На днях центры кибербезопасности Access Now и Citizenlab объявили, что израильское программное обеспечение для шпионажа Pegasus было использовано для слежки за издателем "Медузы" Галиной Тимченко. Pegasus позволяет взламывать даже айфоны, заражая их через SMS или мессенджеры, причем иногда программе удается находить уязвимости в приложениях, которые позволяют заражать телефон, даже если пользователь не открывает сообщение. В Россию программа не поставляется, кто стоит за атакой — неизвестно, но это далеко не первый случай, когда от израильского ПО страдают журналисты, активисты и правозащитники.

Как работает экспорт кибероружия из Израиля

Израиль — настоящая Мекка для производителей шпионского программного обеспечения. Причин тому две: огромный вес военного сектора в стране и экспортная политика. Многие израильские технологические компании были созданы бывшими высокопоставленными офицерами разведывательных служб, например, "Моссада" или знаменитого разведывательного подразделения 8200. Их системы часто воспроизводят военные инструменты разведки, но действуют без контроля со стороны государства и могут быть проданы в страны с любым политическим режимом. Несмотря на то, что подобное ПО рекламируют как средство защиты от террористов, целями шпионских устройств по всему миру нередко становятся активисты и журналисты.

В Израиле продажа оборонных технологий контролируется "Законом об оборонном экспортном контроле" 2007 года: компании должны зарегистрироваться в Министерстве обороны, прежде чем подавать заявку на лицензию на маркетинг и экспорт. Однако тот же самый закон упразднил возможность отзыва лицензий, если технология используется для нарушения прав человека, действий, противоречащих международному праву, или для подавления демократических движений. Высокоэффективное программное обеспечение для шпионажа, изначально разработанное для израильской армии, также может быть воспроизведено и продано за границей частными фирмами диктаторским режимам. Однако ответственность за такой экспорт не лежит исключительно на частных фирмах. Израильское правительство играет ключевую роль в выборе стран, в которые отправляются системы слежки, и власти используют продажу определенных средств шпионажа для продвижения своих интересов.

Итай Мак — израильский юрист, который уже много лет борется за прекращение экспорта израильских систем шпионажа в страны с диктаторскими режимами. Он отправляет многочисленные петиции в Министерство обороны. "Контролируя выдачу лицензии на экспорт, министерство фактически контролирует саму отрасль", — заявил он The Insider. Мак объясняет, что компании эти подобны субподрядчикам, власти даже могут оказать на них давление, чтобы вынудить продавать продукцию в определенные страны: "Год назад меня пригласили выступить на мероприятии для всех юридических советников оборонных компаний, и одна из их жалоб как раз касалась Министерства обороны. Производителям под давлением властей часто приходится идти на риски".

Среди прочего Израиль предоставляет технологии (в том числе Pegasus) Азербайджану, чтобы обеспечить близкие отношения с Баку, хотя не секрет, что власти страны преследуют журналистов и активистов.

В ряде случаев шпионские компании, находящиеся под управлением израильтян, регистрируются за границей, чтобы избежать местных регуляций. Например, компанию Quadream обвиняют в продаже шпионского программного обеспечения для взлома мобильных устройств в Саудовскую Аравию, с которой у Израиля нет дипломатических отношений. Как и Pegasus, это ПО известно тем, что имеет успешные примеры заражения устройств без участия самого пользователя (zero-click).

Для обхода экспортных преград Quadream использовала услуги кипрской компании InReach. Итай Мак утверждает, что "Закон об оборонном экспортном контроле" также де-юре регулирует ситуации, когда израильские компании основывают дочерние предприятия за рубежом: "Если управление компанией осуществляется израильтянами, то ей необходимо получить лицензию независимо от того, зарегистрирована ли она в Венгрии, Кипре или Румынии. Они не могут игнорировать регуляции". Но де-факто филиалы за границей — это способ для израильских компаний (и для властей) попытаться обойти закон.

Кто помог шпионить за Тимченко

Pegasus компании NSO Group — самое известное израильское средство шпионажа, в первую очередь, из-за длинного списка их жертв и скандалов со злоупотреблениями. Компания утверждает, что Pegasus предназначен для борьбы с террористами и преступниками, но именно это ПО, по данным специалистов по кибербезопасности, было установлено на телефон издателя "Медузы" Галины Тимченко и, возможно, еще нескольких журналистов. Телефон жены саудовского журналиста Джамаля Хашогги также был взломан с использованием Pegasus за несколько месяцев до того, как его убили и расчленили на территории консульства Саудовской Аравии в Стамбуле.

Pegasus был продан более чем 40 странам (среди которых пять членов ЕС). В 2021 году группа международных расследователей выяснила, что с его помощью осуществлялся шпионаж более чем за 180 журналистами, правозащитниками, адвокатами и представителями оппозиции в Польше, Венгрии и Индии.

В начале сентября Парламентская ассамблея Совета Европы осудила Польшу, Венгрию, Грецию, Испанию и Азербайджан за использование этого инструмента в политических целях. Соединенные Штаты внесли NSO Group в черный список, ограничив доступ компании к американским технологиям.

NSO Group регулярно находит и использует новые уязвимости для Pegasus. В начале сентября 2023 года Apple выпустила обновления, отвечая на обнаруженные ранее слабые места в устройствах, которые могли использовать для шпионажа за гражданскими активистами в Вашингтоне. Эта уязвимость затронула множество устройств Apple, включая старые модели iPhone, iPad, компьютеры и ноутбуки Mac, а также Apple Watch. Но и устройства на платформе Android не защищены от подобных угроз.

В более ранних версиях Pegasus использовались вредоносные текстовые сообщения, при этом получатели должны были кликнуть по ссылке (такую СМС получил, например, мексиканский журналист-расследователь Хорхе Карраско в 2016 году). Однако более поздним версиям этого ПО удавалось попадать в телефон незаметно, используя уязвимости "нулевого дня" (то есть те, о наличии которых еще никому не известно) и не требуя никаких действий от пользователя. Может ли Pegasus и сегодня получать доступ к переписке даже без клика пользователя, неизвестно. Apple и Android постоянно обновляют свои версии, что закрывает известные дыры, но гарантировать, что Pegasus не нашел новые, никто не может.

После установки Pegasus позволяет своим заказчикам собирать пароли и получать полный контроль над устройством, например, превращать его в удаленный микрофон или камеру, а за счет контроля над экраном можно читать любую переписку, вне зависимости от того, насколько защищен мессенджер. Это может быть целью тех, кто взломал телефон Галины Тимченко: издатель "Медузы" направлялась на конференцию в Берлине, когда ее устройство было взломано.

Согласно информации Access Now, главным подозреваемым во взломе является Латвия при поддержке Эстонии, хотя компания не исключает, что такие страны, как Азербайджан, Казахстан или Узбекистан, могли взломать Тимченко по заказу России. Любопытно, что при этом министерство обороны Израиля не выдало NSO Group лицензии на экспорт в Эстонию и Украину на том основании, что они планировали использовать технологию Pegasus против российских целей.

По словам израильского эксперта в области кибербезопасности Омера Бенджакоба, Тимченко, возможно, не единственная российская журналистка, ставшая жертвой Pegasus. Типичный контракт NSO Group обычно подразумевает несколько параллельных взломов.

Жертвы Pegasus

Согласно недавнему исследованию Citizen Lab и Access Now, с октября 2020 по декабрь 2022 года до 12 армянских граждан стали жертвами Pegasus. В их случае также неясно, какая страна стоит за взломом, но следователи подозревают, что атака связана с конфликтом между Арменией и Азербайджаном. Хотя Азербайджан является близким союзником Израиля и известно, что он заключал сделки с NSO Group, неясно, обладает ли Армения такими средствами шпионажа. Пострадавшие от Pegasus рассказали The Insider о своем опыте.

Карлен Асланян — журналист армянской службы "Радио Свобода" ("Радио Азатутюн"), ведет популярное политическое шоу, приглашает гостей для обсуждения конфликта в Нагорном Карабахе. Его телефон был заражен Pegasus примерно в апреле 2021 года: "Я не получал никаких вредоносных ссылок, электронных писем или чего-либо подобного. Однако оказалось, что за одним из моих коллег шпионили, и представители Amnesty International провели проверку телефонов сотрудников Radio Liberty. Они выяснили, что мой телефон был заражен Pegasus примерно в апреле 2021 года. Я бы не узнал об этом, если бы не случайные проверки. Интересно, что шпионили за представителями разных сфер — политиками, находящимися у власти, политической оппозицией, журналистами и оппозиционными журналистами. Учитывая это разнообразие, многие подозревают Азербайджан, но мы не можем сказать на сто процентов.

Даже Amnesty International не может точно определить, из какой страны была атака. Однако нам известно, что Азербайджан приобрел Pegasus, а армянское правительство, по крайней мере на основании открытых документов, — нет. Конечно, учитывая текущее напряжение между Арменией и Азербайджаном, я боюсь, что они снова попробуют начать слежку".

Рубен Меликян — еще одна жертва Pegasus в Армении: "Мой телефон был заражен в конце мая 2021 года, примерно во время парламентских выборов в Армении. Я не заметил никаких признаков, этот шпионский вирус настолько утончен, что его невозможно обнаружить без специального расследования.

Я работал в комиссии по мониторингу выборов. Мы публиковали много важной информации: например, кандидат от правящей партии был вынужден снять свою кандидатуру, потому что мы раскрыли, что у него было двойное гражданство. Таким образом, я занимался внутренними делами Армении, а не Азербайджана, когда мой телефон был взломан. Но я также был уполномоченным по правам человека Республики Арцах с 2016 по 2018 год, это тоже могло сыграть роль. Тем не менее армянское правительство не провело никакого расследования в этом случае, и это вызывает подозрение, потому что если кто-то из граждан одной страны стал жертвой шпионажа, то логично было бы начать следствие".

Выбор России — шпионское ПО UFED

В России Pegasus официально нет, но Кремль активно использует другое израильское программное обеспечение для извлечения данных UFED, разработанное компанией Cellebrite. Хотя некоторые базовые продукты Cellebrite не требуют экспортных лицензий, израильские власти имеют возможность контролировать продажу более продвинутых версий UFED государственным учреждениям. UFED отличается от систем вроде Pegasus: это не удаленное шпионское ПО, а устройство, которое нужно приложить к телефону, чтобы получить к нему доступ.

В 2020 году Александр Бастрыкин из Следственного комитета России заявил, что его ведомство использовало UFED более 26 тысяч раз для взлома различных телефонов. Устройство применялось в наркотических делах, делах о взяточничестве и против активистов, таких как Любовь Соболь. В одном случае адвокат утверждал, что тульский следователь получил доступ к сообщениям WhatsApp и Viber на iPhone 7 подозреваемого с помощью UFED и удалил информацию, которая могла бы подтвердить его невиновность.

В конце 2021 года Cellebrite объявила, что остановит продажу своих услуг клиентам в России и Беларуси под давлением Израиля. В пользовательском соглашении на системы UFED упоминается "Код отключения" и утверждается, что Cellebrite может на расстоянии выключить свои устройства. Однако даже после февраля 2022 года СК России и Беларуси по-прежнему используют это устройства, включая операции в Чечне. Тренировочные сессии по изучению UFED также проводились в Краснодаре для силовиков в конце 2022 года. Итай Мак объясняет, что, хотя Cellebrite заявила, что остановит продажу своих систем, о прекращении действующих контрактов ничего не говорилось.

Со стороны властей также звучали заявления о том, что российская армия использует устройства UFED на оккупированных украинских территориях для разблокировки телефонов и проверки, поддерживают ли граждане украинскую армию. Однако эксперты говорят, что конкретные цели россиян в использовании шпионских технологий трудно подтвердить. Российские следователи представили устройство Cellebrite в сентябре 2022 года.

Как защитить себя

Pegasus, безусловно, является одой из самых совершенных шпионских программ. Взлом телефона конкретного человека стоит несколько миллионов долларов, но рынок развивается, и в ближайшие годы неизбежно появятся менее сложные и более дешевые варианты шпионского ПО, которое власти вряд ли будут так усиленно контролировать.

Большинство рядовых программ запускается ошибочным переходом по ссылке, отправкой SMS или подключением к небезопасной Wi-Fi-точке (например, при атаке "человек посередине" — MITM), то есть достаточно соблюдать базовую цифровую гигиену.

• Если вы получаете сообщение со ссылкой, особенно "срочное" (извещение о скором получении посылки или списании денег с кредитной карты), не переходите по ней.
• Если вы доверяете сайту, на который ведет ссылка, введите ее в адресную строку вручную.
• Если вы часто посещаете какой-либо сайт, сохраните его в папке закладок и заходите на него только по ссылке из папки.
• Если вы все же решили щелкнуть на ссылке, а не набрать ее или перейти на сайт через закладку, по крайней мере, внимательно изучите ее, чтобы убедиться, что она указывает на знакомый вам сайт. В некоторых фишинговых ссылках используются похожие буквы из неанглийского набора символов, что называется атакой с использованием омографов. Например, кириллическая буква "О" может быть использована для имитации "O" латинской.
• Если ссылка выглядит как короткий URL-адрес, просмотрите полную ссылку с помощью сервиса URL Expander или ExpandURL, прежде чем кликнуть по ней.
• Прежде чем перейти по ссылке, полученной от знакомого отправителя, убедитесь, что он действительно ее отправил: возможно, кто-то взломал его аккаунт или подделал номер телефона. Для этого используйте альтернативный канал связи. Например, если ссылка пришла по SMS или электронной почте, позвоните отправителю.
• Практикуйте обособление устройств: используйте для открытия непроверенных ссылок дополнительное устройство, на котором нет конфиденциальной информации. Но помните: если вторичное устройство заражено, его все равно могут использовать для слежки за вами через микрофон или камеру, поэтому храните его в сумке Фарадея или по крайней мере не ведите рядом с ним конфиденциальные разговоры (даже если оно в сумке Фарадея).
• Если есть хоть какие-то сомнения относительно полученной ссылки, самая надежная мера оперативной безопасности — не открывать ее.

Если вы всерьез опасаетесь и хотите перестраховаться, вот рекомендации экс-сотрудника одной из западных спецслужб.

• Завести отдельный телефон для конфиденциальной связи с минимумом необходимых приложений, поскольку программы типа RAT (от Remote Access Trojan — "троян удаленного доступа", например Pegasus) используют пользовательские приложения.
• Не отвечать на звонки с неизвестных номеров — ждать, что оставят на автоответчике. Если сообщения не будет, можно заблокировать номер, а через сутки перезвонить.
• Не открывать сообщения WhatsApp от незнакомых отправителей — сделать скриншот уведомления и номера, заблокировать и удалить, а на следующий день связаться с другого номера.
• Для подключения к Wi-Fi можно носить с собой USB-адаптер и никогда не работать с конфиденциальными данными (включая любую личную информацию) через общественный Wi-Fi. Можно купить децентрализованный VPN-маршрутизатор компании Deeper Network.
• Рекомендуемый браузер — DuckDuckGo и сервис перенаправления электронной почты. Альтернатива — Firefox, но с плагином DDGo. Затем Chrome с плагином DDGo.
• Инструмент McAfee Security дает возможность сканирования баз данных на предмет личных данных, телефонных номеров, адресов электронной почты и т. д. В случае утечки приходит уведомление.
• Лучший способ проверить телефон на сложные шпионские программы (не только Pegasus) — инструмент Amnesty International MVT (Mobile Verification Toolkit), который выявляет, находится ли телефон в состоянии джейлбрейка.
• Еще один хороший инструмент, ориентированный конкретно на Pegasus, — приложение iVerify. Это программа для iOS, которая определяет факт взлома iPhone или iPad, а также обучает пользователей навыкам кибербезопасности. В последнюю версию добавлена функция информирования пользователя о наличии признаков заражения телефона программой Pegasus.
• Используйте браузеры, отличные от браузера по умолчанию. Согласно разделу "Сбой при установке" (Installation Failure) в слитом руководстве Pegasus, установка может сорваться, если на устройстве запущен неподдерживаемый браузер, в частности, не совпадающий с браузером, используемым по умолчанию. Но руководству уже немало лет, и есть вероятность, что сегодня Pegasus поддерживает все браузеры.

Признаки заражения телефона

При заражении телефона могут проявиться такие странности, как:

• более быстрая разрядка аккумулятора,
• сбросы и случайные отключения устройства,
• звонки от неизвестных абонентов,
• необычные уведомления,
• длительное время выключения и трудности с перезагрузкой,
• повышенное потребление места в хранилище,
• общее снижение производительности,
• экран, который произвольно загорается в спящем режиме,
• файлы с необычными расширениями,
• сомнительные приложения, установку которых вы не помните.

Разумеется, многие из этих параметров могут проявляться и без всякого заражения, что усложняет задачу диагностики. Вдобавок разработчики шпионских программ знают об этих признаках и прилагают все усилия, чтобы сделать их незаметными. Pegasus, скажем, практически не разряжает аккумулятор, а как только уровень заряда опускается ниже 5%, прекращает передачу данных. Тем, кто попадает в зону риска, — активистам и журналистам — при подозрениях стоит обращаться в специализированные организации в области кибербезопасности, у них уже есть неплохой опыт обнаружения следов Pegasus.