"Це буревій, який не зупинити", – коментує новий шпигунський скандал експерт з інформаційних технологій Дмитро Золотухін і прогнозує йому довгу історію. Програмне забезпечення ізраїльської NSO Group використовувалося для стеження за активістами, політиками та правозахисниками у всьому світі, стверджують журналісти 17 видань. За їхніми даними, проєкт Pegasus став улюбленою зброєю репресивних урядів для придушення інакомислення та боротьби з політичними опонентами. Що потрібно знати про новий міжнародний скандал, як працює Pegasus і чи можна від нього захиститися, – в розборі LIGA.net.

ЩО СТАЛОСЯ. 18 липня вийшло спільне розслідування 17 журналістських організацій на чолі з французькою Forbidden Stories. Згідно з ним, спецслужби щонайменше 10 країн використовували для стеження за політиками, журналістами та активістами програмне забезпечення Pegasus, розроблене ізраїльською компанією NSO Group.

Читайте нас в Telegram: перевірені факти, тільки важливе

Технологія дозволяє отримати повний доступ до повідомлень телефону, електронної пошти, мультимедіа, мікрофона, камери, дзвінків і контактів. У списку потенційних цілей для стеження – понад 50 000 осіб, стверджують автори.

Невідомо, чи за всіма номерами велося стеження, проте журналістам, за їхніми заявами, вдалося ідентифікувати близько тисячі власників номерів з 50 країн. Серед них були правозахисники, опозиційні політики, журналісти, адвокати, підприємці, а також чиновники.

ХТО ПІД НАГЛЯДОМ. Велика частина номерів зі списку зосереджена в 10 країнах: Азербайджані, Бахрейні, Угорщині, Індії, Казахстані, Мексиці, Марокко, ОАЕ, Руанді та Саудівській Аравії. Найбільше записів до списку – понад 15 000 – внесли представники Мексики, де Pegasus придбали кілька державних відомств.

Одним із перших злом свого iPhone виявив Білл Маршак, старший науковий співробітник організації Сitizen Lab при Університеті Торонто. Він розповів BBC, як це працює:

"Спочатку користувач iPhone, щоб потрапити під прослуховування, мав клікнути на підкинутий йому лінк, щоб запустити злом, але тепер і цього не потрібно. Ви не робите взагалі нічого, ваш телефон лежить на столі, але будь-якої миті може бути зламаний".

Працівники індійської поліції затримують активістів, які протестують проти стеження Pegasus (фото – Хариш Тьягі/EPA)

До списку потрапили кілька тісних контактів Джамаля Хашоггі, журналіста Washington Post, якого вбили і розчленували саудівські оперативники у стамбульському консульстві країни 2018 року. Експертиза показала, що за нареченою Хашоггі, громадянкою Туреччини Хатідже Дженгіз, а також за його рідними і колегами спостерігали через розроблену NSO Group програму – як до, так і після його вбивства.

Читайте також наш спецпроєкт: Плащ і кинджал. Як дипломати стали шпигунами і вбивцями

У Мексиці телефон журналіста Сесіліо Пінеди з'явився у списку для відстеження лише за кілька тижнів до його вбивства 2017 року. Розслідування також виявило журналістів, які працюють на великі міжнародні ЗМІ, включно з Associated Press, CNN, The New York Times і Reuters, як потенційні жертви. Одним з найвідоміших у цьому списку був редактор The Financial Times Рула Халаф.

У списку потенційних цілей для стеження щонайменше 188 журналістів. Серед них Хадіджа Ісмаїлова, журналістка з Азербайджану, яка через свої публікації стала противником режиму президента Ільхама Алієва. Аналіз телефону Ісмаїлової показав, що з 2019 до 2021 року за нею постійно стежили за допомогою Pegasus: найчастіше програму активували через застосунок iMessage.

Жертвою злому також могли стати президент Франції Емманюель Макрон і засновник месенджера Telegram Павло Дуров.

Експерт з інформаційних технологій, заступник міністра інформполітики України (2017-2019 років) Дмитро Золотухін ставить під сумнів розслідування. "В якому місці можна знайти список з 50 000 номерів громадян 17 країн? Це неможливо. З погляду логіки закупівлі NSO Group не може знати, за якими об'єктами працює розвідка умовної Саудівської Аравії", – говорить він у коментарі LIGA.net.

Єдине пояснення: вся інформація акумулюється в одному місці, вважає Золотухін. "А якщо це так, то це означає, що в самих дистрибутивах є бекдори і всі дані зливаються назад ізраїльтянам. А це хрест на бізнесі не тільки компанії, але й на всій галузі", – пояснює експерт.

І це ще сильніше переконує мене в тому, що інформація з'явилася не просто так. Якщо ця інформація з однієї точки і вона релевантна, то це – політичне рішення. Витік не міг статися просто так, тому що він руйнує нацбезпеку Ізраїлю, – вважає Золотухін.

Міністерство оборони Ізраїлю стверджує, що не має доступу до інформації, яку збирають клієнти NSO Group. "Якщо з'ясується, що продукція NSO Group використовувалася з порушенням умов ліцензії або запевнень країн-покупців, ми змушені будемо вжити відповідних заходів", – цитує заяву Міноборони Ізраїлю BBC.

ІСТОРІЯ PEGASUS. NSO Group була заснована Шалевом Хуліо і Омрі Лаві – колишніми співробітниками Підрозділу 8200 – загону управління військової розвідки ізраїльської армії, відомого як АМАН.

2010-го року, за словами Хуліо, до них звернулися європейські спецслужби, зацікавлені у їхніх технологіях обходу шифрування. Вони залучили Ніва Кармі, співробітника розвідки Моссад, і створили NSO Group (Niv, Shalev і Omrie, скорочено NSO).

Розроблений ними інструмент, який назвали Pegasus, пропонував оперативне шпигунське рішення для спецслужб. За задумом, це мав бути інструмент для боротьби з усіма видами злочинності  – від тероризму та відмивання грошей до незаконного обігу наркотиків.

Президент Франції Макрон на нараді з питань нацбезпеки, де обговорювали Pegasus, 22 липня (фото – EPA)

Першою вотчиною компанії стала Мексика, яку на той час було укопмлектовано продуктами кібершпіонажу, насамперед для боротьби з незаконним обігом наркотиків. Сума контракту склала $32 млн.

2017-го року деталі контракту опублікувало місцеве новинне агентство, а його засновниця Кармен Арістегі заявила, що за кілька місяців до виходу матеріалу сама стала жертвою Pegasus.

За 10 років з моменту запуску прототипу Pegasus компанія стала ключовим гравцем у світі кіберстеження – і була куплена за $1 млрд європейською приватною інвестиційною компанією Novalpina. NSO Group може продавати свої шпигунські технології завдяки експортній ліцензії від Міністерства оборони Ізраїлю.

На думку авторів розслідування, найкращою ілюстрацією привілейованих відносин між Ізраїлем і NSO Group є контракт із Саудівською Аравією на $ 55 млн 2017 року. Тоді – і до цього дня – поїздка до Саудівської Аравії без належного дозволу для громадян Ізраїлю є злочином, що карається.

Ізраїльтяни продають як своїм, так і ворогам. Тому що це – бізнес. І питання не в тому, чи бере участь NSO Group в цій схемі. Pegasus – це зброя. Це те ж саме, якби ми зараз обговорювали автомати і танки, – зазначив Золотухін.

За словами Золотухіна, у президента РФ Володимира Путіна чудові відносини з принцем Саудівської Аравії Салманом. Тому він не виключає, що Росія могла взяти участь у закупівлі Pegasus.

У NSO Group відкидають інформацію про те, що їхні програми для стеження використовують не за призначенням, і ставлять під сумнів обґрунтованість отриманих журналістами даних. Представники фірми стверджують, що продають Pegasus урядам для боротьби зі злочинцями і терористами. За їхніми словами, програма рятує багато життів.

ЯК ЦЕ ПРАЦЮЄ. Як і багато приватних компаній, що випускають шпигунське ПЗ, NSO Group використовує уразливість "нульового дня" – раніше не виявлені недоліки в операційній системі, що дозволяють третім особам отримати доступ до пристроїв, наприклад, мобільних телефонів.

Приєднуйтесь до Instagram LIGA.net – тут тільки те, про що ви не можете не знати

У контракті, опублікованому агентством Арістегі, NSO Group хвалилася, що Pegasus пропонує новітні "SMS-інфекції" – повідомлення, що містять шкідливі посилання на шпигунське ПЗ, які можуть бути спеціально спроєктовані в залежності від жертви. Щойно жертва клікнула, телефон автоматично "інфіковувався".

Арістегі сама отримувала подібні повідомлення, зокрема про залишки на банківських рахунках, і ще одне, в якому йшлося, що хакерська група Anonymous намагалася вкрасти сайт її ЗМІ.

Колись хакерські атаки Pegasus вимагали активної участі жертви. Згодом громадськість стала краще інформована про цю тактику і краще здатна виявляти шкідливий спам. Потрібно було щось більш тонке.

Рішенням стало використання так званих "нульових кліків". Ці експлойти засновані на помилках у популярних застосунках, таких як iMessage, WhatsApp і FaceTime, які отримують і сортують дані, іноді з невідомих джерел.

Щойно вразливість виявлено, Pegasus може проникнути на пристрій, використовуючи протокол застосунку. Користувачеві не потрібно переходити за посиланням, читати повідомлення або відповідати на дзвінок – він може навіть не побачити пропущений виклик або повідомлення.

Крім "нульових кліків", клієнти NSO Group можуть також використовувати так звані "мережеві ін'єкції" для непомітного доступу до цільового пристрою. Якщо жертва натискає посилання на незахищеному сайті, програмне забезпечення NSO Group може отримати доступ до телефону і викликати "інфікування".

Однак цей метод складніший, оскільки використання мобільного телефону жертви має відстежуватися до моменту, коли його інтернет-трафік не буде захищено. Зазвичай це робиться через оператора мобільного зв'язку жертви, до якого деякі уряди можуть отримати доступ.

Водночас урядам значно важче переслідувати людей за межами їх юрисдикції. Експлойти з "нульовим кліком" не мають таких обмежень, що і робить їх популярними.

ЯК ЗАХИСТИТИСЯ ВІД ЗЛОМУ. На думку Золотухіна, захиститися від "нульового кліка" неможливо в принципі. "І мова не тільки про смартфони, а про всі девайси, де є IP-адреса. Єдина можливість з цим боротися – повертатися в середні віки і користуватися Nokia 3310 і думати, що твої розмови просто слухають спецслужби", – пояснює він.

Підписуйтесь на розсилки LIGA.net – тільки головне у вашій пошті

Комітет захисту журналістів опублікував рекомендації, які можуть допомогти мінімізувати ризик зараження.

Для захисту від атак "нульового дня" рекомендується зміняти дешеві телефони з функцією запису кожні кілька місяців. Також потрібно регулярно оновлювати операційну систему телефону, застосунки і браузери. Крім того, регулярно видаляти застосунки, які не використовуються.

Від "мережевої ін'єкції" має допомогти використання VPN як на телефоні, так і на комп'ютері. Водночас потрібно вивчити VPN-службу, щоб переконатися, що вона не зберігає дані про користувачів, зокрема історію браузера і дані для входу в систему, оскільки до них можуть отримати доступ уряди. Необхідно вибрати службу, що розташована за межами країни, в якій ви живете, з доброю репутацією у сфері конфіденційності.

Зловмисники створюють індивідуальні повідомлення, які надсилають певному журналісту. Ці повідомлення мають характер терміновості і містять посилання або документ, на які журналістові пропонується перейти.

Якщо посилання нібито веде на відомий сайт, ще раз потрібно перевірити, чи дійсно посилання веде на цей сайт. У деяких випадках це можна виявити: наприклад, на посиланні використовуються різні літери в різних наборах символів однакового вигляду. Зокрема, літера кирилиці "О" використовується для імітації латинської літери "O".

Якщо посилання має вигляд як скорочена URL-адреса, потрібно використовувати службу розширення URL-адрес, щоб виявити фактичне посилання, на яке вказує скорочена URL-адреса, перш ніж натискати на скорочене посилання.

Клаудіо Гварньєрі, глава Лабораторії безпеки Amnesty International радить розділяти інформацію. "У цьому разі, навіть якщо ваш телефон інфікують, втрати будуть мінімальними".

Читайте також: "Проєкт Pegasus". Орбан вів стеження за незалежними журналістами Угорщини – The Guardian