Европрослушка
Как власти стран ЕС шпионят за оппозицией, прессой, бизнесом и коллегами из других государств
Оригинал этого материала© OCCRP, 04.09.2023
Партнеры OCCRP рассказали, какие шпионские программы европейские власти используют против своих граждан: наибольшей популярностью пользуется нашумевшее ПО Pegasus от израильской NSO Group.
В 2021 году вышел «Проект Pegasus» — коллективное расследование об израильской компании NSO Group, которая продает правительствам высокотехнологичную шпионскую программу
В основу «Проекта Pegasus» легла утечка более чем 50 тысяч телефонных номеров, которую получили некоммерческий журналистский проект Forbidden Stories и правозащитная организация Amnesty International. Расследование, в котором участвовало более восьми десятков журналистов из 17 СМИ, включая OCCRP, установило, что программу Pegasus использовали для слежки за журналистами, активистами, оппозиционными политиками и инакомыслящими.
При этом в израильской компании-разработчике NSO Group утверждают, что их программное обеспечение Pegasus, предназначенное для контроля мобильных телефонов, используют исключительно для борьбы с преступностью и терроризмом.
В утечку, которая легла в основу «Проекта Pegasus», попали 300 телефонных номеров из Венгрии — это первая европейская страна, где подтвердилось использование шпионского ПО
В утечку попали номера четырех венгерских журналистов, работавших на независимые СМИ. Экспертиза показала, что в июле 2021 года на телефон фотографа Даниэля Немета тайно установили Pegasus. Он был соавтором отмеченного наградами расследования Atlatszo (партнер OCCRP) о зарубежных активах венгерской правящей элиты, в том числе премьера Виктора Орбана.
В 2019 году телефон журналистки Бригитты Чикаш, которая тогда работала в Atlatszo, несколько раз взламывали с помощью Pegasus.
Среди жертв также оказались венгерские юристы, политики и бизнесмены, например, владелец медиакомпании Central Media Group.
Согласно недавнему расследованию Direkt36, покупку шпионской программы на закрытом собрании одобрил венгерский Комитет по вопросам нацбезопасности — отчеты об этой встрече засекречены до 2050 года.
По данным Atlatszo, Венгрия отказалась сотрудничать с комиссией Европарламента по вопросу неправомерного использования Pegasus, а в Национальном управлении по защите данных и свободе информации заявили, что власти действовали в рамках закона.
Венгерские спецслужбы, вероятно, использовали и другие шпионские программы для слежки за оппозиционерами
В 2013 году Atlatszo сообщил (на основе отчета CitizenLab и документов WikiLeaks), что венгерские спецслужбы применяют шпионскую программу Finfisher, которую обычно используют против политических оппонентов и НПО.
В 2015 году утечка из итальянской компании — производителя шпионского ПО Hacking Team раскрыла, что Венгрия пользовалась ее услугами с 2008 года и заплатила за это почти два миллиона евро.
По данным Atlatszo, в 2017–2018 годах венгерские власти при поддержке частной израильской разведывательной компании Black Cube организовали кампанию по дискредитации венгерских НПО и активистов в преддверии президентских выборов.
Польское правительство купило Pegasus в 2017 году и применяло программу против критиков власти
Польские спецслужбы в 2017 году заплатили восемь миллионов евро за Pegasus — счет NSO Group выставило подконтрольное правительству Центральное антикоррупционное бюро.
По данным CitizenLab и Associated Press, шпионское ПО использовали против юриста Романа Гертыча, одного из главных критиков правящей партии, и прокурора Евы Вжосек. Телефон Кшиштофа Брейзы — сенатора из оппозиционной Гражданской коалиции — взламывали 37 раз.
Анализ CitizenLab показал, что польские власти использовали Pegasus против членов Верховной контрольной палаты, которая мониторит правительство, лидера агропромышленной организации Михала Колодзейчака, а также бизнесменов Адама Хофмана и Мариуша Антония Каминьского.
Как сообщает CitizenLab, в Польше также использовали шпионскую программу Predator, которую разработала компания в Северной Македонии (она связана с лицами из израильской разведки).
В июле 2022 года выяснилось, что Predator применяли для слежки за журналистами и оппозиционными политиками в Греции. Как передает frontstory.pl, следственная комиссия выяснила, что за поставкой греческому правительству шпионского ПО стоят два бизнесмена, а также польский юрист и предприниматель Станислав Пельчар.
В использовании шпионского ПО уличили также румынское правительство
По данным Atlatszo, в 2016 году выяснилось, что за генпрокурором Национального антикоррупционного управления Румынии следила Black Cube — компания, которую основали бывшие агенты израильской разведки. Разобраться в произошедшем поручили специальной комиссии (PEGA), которая расследует случаи использования шпионских программ в ЕС (в PEGA говорят, что европейские правительства не сотрудничают со следствием, хотя шпионские программы применяют во всех странах — участницах союза).
В 2015 году Rise Project сообщил, что Hacking Team — итальянский производитель шпионского ПО — связан с рядом румынских спецслужб и компаний.
В Европарламенте считают, что чешские власти купили Pegasus у NSO Group
Чешские СМИ сообщают, что правительство купило программу Pegasus — так же считает специальная комиссия Европарламента.
Советник по вопросам нацбезопасности Томаш Пояр на вопрос о том, кто может гарантировать, что шпионские программы вроде Pegasus не станут использовать против активистов и журналистов, ответил investigace.cz, что в Чехии уважают закон.
При этом в Праге ежегодно проходит конференция ISS World Europe, посвященная киберпреступности и слежке; в 2021 году мероприятия спонсировала NSO Group.
Словацкие спецслужбы, вероятно, используют шпионскую программу FinFisher
По данным WikiLeaks, в 2014 году власти Словакии приобрели программу FinFisher у Gamma Group.
Согласно доступной через WikiLeaks утечке писем итальянской компании Hacking Team, Словакия также интересовалась ПО Galileo.
В этом году Европарламент подтвердил, что страна использует FinFisher, хотя власти это отрицают.
В Информационной службе Словакии (SIS) отказались дать комментарии относительно возможного применения властями Pegasus, сославшись на юридические ограничения на разглашение данных.
Болгарские спецслужбы давно применяют шпионские программы, в том числе для слежки за политиками
О том, что болгарские спецслужбы используют FinFisher и FinSpy, известно давно. По данным Bivol, они пытались купить еще одну шпионскую программу у Hacking Team, но сделка сорвалась.
В 2013 году в стране разгорелся скандал, когда выяснилось, что IMSI-перехватчики, которые МВД приобрело на деньги ЕС, используют для слежки за политиками. Прокуратура предъявила обвинения трем лицам, но позже информация о деле исчезла из официальных источников.
По последним данным, в Болгарии работала израильская компания Circles, которая поставляет инструменты для взлома сети GSM (NSO Group купила Circles).
Точно неизвестно, использовали ли болгарские власти Pegasus (расследование продолжается), однако внутренние источники подтверждают, что программа имеется в распоряжении у МВД.
© OCCRP, 20.07.2021, Фото: Reuters, via OCCRP
В списке потенциальных целей Pegasus — президент Франции Макрон, король Марокко Мухаммед, президент Казахстана Токаев
Пит Джонс, Вячеслав Абрамов, Миранда Патручич
14 политических лидеров Европы, Африки, Азии и Ближнего Востока в пору руководства своими странами, очевидно, попали в список целей программы-шпиона Pegasus компании NSO Group. При этом проверка позволяет утверждать, что в нескольких случаях инструменты слежки были в руках структур их собственных государств.
Данные из расследования о программе Pegasus израильской NSO Group — производителя шпионского программного обеспечения — говорят о том, что более дюжины действующих, бывших и будущих руководителей стран наметили как потенциальные цели для слежки через эту программу.
В полученном журналистами обширном списке таких целей помимо рядовых министров, дипломатов и чиновников нашлись премьер-министры, президенты и даже марокканский монарх Мухаммед VI.
В заявлении для журналистов проекта Pegasus представители NSO Group утверждали, что перечень телефонных номеров «не представляет собой списка целей или потенциальных целей, намеченных клиентами NSO». По словам представителей компании, Эмманюэль Макрон и король Мухаммед VI «не выступают и никогда не выступали в качестве целей или выбранных целей для приобретателей систем NSO Group».
Проект Pegasus — совместная работа более 80 журналистов 17 СМИ, включая OCCRP. Координатором проекта была французская журналистская НКО Forbidden Stories. Телефоны глав государств удалось установить и подтвердить журналистам среди сведений из попавшего к ним списка, в котором более 50 тысяч телефонных номеров примерно в 50 странах. Есть твердое мнение, что в списке номера тех, кого выбрали для наблюдения заказчики программы от NSO Group.
Экспертный технический анализ подтверждает выводы проекта Pegasus
Хотя нет прямых доказательств, веские косвенные улики указывают на то, что в утекшем к журналистам списке люди, которых официальные структуры — пользователи ПО Pegasus наметили для цифровой слежки.
Техническая проверка десятков телефонов с номерами из списка подтвердила, что их заразили шпионским софтом Pegasus. Дополнительным аргументом служат материалы суда по иску платформы WhatsApp к NSO. В них есть данные, пересекающиеся с журналистскими, хронология, привязанная к происходившим в мире событиям, и сведения от массы источников, передавших инсайды о NSO Group.
Ввиду высокого политического положения руководителей государств журналисты не смогли провести техническую экспертизу их телефонов.
Для заражения телефона программой Pegasus не требуется, чтобы его хозяин кликнул на ссылку, прочел сообщение или ответил на звонок. Когда Pegasus установлена, она может извлекать из устройства разные данные — переписку, контакты, журналы звонков и прочее. Шпионская программа может даже включать микрофоны и камеры и незаметно вести аудио- и видеозапись.
«Государства, которые закупают такое ПО, не делают различий между целями, — считает Нейт Шенккан, директор направления исследования стратегий в американской правозащитной организации Freedom House. — Они просто используют его как им вздумается».
«Руководители, политики, чиновники — каждому приходится использовать какое-то устройство для связи. И если вы позволяете людям покупать и продавать технические средства, чтобы внедряться в эти устройства в любой точке мира… вы в конечном итоге провоцируете ситуацию, когда у каждого человека гаджет будет взломан или заражен».
Очередность выбора
Среди крупных политиков в упомянутом списке фигурируют нынешний президент Казахстана Касым-Жомарт Токаев и глава правительства Аскар Мамин. В списке оказался и телефон Бахытжана Сагинтаева, который был казахстанским премьером до февраля 2019 года.
Исходя из группирования казахстанских номеров в списке и более ранних данных об использовании в республике ПО Pegasus, журналисты проекта «Пегас» сделали вывод, что эта система цифровой слежки наверняка была в руках казахстанских госорганов.
Телефоны этих чиновников выбрали в 2017—2018 годах; тогда Токаев еще не занимал пост президента. Он был человеком номер два в тени бессменного лидера республики Нурсултана Назарбаева. Внушительный политический тяжеловес, пришедший к власти еще в 1991 году, Назарбаев президентствовал в Казахстане почти три десятка лет до ухода с поста в 2019 году. Однако в отставке он не ушел на покой.
Назарбаев в большой степени продолжает контролировать республику, ему принадлежит титул Елбасы, или Лидер нации. Он председатель Совета безопасности страны и глава правящей партии «Нур Отан». Ему гарантирован иммунитет от преследования, и он по-прежнему определяет вопросы обороны и безопасности.
Назарбаев лично выбрал Токаева себе на замену в марте 2019 года. «Я верю, что Токаев — именно тот человек, кому мы можем доверить управление Казахстаном», — сказал тогда Назарбаев. Он также сменил Сагинтаева на Мамина во главе правительства.
Заняв президентское кресло, Токаев попытался завоевать репутацию реформиста, однако остался абсолютно лоялен к предшественнику. Технократ Мамин не известен сколько-нибудь серьезными амбициями и практически не представляет угрозы для сохраняющего влияние Назарбаева.
Акцент на внутренних делах
Похожую ситуацию журналисты проекта Pegasus отследили в Мексике, где десятки людей, близких к нынешнему президенту Андресу Мануэлю Лопесу Обрадору, оказались среди потенциальных целей для внедрения шпионского ПО Pegasus. Произошло это до выборов, которые в итоге выиграл Обрадор.
Телефоны родственников Обрадора «брали на заметку» в течение двух лет, до выборов 2018 года. Также выбрали номера его кардиолога, главы пресс-службы, консультанта по международным вопросам и даже его бывшего водителя. Всего в список попали телефоны 26 человек из близкого окружения Лопеса Обрадора. Наиболее вероятным оператором шпионского софта Pegasus в данном случае было само мексиканское государство.
«Сейчас мы узнаём, что они шпионили и за моей женой, и за моими сыновьями, и даже за моим доктором, — сказал Лопес Обрадор перед журналистами. — Помимо вопроса самой слежки представьте, сколько она стоила! Сколько денег они потратили на эту слежку?»
Утечки частных бесед между родственниками Лопеса Обрадора и чиновниками партии Morena, видимо, должны были подорвать его избирательную кампанию. Так в явной попытке пошатнуть антикоррупционную платформу Обрадора кто-то записал и слил предполагаемый телефонный разговор между его сыном Андресом Мануэлем Лопесом Бельтраном и генсеком партии Йедколь Полевнски, в котором они якобы обсуждали партийное финансирование.
В другой стране, Марокко, местные спецслужбы, по-видимому, «поставили на учет» телефонные номера в том числе первых лиц страны — премьер-министра Саадеддина Османи и самого короля Мухаммеда VI.
Дипломатия высоких ставок
Имеющиеся данные однозначно указывают на то, что телефонными номерами трех нынешних президентов — фигурантов проекта Pegasus — лидера Франции Макрона, Салеха (Ирак) и Рамафосы (ЮАР) — активно интересовались в иностранных государствах. Телефон Салеха числится среди множества номеров, связанных как с Саудовской Аравией, так и с ОАЭ. Номер Рамафосы — среди имеющих отношение к Руанде.
Премьер Пакистана Имран Хан и его египетский коллега Мустафа Мадбули — другие два действующих руководителя правительства (помимо Саадеддина Османи), чьи телефоны стали потенциальными целями ПО Pegasus. Наряду с Сагинтаевым в списке оказались еще шесть бывших глав кабинетов министров. Каждый из них был действующим премьером, когда их номера телефонов, вероятно, наметили для слежки. Это Эдуар Филипп (Франция), Саад Харири (Ливан), Нуреддин Бедуи (Алжир), Рухакана Ругунда (Уганда), Ахмед Обейд бин Дагр (Йемен) и Шарль Мишель (Бельгия). Телефон премьер-министра Бурунди Алена-Гийома Буньони, судя по всему, поставили «на контроль» в Руанде еще до того, как он возглавил правительство.
Данные из списка номеров указывают на такую связку потенциальных целей и вероятных операторов шпионского ПО: Индия наметила себе как цель Имрана Хана; Саудовская Аравия — Мустафу Мадбули; ОАЭ — Ахмеда бин Дагра; саудиты и ОАЭ — Саада Харири; Руанда — Рухакану Ругунду. Номера Филиппа, Бедуи и Мишеля, как можно судить, взяли в разработку структуры в Марокко.
Занимающий с 2019 года должность председателя Европейского совета Шарль Мишель заявил журналистам проекта Pegasus: «Нам было известно о таких угрозах, и мы приняли меры, чтобы минимизировать риски».
Похоже, что телефон Макрона также выбрали в качестве цели марокканцы в первой половине 2019 года. Примерно в то же время целями стали телефонные номера нескольких французских министров и других госчиновников, включая главного советника Макрона по Африке Франка Пари и Александра Беналлу — главу личной охраны Макрона.
Причиной такого «любопытства» может быть желание Марокко соблюсти свои интересы в ситуации с соседом-гигантом — Алжиром, который погрузился в политический кризис примерно в то же время, когда номера Макрона и французских чиновников стали целями. В марте 2019 года после массовых протестов бессменный премьер-министр Алжира Абдель Азиз Бутефлика вышел из очередной предвыборной гонки, а сами выборы перенес. В итоге Бутефлика ушел в отставку, и в стране создали новое правительство.
Как указывают данные проекта Pegasus, приблизительно в одно время с Макроном целью обозначили телефон алжирского дипломата Лахдара Брахими. Более того, возможными мишенями для слежки через телефон стали влиятельный член нового алжирского правительства Рамтан Ламамра и французский посол в Алжире Ксавье Дрианкур.
На 2019 год планировались два важнейших для Марокко саммита: встреча глав пяти государств региона Сахель (G5 Sahel) и ассамблея Африканского союза. Спорные притязания Марокко в Западной Сахаре, попытки добиться ратификации торгового соглашения под эгидой Африканского союза, кризисная ситуация в Алжире — все это наверняка в рамках саммитов обсуждали Макрон и его представители. Судя по данным проекта Pegasus, Марокко, очевидно, хотело скрытно быть в курсе всех деталей этих саммитов.
© OCCRP, 18.07.2021
Как работает Pegasus?
Шокирующие откровения Эдварда Сноудена о массовой слежке, которую организовало правительство США, заставили весь мир задуматься о кибербезопасности.
Сквозное шифрование, раньше интересовавшее только шпионов и гиков в сфере информационной безопасности, стало обычным делом: люди предпочитают использовать для обмена письмами и сообщениями такие приложения, как WhatsApp и Signal.
Правительства лишились возможности следить за своими гражданами, и им нужно было срочно с этим что-то делать.
Так и появилась программа Pegasus.
Pegasus — флагманский продукт израильской компании NSO Group, разрабатывающей ПО для кибер-слежки. Пожалуй, это самая известная из подобных фирм. Созданная NSO Group технология позволяет клиентам, зная лишь номер телефона потенциальной цели, внедрять Pegasus в телефон. В компании утверждают, что сотрудничают только с правительствами и не продают свой продукт частным лицам или фирмам.
Однако вместо того чтобы считывать информацию, которой обмениваются владельцы устройств (которая, вероятнее всего, зашифрована), Pegasus предоставляет пользователям возможность управлять телефоном и получить доступ ко всем данным.
Pegasus отслеживает каждое действие на зараженном смартфоне — всю переписку, поисковые запросы и даже пароли — и передает их клиенту. Помимо этого, программа предоставляет взломщикам доступ к микрофону и камере, превращая телефон в записывающее устройство, которое жертва везде носит с собой.
«Программа устроена таким образом, что взломщики, заразив устройство, получают права администратора. Благодаря этому они могут делать практически что угодно», — говорит Клаудио Гварньери из Лаборатории безопасности Amnesty International, где разработали методику анализа зараженных телефонов.
Правительствам по всему миру очень нужен Pegasus и вместе с ним полный прямой доступ к переписке, а также к данным о перемещениях террористов и преступников. Однако проект Pegasus раскрывает, что NSO Group, вероятнее всего, продает программу правительствам с сомнительной репутацией в плане соблюдения прав человека. Более того, Pegasus применяют для слежки за журналистами и активистами. Собранные в рамках проекта Pegasus доказательства указывают на то, что правительства многих стран мира — от Индии до Азербайджана, от Руанды до Мексики — используют разработанное NSO шпионское ПО.
Чтобы клиенты не лишались доступа к устройствам, сотрудникам компании необходимо постоянно обновлять программу, опережая такие компании, как Apple и Google, которые пытаются залатать дыры в системах безопасности своих устройств и программ. За последние пять лет Pegasus превратилась из относительно сырого продукта, который основывается на социальной инженерии, в программу, которую можно внедрить в телефон без участия или ведома владельца устройства.
Уязвимости нулевого клика
Раньше хакерские атаки с использованием Pegasus не обходились без активного участия владельца устройства. Операторы Pegasus отправляли на телефоны потенциальных целей слежки СМС-сообщения с вредоносными ссылками. При нажатии на ссылку открывался браузер, и программа загружалась в телефон.
Клиенты NSO Group использовали разные тактики, чтобы повысить кликабельность ссылки.
«[Клиенты] отправляют сообщения со спамом, чтобы сбить цель с толку, а потом шлют еще одно сообщение, в котором просят нажать на ссылку, чтобы больше не получать лишнюю информацию», — рассказывает Гварньери.
Методы социальной инженерии помогают повысить шансы перехода по ссылке — в сообщениях чаще всего манипулируют страхами или интересами жертвы.
«В сообщениях могут быть ссылки на интересующие [цель] новости или реклама товаров, которые человек хочет, — скажем, абонемент в спортзал или онлайн-магазин», — говорит Гварньери.
Со временем люди стали более осведомленными об этих приемах и научились распознавать вредоносный спам. Требовались более хитрые уловки.
И тогда разработчики стали использовать метод «нулевого клика». В этом случае для заражения устройства не требуется никаких действий его владельца. По словам Гварньери, именно этот метод предпочитают в последние годы правительства, использующие Pegasus.
Метод «нулевого клика» основывается на уязвимостях в популярных приложениях, например iMessage, WhatsApp и FaceTime, которые получают и сортируют данные — иногда от неизвестных источников.
Как только выявляется уязвимость, Pegasus проникает в устройство через протокол приложения. Пользователю не нужно нажимать на ссылку, открывать сообщение или отвечать на звонок, к тому же это не столь надежно.
«В большинстве случаев, зафиксированных с 2019 года, для взлома устройств использовали именно метод ’’нулевого клика’’», — рассказывает Гварньери, чья команда опубликовала технический отчет о методологии проекта Pegasus.
«Это гадкая программа, очень гадкая, — поделился с журналистами Тимоти Саммерс, бывший инженер по кибербезопасности. — Она влезает почти во все системы обмена сообщениями, в том числе Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, внутренние сервисы Apple и другие приложения. С помощью этой программы можно шпионить почти за всем населением мира. Очевидно, что NSO продает готовые услуги шпионского агентсва».
Дать отпор
Эксперты утверждают, что приложение iMessage, несмотря на надежную репутацию, уязвимо для хакерских атак. Мэтт Грин, криптограф и эксперт по безопасности в Университете Джонса Хопкинса, рассказал журналистам, что iMessage стал более уязвимым, когда Apple усложнил архитектуру операционной системы. Таким образом компания неосознанно предоставила злоумышленникам новые возможности использования ошибок в коде. Apple регулярно выпускает обновления, направленные на устранение уязвимостей, однако кажется, что представители индустрии разработки и продажи шпионского ПО всегда как минимум на шаг впереди.
«Нет никаких сомнений в том, что [Pegasus] могут внедрить в самые последние версии iOS, — говорит Гварньери. — Вероятно, на то, чтобы выявить эти уязвимости, тратят куда больше средств и времени, чем на то, чтобы не допустить их появления и устранить. Это как игра в кошки-мышки, только кошка всегда впереди, потому что у нее есть экономический стимул».
Представитель Apple в разговоре с журналистами Washington Post отверг информацию о том, что компания отстает от производителей шпионского ПО.
«Атаки на устройства iPhone, подобные тем, что организует NSO Group, нацелены на конкретных лиц, стоят миллионы долларов и зачастую ограниченны по времени, потому что мы выявляем и устраняем проблемы. Мы делаем все возможное для того, чтобы массовые атаки на пользователей устройств iPhone были экономически невыгодны», — сообщил Иван Крстич, глава службы инженерной безопасности Apple.
Очевидно, что это прибыльный бизнес. В 2016 году The New York Times сообщила, что слежка за десятью устройствами iPhone посредством разработанной NSO программы обойдется в 650 тысяч долларов, а еще 500 тысяч придется заплатить за установку — скорее всего, речь шла о менее продвинутой технологии, чем та, что доступна сейчас. По официальным данным, в 2020 году компания заработала 243 миллиона долларов.
Оказавшиеся в невыгодном положении технологические компании обратились в суд в попытке дать отпор производителю шпионского ПО. В 2019 году в США WhatsApp подала на NSO Group в суд, заявив, что израильская фирма, используя уязвимости сервиса, взломала свыше 1400 устройств. Представители WhatsApp утверждают, что среди потерпевших журналисты, юристы, религиозные лидеры и политические диссиденты. Жалобу поддержали несколько крупных компаний, в том числе Microsoft и Google.
Ранее в суд обращалась Amnesty International (организация подала иск против израильского Министерства обороны, которое одобряет все сделки компании с иностранными правительствами), а также активисты и журналисты, против которых якобы использовали разработанную ею технологию.
"Сетевое внедрение"
Помимо уязвимостей «нулевого клика», клиенты NSO Group могут использовать для доступа к устройствам так называемый метод сетевого внедрения. В этом случае владельцу смартфона ни на какие ссылки нажимать не надо. Ему достаточно открыть браузер и посетить незащищенный сайт. Как только человек переходит по ссылке, которая ведет на небезопасную страницу, разработанная NSO Group программа получает доступ к устройству и внедряется в него.
«Тут ничего не поделаешь, — говорит Гварньери. — Проходят всего миллисекунды [с момента перехода на незащищенный сайт до заражения Pegasus]».
Этот метод значительно сложнее, чем использование вредоносной ссылки или уязвимостей «нулевого клика»: необходимо отследить момент, когда владелец устройства решит перейти на незащищенный сайт. Чаще всего этим занимаются мобильные операторы, подконтрольные некоторым правительствам.
Из-за того что приходится привлекать третьих лиц, правительствам при использовании этого метода крайне сложно следить за людьми, которые находятся в других юрисдикциях. При обращении к уязвимостям «нулевого клика» таких ограничений не возникает, что делает этот метод более популярным.
"Нулевой пациент": куда ведет след?
Специалисты Amnesty International проанализировали данные, полученные с нескольких десятков телефонов, которые проверили на предмет заражения Pegasus. Прежде всего они ищут самые очевидные следы, которые оставляет программа, — вредоносные ссылки в СМС-сообщениях. Эти ссылки ведут на один из доменов, которые NSO Group использует для загрузки шпионского ПО на устройства, — так называемой сетевой инфраструктуры компании.
«В NSO допустили ошибку, когда создали инфраструктуру для совершения атак», — сказал Гварньери. В первом случае, когда появился так называемый нулевой пациент, сетевая инфраструктура «вывела на корпоративную инфраструктуру [NSO]».
По всей видимости, NSO Group использовала несколько поддельных адресов электронной почты, чтобы создать большую часть этой инфраструктуры. Чтобы доказать ее принадлежность NSO Group, достаточно выявить связь любого из этих аккаунтов с каким-то из доменов.
«Нулевым пациентом» был правозащитник из ОАЭ по имени Ахмед Мансур. В 2016 году в Citizen Lab установили, что телефон Мансура взломали — он получил сообщение с вредоносной ссылкой на «новые секреты» о пытках, которые применяли власти ОАЭ. Эксперты Citizen Lab доказали, что сообщение отправили операторы Pegasus.
«Всегда остается след, ведущий к ’’нулевому пациенту’’», — говорит Гварньери.
Сотрудники Amnesty помимо ссылок, ведущих на связанные с NSO домены, также обнаружили сходство вредоносных системных процессов на зараженных устройствах. Их не так много, а один — BridgeНead (или BH) — постоянный спутник шпионской программы. Его использовали даже на телефоне Мансура.
Гварньери рассказал, что скачал каждую версию iOS, выпущенную с 2016 года, чтобы установить происхождение процессов, которые он выявил на зараженных устройствах. Ни один из них не выпускала компания Apple.
«Мы знаем, что эти процессы незаконны — они вредоносные. Мы уверены, что это Pegasus, потому что они выводят на уже знакомую нам инфраструктуру», — говорит Гварньери. Специалисты Amnesty выявили определенную последовательность: «владелец устройства заходит на сайт, приложение вылетает, а в некоторые файлы вносят изменения — все это происходит за секунды или миллисекунды. Во всех проанализированных случаях используются одни и те же процессы. У меня нет сомнений в том, что перед нами Pegasus».