Шпигунство найвищого рівня. Про що насправді говорить історія з прослуховуванням через Pegasus

Як технології масового спостереження використовувалися для стеження за журналістами

Експерти Amnesty International і організації Forbidden Stories спільно з журналістами ряду видань, серед яких The Guardian і The Washington Post, розповіли про існування масового стеження за журналістами і правозахисниками багатьох країн світу. Для цієї операції використовувалися інструменти ізраїльської компанії NSO Group, а саме — розроблена нею шпигунська програма Pegasus. Ця програма, створене спочатку для стеження за злочинцями і терористами, використовувалася зовсім з іншими цілями.

Автори розслідування виявили, що з Pegasus так чи інакше пов'язана більш ніж 50 тис. смартфонів — власники цих номерів названі як особистості, що представляють інтерес для клієнтів компанії NSO. Це означає, що клієнти ізраїльської компанії NSO, купивши програму для стеження Pegasus, могли зламати пристрої користувачів, чий номер телефону потрапив в базу авторів розслідування. Інший варіант — власники цих номерів розглядалися як потенційні цілі.

В Amnesty International прийшли до висновку, що жертвами цього стеження стали люди з 50 країн світу, серед яких були і журналісти, в тому числі ті, що працюють в таких виданнях, як Reuters, CNN, Associated Press, The Wall Street Journal, Le Monde, Financial Times. Жертвами стеження були політики, бізнесмени і навіть керівники ряду держав. Серед номерів телефонів, які стали цілями шпигунського ПЗ Pegasus, — кілька сотень політиків і чиновників, майже 200 журналістів, близько сотні правозахисників.

Жертви і потенційні потерпілі — від Джамаля Хашоггі до Еммануеля Макрона

В результаті аналізу списку номерів автори розслідування прийшли до висновку, що 15 тис. з них належать жителям Мексики. Крім того, жертвами роботи Pegasus були жителі ряду країн Близького Сходу (Саудівська Аравія і ОАЕ), а також Франції, Угорщини, Казахстану, Індії, Азербайджану, Пакистану, Ізраїлю, Бахрейну, Марокко, Руанди.

Зокрема, Pegasus був виявлений на смартфоні нареченої убитого журналіста Джамаля Хашоггі. У цьому списку виявили номер телефону мексиканського розслідувача Сесілія Пінеда Бірт, убитого в 2017 році. Його вбивство пов'язують з його професійною діяльністю.

Відомо, що уряд Віктора Орбана активно використовував Pegasus проти угорських журналістів-розслідувачів. Більш того — зараження пристроїв деяких журналістів чітко корелювало з запитами до чиновників про коментарі ряду спірних питань.

У списку номерів телефонів передбачуваних жертв Pegasus виявився і номер президента Франції Еммануеля Макрона, а також кількох високопоставлених чиновників країни. У публікації The Washington Post згадується, що серед цілей для стеження були виявлені номери телефонів 14 глав держав і 10 прем'єр-міністрів.

Що таке ПО Pegasus і як заражалися пристрої

Pegasus — це висококласний шпигунський додаток, розроблений компанією NSO. Pegasus працює на iOS і Android. Після зараження гаджета за допомогою цього додатка воно передає контроль над пристроєм зовнішній стороні — компанії NSO або її клієнтам, що власне і замовили злом. Додаток отримує доступ до камери і мікрофону, тобто може прослуховувати, що говорять поруч з телефоном і фіксувати зроблені фотографії або непомітно включати камеру і вести приховану зйомку. Також Pegasus може читати вміст смартфона — СМС, електронну пошту, замітки, фіксувати геолокацію, тобто знати, де фізично знаходиться пристрій і його власник в режимі реального часу, і навіть прогнозувати його маршрут, наприклад, визначаючи шлях переміщення його автомобіля. Експерти, опитані The Guardian, підкреслюють, що Pegasus дозволяло читати вміст повідомлень навіть зашифрованих месенджерів , наприклад, Telegram і WhatsApp і навіть Signal.

Існує кілька векторів атак за допомогою Pegasus, тобто способів установки шпигунського додатку на смартфон жертви. Один з них — це відправлення зараженого посилання, при переході на яке на гаджет користувача потрапляє додаток-шпигун.

Але крім того, є припущення, що зараження гаджетів могли здійснюватися без будь-яких дій користувача. Додатки, розроблені NSO, використовували так звані уразливості нульового дня (0-day). Так називають неусунуті уразливості пристроїв або ПЗ, про які розробникам не було відомо і які не були усунені, наприклад, за допомогою випуску оновленої версії. Зазвичай розробники ПЗ роблять багато для того, щоб вони першими дізнавалися про 0-day-вразливості і оперативно усували їх. Однак, судячи з історії з Pegasus, компанія NSO знайшла спосіб отримання інформації про ці вразливості, наприклад, купуючи їх в DarkWeb на закритих хакерських майданчиках.

NSO group і історії зломів

Компанія NSO Group позиціонує себе як розробника систем "кіберрозвідки в інтересах глобальної безпеки". Один з головних її продуктів — програма для віддаленого злому пристроїв, яка використовується для боротьби з тероризмом і злочинністю.

NSO Group заявила про початок розслідування після викриттів Amnesty International, підкресливши, що компанія продає свої розробки "виключно правоохоронним і розвідувальним органам перевірених урядів з єдиною метою — рятувати життя шляхом запобігання злочинів і терористичних актів".

У нещодавно опублікованому звіті про прозорість NSO Group наводить витяги зі своїх контрактів з клієнтами, в яких згадується вимога використовувати її розробки тільки в рамках кримінальних розслідувань та інцидентів, пов'язаних з національною безпекою.

Однак якщо згадати скандали, пов'язані з NSO, то стає очевидно, що компанія дещо лукавить. Наприклад, ще в 2019 році повідомлялося, що ПО Pegasus експлуатувало уразливості месенджера WhatsApp для його злому.

У грудні 2020 року стало відомо, що інструмент Pegasus використовувався для злому журналістів Al Jazeera.

В кінці 2020 року декілька великих гравців ІТ-ринку, серед яких Microsoft, Cisco, GitHub, Google, LinkedIn, VMWare і ряд інших, в судовому порядку зажадали, щоб такі компанії, як NSO Group, несли відповідальність за порушення, вчинені за допомогою їхніх інструментів, і зажадали позбавити їх будь-якого імунітету в таких випадках.

Наслідки викриття і реакція на нього

Едвард Сноуден підкреслює факт зловживання інструментами для стеження, про який він говорив ще в 2013 році, і заявив, то така галузь, в якій працює NSO Group, не повинна існувати. "Неважливо, під яким прапором ви живете і на якій мові говорите, ми всі є постраждалими", — заявив Сноуден в інтерв'ю Die Zeit.

У компанії Apple зайвий раз сказали, що її пристрої є одними з найбільш захищених, і додали, що звичайному користувачеві нічого боятися, бо такого роду атаки коштують дорого і не можуть бути масовими. Хоча в компанії зроблять все, щоб захистити всіх її споживачів.

Компанія Amazon відключила свій хмарний сервіс Amazon CloudFront для компанії NSO Group. Це сталося тільки зараз, хоча журналісти і раніше звинувачували Amazon в тому, що її інфраструктура використовується NSO Group для зломів.

Відразу кілька країн почали розслідування діяльності NSO Group, а "Репортери без кордонів" заявили про готовність подати до суду проти відповідальних за це масове стеження.

Україна: власне "лампове" стеження

У списку жертв компанії NSO Group і її інструменту Pegasus відсутні номери телефонів, пов'язані з Україною. Принаймні на даний момент про це не згадувалося. Проте це зовсім не означає, що українські журналісти та їх професійна діяльність знаходяться поза полем зору зацікавлених осіб.

У 2019 про більш ніж піврічне стеження за знімальною групою "Схем" і Bihus.info заявляли журналісти, що працюють в цих проектах. Охоронна фірма, яка фігурувала в звинуваченнях, відкинула всі претензії.

Михайло Ткач, журналіст програми "Схеми: корупція в деталях" говорив про прослуховування у себе вдома в 2020 році, а в 2021 році повідомив про "посилену увагу" з боку охорони Зеленського.

Ці історії лише говорять про те, що замовникам, зацікавленим в стеженні за українськими журналістами, дешевше організувати фізичне спостереження, ніж платити сотні тисяч доларів за послуги, подібні до тієї, яка пропонує NSO Group.

Про що насправді говорить історія про Pegasus і NSO Group

Масштаби діяльності NSO Group і її інструменту Pegasus вражають. Хоча насправді звичайному користувачеві, який не політик або того, хто володіє комерційними секретами або займається розслідуваннями корупційних схем, інструменти типу Pegasus не страшні. Їх вартість занадто висока, тому умовне "повернення інвестицій" для їх використання повинно бути відповідним, щоб замовник був готовий заплатити від $300 тис. за можливість використовувати інструмент тільки на одному пристрої. Втім, перевірити свій пристрій і упевнитися, що ви не є жертвою Pegasus, можна, дотримуючись цієї інструкції.

У той же час історія з NSO Group і Pegasus піднімає актуальність безлічі питань, пов'язаних з кібербезпекою, використанням гаджетів і повсякденною роботою журналіста.

Автори розслідування про діяльність NSO Group стверджують, що їх продукт дозволяв читати зашифровані повідомлення в таких додатках як Telegram і Signal. Другий вважається одним з найнадійніших на сьогоднішній день захищених месенджерів. Відповідно, можливість доступу до інформації, що передається з його допомогою, — це серйозна загроза для всієї цифрової комунікації і зайве підтвердження того, що говорити про будь-яку цифрову приватність і захищених сервісах обміну даними не має сенсу.

Використання розробниками з NSO Group вразливостей нульового дня — це ще один небезпечний прецедент. Компанії платять великі гроші за те, щоб вони першими дізнавалися про такі уразливості (в рамках спеціальних програм під назвою bug bounty), проте, ймовірно, ціна, яку за них платили в обхід bug bounty, була порівнянна або навіть вище офіційних виплат. Це збільшує ризик використання подібних вразливостей в майбутньому для більш серйозних зломів — не тільки смартфонів конкретних людей, а й об'єктів критичної інфраструктури.

Розмах і точна націленість стеження на розслідувачів не тільки ускладнює роботу журналістів, але й ставить під загрозу безпеку їх джерел.

Ще один ризик — це незаконні збір і використання персональних даних. Якщо такі історії стали можливими в країнах ЄС з їх жорсткими законами про конфіденційність, то там, де таких законів немає, ризик перетворення NSO Group-like-інструментів в масові зростає в рази.