Откуда взялась NSO Group, и почему она лишь верхушка айсберга

Проект Pegasus
Расследование

Разработанная NSO Group программа Pegasus вызвала столь широкий резонанс из-за длинного списка потенциальных целей для слежки, однако компания – лишь один представитель секретной экосистемы частных поставщиков шпионского ПО. Мы расскажем, как появилась NSO Group и как попала в индустрию, которая «демократизирует» доступ к разрушающим жизни технологиям.

Изображение: Эдди Джеральд / Alamy

July 20th, 2021

Хадиджа Исмаилова давно перестала кому-либо и чему-либо доверять.

Азербайджанской журналистке угрожали, ее преследовали и посадили в тюрьму за удостоенные наград расследования о коррупции в правительстве. В попытке дискредитировать Исмаилову в Сеть выложили интимные видео, тайно снятые в ее спальне. Она усвоила урок – с тех пор она использует только защищенные мессенджеры и следит за развитием технологий, заботясь о безопасности не только своей, но и своих источников.

«Это похоже на войну, – рассказала она о стремлении всегда быть на шаг впереди авторитарного азербайджанского режима.

– Мы рекомендуем друг другу новые инструменты для защиты данных и обсуждаем, как можно скрыться от пристального внимания правительства».

В конце мая Исмаилова узнала, что проиграла битву: противник использовал оружие, которое она и представить себе не могла. Экспертиза показала, что ее телефон тайно заразили шпионской программой Pegasus, которая предоставила взломщикам доступ ко всем ее документам, фотографиям, сообщениям и контактам. У нее давно не осталось секретов.

«Я осознала, что бежать некуда, – проговорила она смиренно. – Остается только закрыться в железном куполе. В противном случае они найдут способ влезть в вашу жизнь. Это кошмар какой-то».

Фото: OCCRP
Журналистка OCCRP Хадиджа Исмаилова была в ужасе, когда узнала, что ее телефон заразили Pegasus.

Исмаилова уверена, что слежку организовало азербайджанское правительство, однако в этот раз оно не обошлось без помощи. Pegasus – установленное на ее телефон вредоносное ПО – разработала израильская компания NSO Group. Вероятнее всего, азербайджанский режим в числе ее клиентов.

(Ни Азербайджан, ни NSO Group не подтвердили, что автократическое правительство использует скандально известное шпионское ПО, однако экспертиза телефона еще одного местного журналиста доказала, что в устройство внедрили Pegasus.)

Компания NSO Group, которую основали в 2010 году два школьных друга, с самого начала специализировалась на взломе телефонов. С ростом популярности мобильных устройств у правительств появилась необходимость в прослушке. Со временем компания стала важным участником рынка шпионского ПО: у нее несколько десятков клиентов, более семисот сотрудников, а ее прибыль в 2018 году составила 250 миллионов долларов.

В NSO Group утверждают, что продают Pegasus только правительствам, и исключительно для борьбы с терроризмом и преступностью. Однако журналисты и эксперты по цифровой безопасности уже не раз выявляли случаи, когда авторитарные режимы с помощью Pegasus следили за сотрудниками СМИ, диссидентами и правозащитниками.

NSO Group находится практически у верхушки этой пирамиды, но она не единственный представитель индустрии. Компания – лишь один участник экосистемы частных фирм, специализирующихся на «киберразведке». Многие из них находятся в милитаристском Израиле, где развит IT-сектор и предпринимательство.

В этих фирмах утверждают, что разработанные ими технологии необходимы для борьбы с преступностью и спасают жизни. По словам экспертов, успех таких предприятий привел к «демократизации» торговли шпионским ПО. Когда-то программы для слежки разрабатывали только избранные разведуправления, а сейчас их покупают службы безопасности и правоохранители разных стран мира – от Азербайджана до Казахстана, от Мексики до Того.

Компании из индустрии цифровой слежки также подпитывают прибыльный рынок «уязвимостей», или багов, которые их программы используют для взлома устройств. Технологические фирмы, такие как Apple и Google, устраняют ошибки по мере их выявления, поэтому у взломщиков возникает потребность в новых уязвимостях – с ними за определенную цену с удовольствием помогут хакеры-фрилансеры. По словам экспертов, разработчики шпионского ПО тратят куда больше ресурсов на поиск уязвимостей, чем компании-производители – на их устранение.

«Пока есть экономический стимул, всегда будут люди, готовые взяться за такую работу», – говорит Клаудио Гварньери, глава Лаборатории безопасности Amnesty International. «Производители всегда будут... в проигрыше.

Это как игра в кошки-мышки, – отмечает он. В данном случае кошка всегда на шаг впереди».

Официальный сайт NSO Group пестрит красивыми словами – тут восхваляют главные ценности компании («подотчетность» и «идейную цельность») и представляют ее миссию: «Цель нашей работы – спасение жизней и создание лучшего, безопасного мира».

Лишь одна фраза – о том, что NSO Group помогает клиентам «преодолеть шифрование» – выдает, чем же на самом деле занимается фирма. (На сайте не упоминается Pegasus – флагманский продукт предприятия.)

Несмотря на то что NSO Group существует уже больше десяти лет, сайт у нее появился лишь два года назад – видимо, в рамках новой стратегии в области связей с общественностью. На фоне многочисленных обвинений в неправомерном использовании ее технологий в компании решили, что молчание делу не поможет.

Сооснователь и гендиректор фирмы Шалев Хулио начал общаться с репортерами – в интервью он утверждал, что у NSO была бы совсем другая репутация, если бы он мог поделиться всем.

«Со всей скромностью могу сказать, что тысячи жителей Европы обязаны жизнями сотням сотрудников нашей компании», – сказал он израильскому изданию Ynetnews в 2019 году.

Этим открытость руководства компании ограничивается. Хулио отказывается не только обсуждать клиентов NSO Group, но и называть их. В прошлом году журналисты немецкой газеты Die Zeit задали ему вопросы о выявленных случаях неправомерного использования ПО компании, на что он ответил, что покупатели должны сами определять, чьи устройства взламывать можно, а чьи – нет. «За юристом следить законно? А что насчет правозащитника? Да или нет? За 16-летним подростком? Ответ таков: зависит от ситуации».

И хотя Хулио признает, что с моральной точки зрения разведывательная деятельность неоднозначна, в разговоре с журналистами он сказал, что NSO Group работает во благо общества: «Иногда приходится идти на жертвы, чтобы поймать плохих парней».

«Если окажется, что действия нашей компании приводят к нарушению прав человека, я тут же оставлю свою должность, – сказал он. – Однако я не вижу доказательств этого. Мы основали NSO, чтобы помогать правоохранителям и разведслужбам».

Эту историю он рассказывал не раз. После службы в Армии обороны Израиля он начал продавать продукцию израильского производства в американских торговых центрах. Тогда они со школьным другом Омри Лави решили открыть компанию, которая будет помогать мобильным операторам удаленно выявлять и устранять ошибки в телефонах клиентов.

По словам Хулио, примерно в 2009 году к ним обратились из некой европейской службы разведки и попросили помочь.

В то время службы безопасности и правоохранители столкнулись с проблемой «ухода в тень»: люди стали активнее использовать шифрование при обмене сообщениями. Ситуация усугубилась в 2013 году, когда Эдвард Сноуден рассказал о том, что американские службы разведки организовали массовую слежку.

«После этого почти все стали использовать шифрование, – говорит Гварньери. – Одно за другим стали появляться приложения [со сквозным шифрованием]».

По его словам, тогда единственным способом перехвата сообщений стал взлом самих устройств.

Как раз в этом NSO Group преуспела. В 2015 году в Сеть просочился документ, в котором подробно описаны возможности Pegasus: «Шифрование... и другие методы защиты не имеют никакого значения, когда программа установлена на устройство».

Однако Pegasus не ограничивается чтением сообщений. Когда программа внедряется в устройство, она получает доступ к огромному объему информации: фотографиям, электронным письмам, контактам и данным, которые передаются через такие приложения, как Facebook и WhatsApp. Она может даже записывать аудио и видео.

Многие годы для установки Pegasus на телефон требовалось, чтобы человек перешел по вредоносной ссылке. Для повышения кликабельности применяли различные манипулятивные тактики: два мексиканских журналиста думали, что получили компрометирующие фото своих партнеров, еще к одному обратились с просьбой помочь найти пропавшую дочь – по ссылке якобы прикрепили ее фотографию. Одно касание – и Pegasus на устройстве и может достать любые данные.

Впервые об этих особенностях программы рассказала в 2016 году Citizen Lab – исследовательская группа Университета Торонто, которая специализируется на вопросах прав человека и технологиях. В публикации, получившей название «Диссидент на миллион долларов», приводят подробные данные экспертизы и объясняют, как Pegasus внедрили в телефон правозащитника из ОАЭ.

По словам исследователей Citizen Lab, уже тогда разработанная NSO Group технология была весьма впечатляющей.

«Думаю, мы тогда впервые столкнулись со шпионской программой, которой для заражения телефона последней версии было достаточно перехода по ссылке», – говорит старший научный сотрудник Citizen Lab Билл Марчак.

«Поэтому мы и придумали название “Диссидент на миллион долларов”, – говорит Джон Скотт-Рейлтон, старший исследователь в Citizen Lab. – Мы хотели подчеркнуть, что ресурсы тратят именно на преследование диссидентов. Они не вторичная цель. NSO предоставила нам такую возможность».

Не так давно Pegasus научилась обходиться без вредоносных ссылок – без каких-либо действий со стороны владельца устройства. В 2019 году WhatsApp подала иск против NSO Group, обвинив компанию в использовании уязвимости приложения для взлома устройств – требовалось всего лишь позвонить на устройство. Жертве даже не надо было отвечать.

«Одна из главных проблем заключается в том, что мы не знаем, появились ли у Pegasus какие-то новые возможности, – говорит Ева Гальперин, директор по кибербезопасности в Electronic Frontier Foundation (EFF). – Это одна из причин, почему нам так сложно научить активистов и журналистов защищаться... Они получают советы, которые либо неактуальны, либо неверны».

А хороший совет очень пригодился бы. Такие правозащитные группы, как Citizen Lab и Amnesty International, уделяют столько внимания NSO Group отчасти потому, что разработанное компанией ПО засветилось во множестве громких дел с участием журналистов и активистов.

В Мексике (по некоторым данным, первая жертва Pegasus была именно там) программу используют против журналистов и адвокатов, специализирующихся на защите прав человека. Вредоносные ссылки получали даже диетологи и политики, поддержавшие введение налога на сладкие газированные напитки.

В Amnesty International выяснили, что технологию NSO Group использовали против одного из сотрудников подразделения организации в Саудовской Аравии – он занимается вопросами в области прав человека. Бывшего президента Панамы Рикардо Мартинелли обвиняют в использовании Pegasus для незаконной прослушки и слежки за политическими оппонентами.

По данным Citizen Lab, к 2018 году технологии NSO Group применяли в 45 странах. Согласно «отчету о прозрачности», который компания опубликовала недавно, у нее 60 клиентов в разных уголках мира.

Пожалуй, NSO Group – один из самых известных поставщиков шпионского ПО, но не единственный. На фоне растущего спроса на услуги «внешней разведки под ключ» возникла целая экосистема компаний – разработчиков инструментов для слежки.

«Когда Сноуден рассекретил данные, люди начали говорить, что у них еще нет таких технологий, – рассказал Джон Скотт-Рейлтон из Citizen Lab (Эдвард Сноуден, бывший подрядчик Агентства национальной безопасности, рассказал, что спецслужба вела массовую слежку). – Многие страны интересовались, где раздобыть подобные вещи».

Из-за того, что представители индустрии цифровой разведки обычно держатся в тени – дела ведут за закрытыми дверями и сделки заключают только с избранным кругом лиц, – в правозащитных организациях решили исследовать этот рынок. Согласно докладу некоммерческой правозащитной группы Privacy International за 2016 год, в мире 528 поставщиков шпионского ПО, большинство из которых находятся в США и Европе, а Израиль попал в пятерку главных экспортеров.

Глава Citizen Lab Рон Дейберт описал представленные на рынке продукты как «услуги АНБ для стран, которые не могут позволить себе нанять само агентство».

«Просто задумайтесь, – говорит он оделе, по которому в 2017 году проходила Ethiopia и еще одна израильская компания, разрабатывающая шпионское ПО. – Одна из беднейших стран мира, где... доступ к интернету есть менее чем у 15 процентов населения, смогла... организовать масштабную международную операцию по кибершпионажу».

«Мы живем в такое время, когда мир захватывает авторитаризм», – говорит он. «Лишь немногие страны используют надлежащие меры защиты и способны предотвратить неправомерное использование столь мощной и сложной технологии».

Есть несколько способов предотвращения злоупотреблений подобными технологиями. Большинство стран, в которых расположены компании – производители шпионского ПО, подписали Вассенаарское соглашение – международный договор, направленный на обеспечение прозрачности в сфере экспорта оружия и технологий, которые могут использоваться в военных целях. Изначально соглашение ограничивало только торговлю стандартными военными товарами, такими как танки и вертолеты, однако в 2013 году в этот список внесли и «ПО для взлома устройств».

В правозащитных группах отмечают: никто не знает, соблюдают ли страны эти ограничения, учитывают ли риски нарушения прав человека. В Citizen Lab отметили, что, «несмотря на наличие мер контроля за экспортом», вредоносные программы продают странам, «которые не раз обвиняли в преследовании правозащитников».

Израиль не входит в число государств, подписавших Вассенаарское соглашение, однако придерживается тех же экспортных правил, из-за чего все сделки NSO Group с зарубежными клиентами должно одобрить Министерство обороны.

Израиль – лидирующий экспортер оружия, поэтому правительство руководствуется при принятии решений как коммерческими, так и стратегическими соображениями.

«[Для Израиля] экспорт технических средств разведки может сыграть важную роль в укреплении сотрудничества в вопросах разведки [с другими странами]», – говорят в Privacy International, отмечая, что «неизвестно, какой приоритет отдают вопросам нарушения прав человека».

«Настоящая проблема заключается в том, что израильское регулирование – государственная тайна, – рассказал человек, осведомленный о делах NSO Group и согласившийся пообщаться с журналистами The Guardian на условиях анонимности. – Никакого надзора со стороны парламента. Все контролирует израильское Министерство обороны».

В ответ на запросы журналистов в министерстве сообщили, что «разрешают экспортировать цифровые продукты только правительственным учреждениям, и исключительно для использования в законных целях – предотвращения и расследования преступлений и борьбы с терроризмом». И добавили, что в случае выявления нарушений «принимаются соответствующие меры».

Израильский сегмент индустрии цифровой разведки крайне важен, потому что стране удалось прыгнуть намного выше своей головы. По данным The Financial Times, в 2015 годуна долю израильских компаний приходилось порядка десяти процентов мировой индустрии кибербезопасности. Privacy International сообщает, что в Израиле «компаний, разрабатывающих шпионское ПО, на душу населения» в десять раз больше, чем в США.

Один из факторов, объясняющих это, – огромный кадровый потенциал: граждане страны проходят обязательную военную подготовку, они образованны и разбираются в современных технологиях. Между тем местные службы разведки с радостью набирают одаренных новобранцев.

«Ежегодно военную подготовку проходит огромное количество талантливых ребят, – рассказал в 2019 году изданию The New Yorker Гади Авиран, основавший разведывательную фирму Terrogence. – Компаниям вроде моей нужно было всего лишь подойти к ним со словами “у тебя есть потенциал”».

Неудивительно, что NSO Group так и делала.

По некоторым данным, разработать небезызвестную технологию компании помогли выходцы из Подразделения 8200 Армии обороны Израиля, специализирующегося на радиоэлектронной разведке. Его называют «ведущим мировым агентством в области технической разведки». Даже пресс-секретарь фирмы Ариэла Бен-Авраам раньше была бригадным генералом Армии обороны Израиля и занимала должность «главного военного цензора» страны.

NSO Group с радостью принимает на работу молодых ветеранов – сейчас в компании более семисот сотрудников. Однако это вовсе не значит, что все уязвимости, которые использует разработанная фирмой программа, обеспечивают ее сотрудники.

«Думаю, что немалую часть они выявляют или создают сами, – говорит Гварньери из Amnesty International. – Но они не обходятся без услуг сторонних специалистов и посредников. Так устроена эта индустрия».

Важно отметить, что, несмотря на обилие слухов, нет подтверждений того, что NSO Group покупает уязвимости у хакеров. Подобным фирмам необходим постоянный приток новых уязвимостей, потому что технологические компании вроде Apple и Google без промедления устраняют существующие. Это часть «гонки вооружений» с хакерами, которые зарабатывают огромные суммы, выявляя новые, еще не устраненные ошибки – так называемые уязвимости нулевого дня.

Еще в начале 2000-х годов частные компании обращались за помощью к фрилансерам, предлагая им «щедрую награду» за новые уязвимости.

Журналистка The New York Times Николь Перлрот, освещающая вопросы кибербезопасности и кибершпионажа, изучила становление этого рынка при написании ставшей бестселлером книги «Вот как, по их словам, закончится мир: гонка кибервооружений». Источники рассказали ей о компаниях, которые отправляли в Восточную Европу посредников с сумками, полными денег, чтобы они купили новые уязвимости.

Перлрот сообщает, что, по оценке основателя ежегодной выставки шпионского ПО, к 2013 году оборот рынка уязвимостей «составлял свыше пяти миллиардов долларов». Он отметил, что «еще 10 лет назад этой индустрии не существовало».

Когда на кону такие деньги, находится много желающих их заработать. Среди них был The Grugq – выходец из ЮАР, которого журналисты Forbes сфотографировали с сумкой денег. Он был брокером, который организовывал сделки между хакерами, выявляющими уязвимости, и правительственными службами, готовыми заплатить за них сотни тысяч долларов. (Он сообщил, что 80 процентов прибыли получал от клиентов из США. По словам Перлрот, это доказывает, что американские правительственные агентства «содействовали развитию прибыльной и нерегулируемой “гонки вооружений”».)

В 2015 году взломали серверы компании Hacking Team – итальянского конкурента NSO Group. Из утекших писем стало известно, что «уязвимости ’’нулевого дня’’ превращали в товар, который продавали в комплекте с мощным шпионским ПО правительствам, известным вопиющими случаями нарушения прав человека».

По некоторым данным, сейчас стоимость существенных уязвимостей достигает двух или двух с половиной миллионов долларов – эти суммы демонстрируют, с какими проблемами сталкиваются технологические компании в попытке обойти фрилансеров.

Гальперин из Electronic Frontier Foundation отмечает, что в Apple и Google есть команды, которые занимаются розыском «хакеров государственного масштаба».

По ее словам, «их работа похожа на игру “ударь крота”».

Гварньери тоже похвалил Apple за быстрое реагирование, однако с сожалением добавил, что «они всегда будут на шаг позади».

Скотт-Рейлтон из Citizen Lab говорит, что правительства, представители гражданского общества и технологические компании должны объединиться. «Глупо верить в то, что кто-то из них сможет решить эту проблему самостоятельно», – считает он.

Исследователь отметил, что привлечение таких компаний к ответственности, например иск WhatsApp против NSO Group, – это большой шаг вперед. Однако, как отмечает глава Citizen Lab Дейберт, потребовалось давление общественности. Перемены наступят лишь тогда, «когда люди начнут осознавать, что эта индустрия по природе своей губительна».

Журналисты обратились с просьбой о комментарии к юридической фирме, представляющей интересы NSO Group. Там сообщили, что данные, которые журналисты используют для выявления случаев заражения устройств программой Pegasus, истолковали неверно. И вновь заявили, что правительства – клиенты NSO Group используют разработанные ею технологии только в законных целях. (Нажмите, чтобы подробнее ознакомиться с заявлениями NSO Group).

Над материалом также работали журналисты партнеров проекта Pegasus, в том числе Die Zeit, The Washington Post, The Guardian и Forbidden Stories.