных контактов Джамаля Хашогги, журналиста Washington Post, которого убили и расчленили саудовские оперативники в стамбульском консульстве страны в 2018 году. Экспертиза показала, что за невестой Хашогги, гражданкой Турции Хатидже Дженгиз, а также его родными и коллегами следили через разработанную NSO Group программу — как до, так и после его убийства.

Читайте также наш спецпроект: Плащ и кинжал. Как дипломаты стали шпионами и убийцами

В Мексике телефон журналиста Сесилио Пинеды появился в списке для отслеживания всего за несколько недель до его убийства в 2017 году. Расследование также выявило журналистов, работающих на крупные международные СМИ, включая Associated Press, CNN, The New York Times и Reuters, в качестве потенциальных жертв. Одним из самых известных в этом списке был редактор The Financial Times Рула Халаф.

В списке потенциальных целей для слежки как минимум 188 журналистов. Среди них Хадиджа Исмаилова, журналистка-расследовательница из Азербайджана, которая из-за своих публикаций стала противником режима президента Ильхама Алиева. Анализ телефона Исмаиловой показал, что с 2019 по 2021 год за ней постоянно следили с помощью Pegasus: чаще всего программу активировали через приложение iMessage.

Жертвой взлома также могли стать президент Франции Эмманюэль Макрон и основатель мессенджера Telegram Павел Дуров.

Эксперт по информационным технологиям, замминистра информполитики Украины (2017-2019 годов) Дмитрий Золотухин ставит под сомнение расследование. "В каком месте можно найти список из 50 000 номеров граждан 17 стран? Это невозможно. С точки зрения логики закупки NSO Group не может знать, по каким объектам работает разведка условной Саудовской Аравии", – говорит он в комментарии LIGA.net.

Единственное объяснение: вся информация аккумулируется в одном месте, считает Золотухин. "А если это так, то это означает, что в самих дистрибутивах есть бэкдоры и все данные сливаются обратно израильтянам. А это крест на бизнесе не только компании, но и на всей отрасли", – объясняет эксперт.

И это еще сильнее убеждает меня в том, что информация появилась непросто так. Если эта информация из одной точки, и она релевантная, то это – политическое решение. Утечка не могла произойти просто так, потому что она обваливает нацбезопасность Израиля, – считает Золотухин.

Министерство обороны Израиля утверждает, что не имеет доступа к информации, которую собирают клиенты NSO Group. "Если обнаружится, что продукция NSO Group использовалась с нарушением условий лицензии или заверений стран-покупателей, мы примем соответствующие меры", – цитирует заявление Минобороны Израиля BBC. 

ИСТОРИЯ PEGASUS. NSO Group была основана Шалевом Хулио и Омри Лави – бывшими сотрудниками Подразделения 8200 – отряда управления военной разведки израильской армии, известного как АМАН.

В 2010-м году, по словам Хулио, к ним обратились европейские спецслужбы, заинтересованные в их технологиях обхода шифрования. Они привлекли Нива Карми, сотрудника разведки Моссада, и создали NSO Group (Niv, Shalev и Omrie, сокращенно NSO).

Разработанный ими инструмент, который они назвали Pegasus, предлагал оперативное шпионское решение для спецслужб. По задумке, это должен был быть инструмент для борьбы со всеми видами преступности -  от терроризма и отмывания денег до незаконного оборота наркотиков.

Президент Франции Макрон на совещании по вопросам нацбезопасности, где обсуждали Pegasus, 22 июля (фото – EPA)

Первой вотчиной компании стала Мексика, которая в то время оснащалась продуктами кибершпионажа в первую очередь для борьбы с незаконным оборотом наркотиков. Сумма контракта составила $32 млн.

В 2017-м детали контракта опубликовало местное новостное агентство, а его основательница Кармен Аристеги заявила, что за несколько месяцев до выхода материала сама стала целью Pegasus.

За 10 лет с момента запуска прототипа Pegasus компания стала ключевым игроком в мире киберслежки – и была куплена за $1 млрд европейской частной инвестиционной компанией Novalpina. NSO Group может продавать свои шпионские технологии благодаря экспортной лицензии от Министерства обороны Израиля.

По мнению авторов расследования, лучшей иллюстрацией привилегированных отношений между Израилем и NSO Group является контракт с Саудовской Аравией на $55 млн в 2017 году. В то время – и по сей день – поездка в Саудовскую Аравию без надлежащего разрешения для граждан Израиля является наказуемым преступлением.

Израильтяне продают как своим, так и врагам. Потому что это – бизнес. И вопрос не в том, участвует ли NSO Group в этой схеме. Pegasus – это оружие. Это тоже самое, если бы мы сейчас обсуждали автоматы и танки, – отметил Золотухин.

По словам Золотухина, у  президента РФ Владимира Путина отличные отношения с принцем Саудовской Аравии Салманом. Поэтому он не исключает, что Россия могла поучаствовать в закупке Pegasus.

В NSO Group отвергают информацию о том, что их программы для слежки используют не по назначению, и ставят под сомнение обоснованность полученных журналистами данных. Представители фирмы утверждают, что продают Pegasus правительствам для борьбы с преступниками и террористами. По их словам, программа спасает много жизней.

КАК ЭТО РАБОТАЕТ. Как и многие частные компании, выпускающие шпионское ПО, NSO Group использует уязвимости "нулевого дня" — ранее не выявленные недостатки в операционной системе, позволяющие третьим лицам получить доступ к устройствам, например, мобильным телефонам.

Присоединяйтесь к Instagram LIGA.net – здесь только то, о чем вы не можете не знать

В контракте, опубликованном агентством Аристеги, NSO Group хвасталась, что Pegasus предлагает новейшие "SMS-инфекции" – сообщения, содержащие вредоносные ссылки на шпионское ПО, которые могут быть специально спроектированы в зависимости от цели. Как только цель кликнула, телефон автоматически "заражался".

Аристеги сама получала подобные сообщения, в частности об остатках на банковских счетах, и еще одно, в котором говорилось, что хакерская группа Anonymous пыталась украсть сайт ее СМИ.

Когда-то хакерские атаки Pegasus требовали активного участия цели. Со временем общественность стала лучше осведомлена об этой тактике и лучше способна обнаруживать вредоносный спам. Требовалось что-то более тонкое.

Решением стало использование так называемых "нулевых кликов". Эти эксплойты основаны на ошибках в популярных приложениях, таких как iMessage, WhatsApp и FaceTime, которые получают и сортируют данные, иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus может проникнуть на устройство, используя протокол приложения. Пользователю не нужно переходить по ссылке, читать сообщение или отвечать на звонок – он может даже не увидеть пропущенный звонок или сообщение.

Помимо "нулевых кликов", клиенты NSO Group могут также использовать так называемые "сетевые инъекции" для незаметного доступа к целевому устройству. Если цель нажимает ссылку на незащищенном сайте, программное обеспечение NSO Group может получить доступ к телефону и вызвать заражение.

Однако этот метод сложнее, поскольку использование мобильного телефона жертвы должно отслеживаться до момента, когда его интернет-трафик не будет защищен. Обычно это делается через оператора мобильной связи жертвы, к которому некоторые правительства могут получить доступ.

В то же время правительствам значительно труднее преследовать людей за пределами их юрисдикции. Эксплойты с "нулевым кликом" не имеют таких ограничений, что и делает их популярными.

КАК ЗАЩИТИТЬСЯ ОТ ВЗЛОМА. По мнению Золотухина, защититься от "нулевого клика" невозможно в принципе. "И речь не только о смартфонах, а обо всех девайсах, где есть IP-адрес. Единственная возможность с этим бороться – возвращаться в средние века и пользоваться Nokia 3310 и думать, что твои разговоры просто слушают спецслужбы", – объясняет он.

Подписывайтесь на рассылки LIGA.net – только главное в вашей почте

Комитет защиты журналистов опубликовал рекомендации, которые могут помочь минимизировать риск заражения.

Для защиты от атак "нулевого дня" рекомендуется менять дешевые записывающие телефоны каждые несколько месяцев. Также нужно регулярно обновлять операционную систему телефона, приложения и браузеры. Кроме того, регулярно удалять приложения, которые не используются.

От "сетевой инъекции" должно помочь использование VPN как на телефоне, так и на компьютере. При этом нужно изучить VPN-службу, чтобы убедиться, что она не хранит данные о пользователях, в том числе историю браузера и данные для входа в систему, поскольку к ним могут получить доступ правительства. Необходимо выбрать службу, которая находится за пределами страны, в которой вы живете, с хорошей репутацией в области конфиденциальности.

Злоумышленники создают индивидуальные сообщения, которые отправляются определенному журналисту. Эти сообщения передают ощущение срочности и содержат ссылку или документ, на которые журналисту предлагается перейти.

Если ссылка якобы ведет на известный сайт, еще раз нужно проверить, действительно ли ссылка ведет на этот сайт. В некоторых случаях это можно обнаружить: например, в ссылке используются разные буквы в разных наборах символов, которые выглядят одинаково. В частности, буква кириллицы "О" используется для имитации латинской буквы "O".

Если ссылка выглядит сокращенным URL-адресом, нужно использовать службу расширения URL-адресов, чтобы выявить фактическую ссылку, на которую указывает сокращенный URL-адрес, прежде чем нажимать на сокращенную ссылку.

Клаудио Гварньери, глава Лаборатории безопасности Amnesty International советует разделять информацию. "В этом случае, даже если ваш телефон заразят, потери будут минимальными".

Читайте также: "Проект Pegasus". Орбан вел слежку за независимыми журналистами Венгрии – The Guardian