Израильское шпионское ПО используют для слежки за журналистами и активистами по всему миру

Проект Pegasus
Расследование

Международное расследование выявило, что в телефоны десятков журналистов и активистов внедрили шпионскую программу, которую продают только правительствам.

Изображение: Светлана Тюрина

July 18th, 2021

В Венгрии Сабольч Паньи разоблачал тайные схемы и подозрительные сделки по продаже оружия. В Индии Паранджой Гуха Тхакурта выявлял связи между бизнесом и политическими интересами. В Азербайджане Севиндж Вакифкизы засняла доказательства фальсификации результатов выборов.

Несмотря на то что журналистов разделяют тысячи километров, у них есть кое-что общее: правительства их стран решили, что они представляют угрозу.

Они входят в число нескольких десятков активистов и сотрудников СМИ, чьи смартфоны заразили Pegasus — шпионским ПО, разработанным израильской фирмой NSO Group. Технология позволяет назаметно красть персональные данные владельца устройства, читать его переписку, включать микрофоны и камеры.

Разоблачению этих атак посвящен проект Pegasus, в котором приняли участие более 80 журналистов из 17 СМИ, включая OCCRP. Возглавила расследование НКО Forbidden Stories.

Специалисты лаборатории безопасности Amnesty International установили, что телефоны Паньи, Такурты и Вакифкизы были заражены. Номера журналистов значились в списке потенциальных целей для слежки, которые указали правительства, использующие разработанные NSO технологии. В этом списке более 50 тысяч человек. Участвующие в проекте Pegasus журналисты идентифицировали владельцев сотен номеров, после чего в Amnesty провели экспертизу всех телефонов, к которым удалось получить доступ, и в десятках случаев специалисты подтвердили заражение. Публикуемые данные подтверждаются интервью, документами и другими материалами.

Результаты экспертизы

Экспертиза предоставила наиболее весомые доказательства того факта, что в списке действительно указаны те, на чьи телефоны установили Pegasus.

В Лаборатории безопасности Amnesty International проверили телефоны 67 человек, чьи номера значились в списке. На 37 устройствах обнаружили следы активности Pegasus: на 23 смартфонах программу успешно установили, еще на 14 — пытались. В 30 случаях проверка не дала результатов: владельцы заменили некоторые из этих телефонов.

Пятнадцать устройств работают на операционной системе Android. В отличие от телефонов iPhone они не ведут лог необходимых для анализа операций. Тем не менее на трех устройствах выявили признаки попыток внедрить Pegasus. Например, СМС-сообщения со ссылками на установку программы.

На 27 устройствах исследователи Amnesty International обнаружили 84 следа активности Pegasus, которые соответствуют порядку номеров в утекшем списке. В 59 из этих случаев следы программы появлялись на телефоне в течение 20 минут после внесения в список, в 15 случаях — через минуту.

В NSO Group неоднократно отвергали информацию о том, что их программы для слежки используют не по назначению, и ставили под сомнение обоснованность полученных журналистами данных. Представители фирмы утверждают, что продают Pegasus правительствам для борьбы с преступниками и террористами. По их словам, программа спасает много жизней. В компании, тесно связанной с израильскими службами безопасности, утверждают, что соблюдают строгие процедуры контроля для предотвращения нарушений. В NSO Group также отрицают, что составили этот список.

Однако правительства более чем десяти стран, по всей видимости, используют Pegasus не только против преступников. В списке значатся политические оппоненты, академики, журналисты, правозащитники, врачи и религиозные лидеры. Есть основания полагать, что клиенты NSO также использовали разработанные компанией технологии, чтобы следить за иностранными чиновниками, дипломатами и даже главами государств.

Журналисты и активисты под прицелом

В ближайшие дни OCCRP и другие партнеры проекта опубликуют статьи, в которых расскажут о масштабах угрозы Pegasus. Начнем с самых вопиющих случаев: программу использовали для слежки, преследования и запугивания журналистов и активистов, а также их близких.

В список попали несколько тесных контактов Джамаля Хашогги, журналиста Washington Post, которого убили и расчленили саудовские оперативники в стамбульском консульстве страны в 2018 году. Экспертиза показала, что за невестой Хашогги, гражданкой Турции Хатидже Дженгиз, а также его родными и коллегами следили через разработанную NSO Group программу — как до, так и после его убийства. (Представители компании сообщили, что провели расследование: они утверждают, что против Хашогги не использовали их ПО.)

Согласно анализу, телефон Сандры Ногалес, ассистентки известной мексиканской журналистки Кармен Аристеги, заразили Pegasus через вредоносное сообщение.

Аристеги знала, что против нее используют программу. Ее случай описан в докладе Citizen Lab Университета Торонто за 2017 год. Журналистка сообщила сотрудникам проекта Pegasus, что для нее «было шоком увидеть в списке своих близких».

«Там была моя ассистентка Сандра Ногалес, которая знала обо мне всё: у нее был доступ к моему расписанию, контактам, она была в курсе того, чем я занимаюсь каждый день и каждый час».

В списке потенциальных целей для слежки как минимум 188 журналистов, в том числе несколько сотрудников сети OCCRP. Среди них Хадиджа Исмаилова, журналистка-расследовательница, которая из-за своих бескомпромиссных публикаций попала под прицел клептократического режима президента Ильхама Алиева. Независимый анализ айфона Исмаиловой показал, что с 2019 по 2021 год за ней постоянно следили с помощью Pegasus: чаще всего программу активировали через приложение iMessage.

Журналистка не впервые столкнулась с правительственной слежкой. Около десяти лет назад Исмаиловой угрожали публикацией компрометирующих видео, которые сняли на скрытые камеры, установленные у нее дома. Это была месть за ее работу. Она отказалась отступить, и записи выложили в Сеть.

Однако даже после этого Исмаилову потряс охват программы Pegasus.

«Это ужасает. Ты думаешь, что устройство зашифровано, оно безопасно... а потом понимаешь, что это не так. Если ты пользуешься интернетом, за тобой могут следить, — говорит она. — Я злюсь на правительства, которые производят все эти программы и продают их плохим парням, таким как режим Алиева».

Телефоны Паньи и его коллеги Андраша Сабо, венгерских партнеров OCCRP, также заразили Pegasus, а значит, заказчики взлома могли получить доступ к конфиденциальным данным — зашифрованным письмам и черновым версиям расследований. Журналисты работают в одном из немногих оставшихся в Венгрии независимых изданий — Direkt36. Они несколько лет расследовали случаи коррупции и мошенничества в стране, режим которой во главе с премьер-министром Виктором Орбаном становится все более авторитарным.

Теперь они узнали, что и сами были под наблюдением.

Кое-что особенно поразило Паньи, чьи предки пережили холокост: программу разработали в Израиле и экспортировали в страну, руководство которой не раз обвиняли в антисемитизме.

«В моей семье помнят, что бабушкин брат пережил Освенцим и уехал в Израиль, где стал солдатом и погиб в 1948 году в ходе арабо-израильской войны», — написал Паньи, рассказывая о том, как узнал о слежке. «Я знаю, что это глупо и не имеет никакого значения, но я, возможно, воспринял бы происходящее немного иначе, если бы выяснилось, что слежку организовало любое другое государство, например, Россия или Китай».

Фото: Андраш Петхё / Direkt36
Венгерские журналисты Сабольч Паньи (слева) и Андраш Сабо из независимого издания Direkt36.

Также среди потенциальных целей более 15 тысяч граждан Мексики — их внесли в список во время правления бывшего президента Энрике Пеньи Ньето. Многие из них — журналисты, в том числе Алехандро Сикайрос из штата Синалоа, сооснователь портала RíoDoce. Согласно данным, полученным в рамках проекта Pegasus, номер Сикайроса добавили в список в 2017 году — вскоре после того, как его коллегу, выдающегося журналиста Хавьера Вальдеса, застрелили у офиса RíoDoce.

Среди потенциальных объектов слежки и обычные люди, вступившие в ряды активистов на фоне беспорядков и жестокости, которые охватили Мексику. Кристина Баутиста — бедная фермерша, чей сын Бенхамин Ассенсио Баутиста был в числе 43 студентов, похищенных в 2014 году в городе Игуала в мексиканском штате Герреро. Пропавших так и не нашли. Это событие потрясло Мексику и побудило Баутисту и других родителей выйти на улицы страны с протестами, а также помогать независимым экспертам в расследованиях.

Активные действия Баутисты и других родителей привлекли внимание мексиканских властей и Пеньи Ньето, объявившего, что митинги дестабилизируют страну.

«О да, они с нас глаз не спускали! Куда бы мы ни шли, везде следовал патруль, — рассказала она.

— Они не оставляли нас в покое».

Фото: OCCRP
Кристина Баутиста у мемориала в память о 43 студентах, похищенных после массового убийства полицейских в штате Герреро, Мексика.

«Логичное средство» для автократов

Проект Pegasus разоблачает очевидные случаи злоупотребления технологиями NSO Group, однако компания — лишь один представитель глобальной многомиллиардной индустрии производства и продажи шпионских программ.

Рынок мобильного шпионского ПО, оборот которого, по подсчетам NSO, составляет порядка 12 миллиардов долларов, упростил доступ к передовым технологиям для спецслужб и полиции, которые раньше могли о таком только мечтать.

«Всё больше режимов получают возможность шпионить, — говорит Джон Скотт-Рейлтон, старший исследователь в Citizen Lab. — Это как служба внешней разведки под ключ».

Фото: Эдди Геральд / Alamy Stock Photo
Стенд NSO Group на Международной выставке по кибербезопасности в Тель-Авиве, Израиль. 2018 год.

Как и многие частные компании, выпускающие шпионское ПО, NSO Group использует уязвимости «нулевого дня» — ранее не выявленные недостатки в операционной системе, позволяющие третьим лицам получить доступ к устройствам, например, мобильным телефонам. У Pegasus и других передовых программ есть важная особенность: их можно установить на устройство незаметно, причем пользователю даже не придется нажать на ссылку.

Это дает правительствам преимущество на фоне активного использования приложений для обмена зашифрованными сообщениями, таких как WhatsApp и Signal, которые якобы предоставляют пользователям возможность общаться вне досягаемости правительственных служб. Если устройство заражено, вся информация из таких приложений становится доступной, как и другие персональные данные, такие как сообщения, фотографии и звонки. Тем временем установленные в мобильных телефонах камеры и микрофоны могут использоваться как удаленные записывающие устройства.

«Чтобы обойти [шифрование], нужно получить доступ к одному из устройств», — говорит Клаудио Гварньери, глава Лаборатории безопасности Amnesty International. Именно это и делает Pegasus. «У Pegasus больше возможностей, чем у владельца телефона. Если вы, например, используете Signal, который шифрует сообщения... [взломщик] может через микрофон записать, что вы говорите, или сделать скриншоты, чтобы прочитать [переписку]. С точки зрения шифрования защититься от этого практически невозможно.

Более того, беззащитны перед Pegasus абсолютно все. У Гварньери не вызывают доверия приложения, которые якобы гарантируют полную безопасность. Для предотвращения риска взлома он советует соблюдать рекомендации по кибербезопасности. «Не забывайте разделять информацию: в этом случае, даже если ваш телефон заразят, потери будут минимальными».

Проект Pegasus раскрывает тревожную правду. В мире, где смартфоны у людей как продолжение руки, у правительств есть простое коммерческое решение, позволяющее им следить практически за кем угодно и где угодно.

«Мне кажется, что это очевидно: автократы боятся правды и критики, — говорит Скотт-Рейлтон из Citizen Lab.

— В журналистах они видят угрозу, а Pegasus для них — логичное средство борьбы с угрозами».