Forbidden Stories, OCCRP и другие участники проекта Pegasus обратились к NSO Group с просьбой о комментариях. Компания и привлеченная ею юридическая фирма прислали ряд ответов.
В целом NSO Group отвергла результаты журналистского расследования, назвав их «неподтвержденными теориями», основанными на «безосновательной» информации из «ненадежного» источника.
Ниже ответы NSO Group приведены более подробно.
Исходные данные
Ключевой элемент проекта Pegasus — список более чем из 50 тысяч телефонных номеров. Вероятно, это перечень номеров, которые клиенты NSO выбрали в качестве целей наблюдения. (Подробнее о доказательной базе этого вывода — в статье OCCRP «О проекте»)
Изначально сотрудники нанятой NSO Group юридической фирмы написали:
«У NSO Group есть веские основания полагать, что эти „тысячи телефонных номеров“ — не перечень потенциальных мишеней правительств, использующих Pegasus, а, вероятно, лишь часть более объемного списка номеров, которые клиенты NSO Group могли использовать для других целей».
Затем компания предоставила более подробную информацию:
«У NSO Group есть веские основания полагать, что предъявленные претензии основаны на неверной интерпретации данных, просочившихся из доступных и открытых ресурсов, таких как HLR Lookup. Эти данные не имеют отношения к списку тех, на кого нацелены клиенты NSO, использующие Pegasus или любые другие продукты компании. Такие услуги доступны всем, везде и всегда. Обычно их для различных целей используют правительственные учреждения и частные компании по всему миру».
«Объем так называемого списка… доказывает, что он не может быть перечнем номеров, на которые нацелены правительства, использующие Pegasus. У этих правительств не так много мишеней. Следовательно, заявление Forbidden Stories о том, что ее сотрудники проверили записи о тысячах „целей“ клиентов NSO Group, — неправда».
_«Что же касается вашей просьбы подтвердить „существование таких данных“, то, разумеется, мы не можем этого сделать. Даже если это данные клиентов, мы их не видим, и у нас нет к ним доступа». _
В другом письме представители NSO добавили:
«Вы выдвинули ошибочный и умозрительный тезис о том, что данные могли использовать третьи стороны до попытки наблюдения. Но это утверждение (даже если оно верно) не доказывает, что „использование“ на самом деле было попыткой наблюдения, что эта попытка была успешной или что предпринятые или завершенные попытки привели к последствиям, которые вы подразумеваете в своих вопросах. Очевидно, что попытка слежки — это НЕ единственный способ использования данных. Несомненно и то, что данные можно использовать множеством законных и корректных способов, которые не имеют ничего общего со слежкой или с NSO. Так что нет фактических оснований для предположения (которое следует из ваших вопросов) о том, что использование данных каким-то образом приравнивается к слежке».
«NSO не в курсе конкретной разведывательной деятельности своих клиентов, но даже элементарного представления о принципах разведки достаточно, чтобы понять, что такие типы систем используются в основном не для слежки, а для других целей».
Организация Amnesty International подготовила технический анализ, который мы опубликовали вместе с проектом. В нем представлены результаты экспертизы и доказательства того, что десятки проверенных телефонных номеров были заражены Pegasus. В ответ представители NSO Group написали:
«Если вы опираетесь на „технический анализ“, то он представляет собой подборку умозрительных и необоснованных гипотез относительно предполагаемой связи между содержимым документа и технологией NSO Group. В основу вашего анализа легли предположения, связывающие NSO Group и предыдущие отчеты, которые, в свою очередь, были основаны на аналогичных предположениях из еще более ранних отчетов. Связь между отчетами разных уровней не доказана: для ответственного журналиста этого было бы недостаточно, чтобы публиковать подобные заключения»._
Клиенты NSO Group
Придерживаясь давней политики, в NSO Group отказались подтвердить или опровергнуть отношения с клиентами, о которых свидетельствуют данные утечки и другие материалы:
«Как мы уже говорили, по условиям договоров и из соображений национальной безопасности NSO не может подтвердить или опровергнуть личности правительственных заказчиков».
Также в компании заявили, что не используют программное обеспечение Pegasus после его продажи:
«NSO не управляет системами, которые продает проверенным правительственным заказчикам, и у компании нет доступа к данным клиентов».
Убийство Сесилио Пинеды
В ответ на вопрос об использовании шпионского ПО NSO Group против мексиканского журналиста Сесилио Пинеды, которого впоследствии убили, представитель юридической фирмы, нанятой компанией, написал:
«Даже если в Forbidden Stories правы и в феврале 2017 года мексиканский клиент NSO Group выбрал целью номер телефона журналиста, это не означает, что клиент NSO Group или данные, полученные благодаря программному обеспечению NSO Group, были связаны с убийством журналиста в марте. Связь — это еще не причина, и убившие журналиста вооруженные лица могли найти его на автомойке множеством способов, не связанных с NSO Group, ее разработками или клиентами».
Джамаль Хашогги
В ответ на вопросы об использовании шпионского ПО NSO Group против родных и близких убитого саудовского диссидента Джамаля Хашогги в компании написали:
«Наша технология никоим образом не была связана с гнусным убийством Джамаля Хашогги. Ее не использовали ни для прослушивания, ни для мониторинга, ни для отслеживания геолокации, ни для сбора информации. Сразу после ужасного убийства мы расследовали эти обвинения — опять же, необоснованные. … В Forbidden Stories заявили, что в 2019 году Саудовская Аравия выбрала мишенью британского адвоката по правам человека, который представлял интересы „невесты Джамаля Хашогги“ и „саудовского правозащитника“. Это просто не может быть правдой: NSO Group может доказать, что использовать Pegasus таким образом технически невозможно».
и
«Мы можем подтвердить, что наша технология не использовалась для прослушивания, мониторинга, отслеживания геопозиции или сбора информации о нем или его родных, упомянутых в вашем запросе».
Миссия NSO Group
Нанятая NSO Group юридическая фирма сообщила, что продукция ее клиента используется в благих целях, и в компании серьезно относятся к обвинениям в злоупотреблениях:
_«NSO Group и впредь будет расследовать все достоверные заявления о неправомерном использовании ее продуктов и по результатам расследований принимать соответствующие меры. В том числе отключать систему клиента — в случае подтвержденного злоупотребления NSO может и готова это сделать, компания не раз так поступала и снова прибегнет к этой мере, если того потребует ситуация. Этот процесс закреплен в „Отчете о прозрачности и ответственности“ NSO Group, который выпустили в прошлом месяце».
«На самом деле технологии NSO Group помогли предотвратить теракты, насилие с применением огнестрельного оружия, взрывы автомобилей и подрывы террористов-смертников. Эти технологии используются каждый день, чтобы разоблачать группы, причастные к педофилии, сексуальному принуждению и наркоторговле; чтобы находить пропавших или похищенных детей, разыскивать выживших под завалами зданий и защищать воздушное пространство от проникновения несущих угрозу дронов». Проще говоря, NSO Group спасает жизни людей, и компания будет добросовестно выполнять эту миссию, несмотря на все попытки дискредитировать ее на ложных основаниях».
Дополнение от 19 июля 2021 года
После публикации основных статей проекта генеральный директор NSO Group Шалев Хулио обратился к The Washington Post, чтобы дать несколько дополнительных комментариев.
Он по-прежнему отрицал, что список более чем из 50 тысяч номеров, который стал основой расследования, был перечнем мишеней Pegasus — разработки NSO Group. Кроме того, он сказал, что большинство утверждений в статьях не соответствуют действительности.
Однако Хулио отметил, что за последний год NSO Group расторгла контракты с двумя клиентами из-за опасений по поводу нарушений прав человека. Некоторые выводы, описанные в статьях, он назвал «тревожными» и сказал, что «очень обеспокоен» тем, что прочитал.
«Мы проведем расследование, — сказал он. — Я считаю, что надо всё проверить. И в ходе проверки кое-что из этого может оказаться правдой».
Дополнение от 21 июля 2021 года
В NSO Group дополнительно ответили на так называемую хорошо организованную медиакампанию Forbidden Stories, которую продвигают группы с особыми интересами. Разработчики заявили, что больше не станут отвечать на запросы СМИ.
«Всему есть предел», — написал представитель, повторив, что перечень из 50 тысяч телефонных номеров, который получили репортеры, — это «не список целей или потенциальных целей Pegasus», и что «номера в нем не имеют отношения к NSO Group».
«NSO — это технологическая компания, — сказано в заявлении. — Мы не управляем системой, и у нас нет доступа к данным клиентов, однако в рамках расследования они обязаны представлять нам такую информацию».
«NSO продолжит свою миссию: будет спасать жизни, помогать правительствам по всему миру предотвращать теракты, разоблачать группы, причастные к педофилии, сексуальному принуждению и наркоторговле; будет находить пропавших или похищенных детей, отыскивать выживших под завалами зданий и защищать воздушное пространство от проникновения несущих угрозу дронов».
NSO Group сообщила OCCRP, что ее клиенты «по условиям договора обязаны предоставлять [NSO Group] права аудита в случае подозрений в неправомерном использовании» ее программного обеспечения.
Список стран, которые авторы проекта Pegasus считают клиентами NSO Group, в компании назвали «неточным», но подробностей не сообщили.
На вопрос, покупает ли компания средства эксплуатации уязвимостей у хакеров-фрилансеров, в NSO Group ответили, что «информация об исследованиях и разработке конфиденциальна».