Проект «Пегас». Как общественность узнала про NSO Group и ее спайварь - «Новости»

Проект «Пегас»

Спе­циалис­ты упо­мяну­тых орга­низа­ций заяви­ли, что обна­ружи­ли мас­штаб­ные зло­упот­ребле­ния шпи­онским ПО, соз­данным изра­иль­ской ком­пани­ей NSO Group. Сог­ласно отче­ту, спай­варь ком­пании активно при­меня­ется для наруше­ния прав челове­ка и для наб­людения за полити­ками, акти­вис­тами, жур­налис­тами и пра­воза­щит­никами по все­му миру.

Речь идет о небезыз­вес­тной мал­вари Pegasus, которую впер­вые обна­ружи­ли еще в 2016 году. В пос­леду­ющие годы ИБ‑спе­циалис­ты про­дол­жали на­ходить все но­вые инци­ден­ты с исполь­зовани­ем Pegasus и кри­тико­вать NSO Group за то, что ком­пания про­дает свои решения пра­витель­ствам и спец­служ­бам по все­му миру (зачас­тую стра­нам с реп­рессив­ными режима­ми), хотя исполь­зование мал­вари в ито­ге не задоку­мен­тирова­но прак­тичес­ки никем и ниг­де.

Pegasus пред­назна­чен для шпи­она­жа и спо­собен собирать с устрой­ств на базе iOS и Android тек­сто­вые сооб­щения, информа­цию о при­ложе­ниях, под­слу­шивать вызовы, отсле­живать мес­тополо­жение, похищать пароли и так далее.

«Шпи­онское ПО NSO Group явля­ется излюблен­ным ору­жием реп­рессив­ных режимов, стре­мящих­ся зас­тавить замол­чать жур­налис­тов, ата­ковать акти­вис­тов и подавить ина­комыс­лие, под­вергая опас­ности бес­числен­ное количес­тво жиз­ней, — заяв­ляет сек­ретарь Amnesty International Ань­ес Кал­ламар. — Обна­ружен­ные нами [фак­ты] опро­вер­гают все заяв­ления NSO о том, что такие ата­ки ред­ки и сво­дят­ся к неп­равомер­ному исполь­зованию их тех­нологий. Хотя в ком­пании утвер­жда­ют, что ее шпи­онское ПО при­меня­ется толь­ко про­тив нас­тоящих прес­тупни­ков и для борь­бы с тер­рориз­мом, ясно, что ее тех­нология поощ­ряет сис­темати­чес­кие зло­упот­ребле­ния. Они рису­ют кар­тину пол­ной легитим­ности, но извле­кают выгоду из широко рас­простра­нен­ных наруше­ний прав челове­ка.

На­ши пос­ледние откры­тия показы­вают, что кли­енты NSO Group в нас­тоящее вре­мя могут уда­лен­но взло­мать даже пос­ледние модели iPhone и все вер­сии iOS».

Де­ло в том, что в рас­поряже­нии иссле­дова­телей ока­зал­ся спи­сок 50 тысяч телефон­ных номеров, которые яко­бы «пред­став­ляли инте­рес» для кли­ентов NSO Group и тща­тель­но отби­рались с 2016 года. И хотя сам факт при­сутс­твия номера в этом спис­ке еще не озна­чает, что его вла­делец обя­затель­но под­вер­гся ата­ке, зараже­ние спай­варью уда­лось под­твер­дить «в десят­ках слу­чаев».

К при­меру, в спис­ке мож­но най­ти дан­ные полити­ков, акти­вис­тов, жур­налис­тов, пра­воза­щит­ников, руково­дите­лей пред­при­ятий, религи­озных деяте­лей, уче­ных и так далее. Отдель­но под­черки­вает­ся, что в спис­ке содер­жались телефо­ны как минимум десяти глав государств.

В ито­ге рас­сле­дова­ние выяви­ло кли­ентов NSO Group как минимум в 11 стра­нах мира, вклю­чая Азер­бай­джан, Бах­рейн, Вен­грию, Индию, Казах­стан, Марок­ко, Мек­сику, ОАЭ, Руан­ду, Саудов­скую Ара­вию и Того. При этом Руан­да, Марок­ко, Индия и Вен­грия пос­пешили офи­циаль­но заявить, что не исполь­зовали Pegasus.

Так как о сущес­тво­вании Pegasus и деятель­нос­ти NSO Group извес­тно дав­но, мно­гие зада­ются воп­росом: почему скан­дал раз­разил­ся толь­ко сей­час? Ведь ничего прин­ципи­аль­но нового в док­ладе не содер­жалось, и вряд ли кого‑то в ИБ‑сооб­щес­тве уди­вило сущес­тво­вание спай­вари и того, о чем писали жур­налис­ты.

Хо­роший ответ на этот воп­рос дал у себя в Twitter извес­тный ИБ‑эксперт, нес­коль­ко лет назад ос­тановив­ший шиф­роваль­щик Wannacry, Мар­кус Хат­чинс (MalwareTech):

«До сегод­няшне­го дня я не понимал, что нового в этой исто­рии, но теперь я осоз­нал, что, веро­ятно, рань­ше обо всем этом не было извес­тно за пре­дела­ми ИБ‑сооб­щес­тва. Итак, TL;DR: сущес­тву­ют ком­пании, у которых есть нулевые дни и шпи­онское ПО, спо­соб­ные уда­лен­но взла­мывать телефо­ны. Обыч­но все это про­дает­ся пра­витель­ствам, которые затем исполь­зуют [эти инс­тру­мен­ты] для атак на „тер­рорис­тов“ (во мно­гих слу­чаях это прос­то озна­чает любого, кого влас­ти счи­тают угро­зой). Рас­плыв­чатое опре­деле­ние тер­мина „тер­рорист“ варь­иру­ется от государс­тва к государс­тву, и мно­гие (осо­бен­но авто­ритар­ные государс­тва) счи­тают акти­вис­тов и жур­налис­тов угро­зами. Реаль­ность такова, что „оста­новить тер­рорис­тов“ лег­ко прев­раща­ется в „шпи­онить за все­ми, кто нам не нра­вит­ся“, и имен­но об этом повес­тву­ет дан­ная утеч­ка».

0-day в iOS

Ин­терес­но, что в ходе рас­сле­дова­ния иссле­дова­телям уда­лось обна­ружить iPhone под управле­нием пос­ледней вер­сии iOS, взло­ман­ный с помощью zero-click-экс­пло­итов (не тре­бующих никако­го вза­имо­дей­ствия с поль­зовате­лем) для iMessage. К при­меру, Amnesty International под­твер­дила активное зараже­ние работа­юще­го под управле­нием iOS 14.6 iPhone X акти­вис­та (CODE RWHRD1) от 24 июня 2021 года.