Операція "Pegasus": як держави зламують смартфони громадян і перетворюють їх на пристрої для стеження

хакер, злом, смартфон
Фото: defendershield.com

Журналісти з'ясували, що софт від ізраїльської компанії NSO Group, створений для стеження за терористами, використовувався авторитарними режимами для шпигунства за "неугодними" журналістами, активістами та правозахисниками.

Розслідування, яке сьогодні ведуть журналісти з Guardian, і 16-ти інших медіа, завдяки витоку даних встановили, що близько 50 тис. активістів, правозахисників, журналістів, юристів, політиків-опозиціонерів по всьому світу стали мішенню для авторитарних режимів. А виною всьому хакерське програмне забезпечення, створене і продане ізраїльською компанією NSO Group. Зокрема, йдеться про софт Pegasus, який, як стверджують розробники, повинен використовуватися проти злочинців і терористів. Проте сталося так, що під удар потрапили люди, які борються проти злочинців і терористів.

Як працює шпигунський софт Pegasus

"Pegasus — це шкідлива програма, яка заражає iPhone і Android-пристрої, дозволяючи хакерам отримувати повідомлення, фотографії та електронні листи, записувати дзвінки і активувати мікрофони, після чого смартфон використовується як підслуховуючий пристрій", — повідомляє видання The Guardian.

За словами Клаудіо Гуарнері, керівника лабораторії безпеки Amnesty International, після того, як смартфон був заражений Pegasus, клієнт NSO повністю може контролювати пристрій. А саме:

  • читати СМС-повідомлення,
  • переглядати список дзвінків,
  • прослуховувати дзвінки,
  • дивитися фотографії,
  • читати електронні листи,
  • таємно активувати камеру і мікрофон,
  • читати вміст месенджерів на зразок WhatsApp, Telegram і Signal.

Отримавши доступ до GPS і апаратних датчиків у телефоні, клієнти NSO можуть зберегти журнал минулих переміщень людини і відстежувати її місце розташування у режимі реального часу з дуже високою точністю, наприклад, шляхом визначення напрямку і швидкості руху автомобіля.

Zero-day експлойт, на основі якої працює шпигунський софт, дозволяє йому працювати без "допомоги" атакованого абонента. Прояснимо. Щоб активувати шкідливе ПЗ часто попередньо потрібно перейти за посиланням, яка може бути вбудована в абсолютно невинне повідомлення. У випадку з Pegasus цього не знадобиться — програма атакує смартфон і абсолютно автономно починає працювати. При цьому впоратися з Pegasus не може жоден антивірус, оскільки захисні механізми проти нього ще не розроблені, і в цьому теж "заслуга" Zero-day.

Гуарнері виявив, що софт діє, використовуючи вразливості iMessage, який встановлюється за умовчанням на всіх iPhone. Завдяки цьому Pegasus зміг проникнути навіть у найсучасніші iPhone з останньою версією iOS.

Pegasus, iPhone, смартфон Fullscreen
Шпигунський софт Pegasus зламує навіть iPhone
Фото: unsplash.com

Хто такі NSO Group і де використовується їх ПЗ

Компанія-розробник завжди стверджувала, що "не експлуатує системи, які вона продає перевіреним держкліентам, і не має доступу до даних своїх клієнтів". У заявах, зроблених через своїх юристів, NSO заперечує "помилкові твердження" щодо діяльності своїх клієнтів, але заявляє, що "продовжить розслідування всіх достовірних заяв про неправомірне використання ПЗ і прийме відповідні заходи". Також в компанії стверджують, що "цифра 50 тис. — це перебільшення".

NSO Group розробляє продукти тільки для військових, правоохоронних органів і спецслужб. Її клієнтами є 40 країн, але яких саме — невідомо. У компанії запевняють в ретельності перевірки клієнтів, особливо моментів, що стосуються захисту прав людини, перш ніж дозволити їм використовувати шпигунські інструменти.

Діяльність розробників типу NSO Group регулюється Міністерством оборони Ізраїлю, а міністр особисто видає індивідуальні експортні ліцензії до того, як технологія шпигунства може буде продана третій стороні.

Розслідувачі з'ясували, що Pegasus дійсно використовувався за призначенням, тому що в списку знайшлося місце для імен злочинців та терористів. Однак більшість номерів належать людям, які, здавалося б, не мають стосунку до злочинності. Тому, варто вважати, що деякі клієнти порушують умови контрактів і шпигують за "неугодними" активістами і журналістами, які розслідують корупцію, і політичними опонентами.

І тому є докази. Дослідження 67-ми телефонів, що належать журналістам виявило сліди активності Pegasus на 37-ми пристроях. Про це йдеться у звіті Amnesty's Security Lab.

За ким шпигують уряду за допомогою софта від NSO Group

Згідно витоку даних, що потрапили в руки журналістам, за допомогою софта намагалися зламати 50 тис. телефонних номерів. Розслідувачі вважають, що до цього списку потрапили абоненти, якими з 2016 року цікавилися клієнти NSO. Вони акцентують, що наявність номера телефону у списку не доводить, чи були зламані самі пристрої за допомогою Pegasus, але вказує на абонентів, як на потенційні цілі для стеження. Криміналістичний аналіз певної кількості смартфонів, номери яких фігурували в списку, показав, що в понад 50% з них є сліди, залишені Pegasus.

У статті The Guardian зазначено, що в список "входять сотні керівників підприємств, релігійних діячів, вчених, представників профспілок, урядовців, включаючи міністрів, президентів і прем'єр-міністрів. У списку також зазначено кількість близьких родичів правителя однієї країни, що свідчить про те, що він, можливо, доручив своїм спецслужбам вивчити можливість спостереження за своїми родичами". Також у переліку виявилися імена більше 180-ти журналістів, включаючи репортерів, редакторів та керівників Financial Times, CNN, New York Times, France 24, Economist, Associated Press і Reuters.

Особливий інтерес представляє Сесиліо Пінеда Бірто — мексиканський журналіст, який знайшов докази зв'язку між наркокартелем і місцевими чиновниками. Незабаром після публікації матеріалу його вбили, але його смартфон так і не знайшли. Тепер зрозуміло, чому — його ім'я теж є в списку.

ПЗ, софт, смартфон Fullscreen
Шкідливе ПЗ отримує доступ до фото, чатів, дзвінків
Фото: ОСН

Хто шпигує за журналістами та опозиціонерами?

У процесі аналізу витоку даних вдалося виявити принаймні 10 урядів, які є клієнтами NSO Group, які використовували Pegasus не за призначенням:

  • Азербайджан,
  • Бахрейн,
  • Казахстан,
  • Мексика,
  • Марокко,
  • Руанда,
  • Саудівська Аравія,
  • Угорщина,
  • Індія,
  • Об'єднані Арабські Емірати.

Лідером цього анти-рейтингу є Мексика. У списку фігурують 15 тис. номерів. Також відомо, що кілька різних урядових мексиканських агентств купили Pegasus. Марокко і ОАЕ на другому місці — вони внесли по 10 тис. номерів кожна. Руанда, Марокко, Індія і Угорщина заперечували використання Pegasus для злому телефонів осіб, зазначених у списку. Уряди Азербайджану, Бахрейну, Казахстану, Саудівської Аравії, Мексики, ОАЕ і Дубая відмовилися від коментарів.

Телефонні номери, які були обрані для імовірного стеження охоплюють більше 45-ти країн на чотирьох континентах. Серед них — 1000 європейських номерів.

Як же захиститися від таких програм, як Pegasus? Експерт у сфері кібербезпеки, Андрій Баранович, вважає, що у цій ситуації варто підтримувати правозахисників та журналістів-розслідувачів, в руках яких потужна зброя — правдива інформація.

"Незважаючи на велику кількість цілей, жодного разу контррозвідка не захистить своїх громадян і політиків від іноземних розвідок. Amnesty International і преса захищають набагато краще, ніж спецслужби зі своїми багатомільярдними бюджетами", — прокоментував він.