Паризький журналістський non-profit Forbidden Stories та міжнародна правозахисна організація Amnesty International отримали доступ до списку з більш ніж 50 тисяч телефонних номерів ‒ можливих цілей Pegasus ‒ шпигунського програмного забезпечення виробництва скандальної ізраїльської компанії NSO Group.
Журналісти та експерти, залучені до аналізу цих номерів змогли пов’язати більше 1000 номерів з реальними людьми, включно з більш ніж 600 політиків та урядовців з 50 країн та 189 журналістів (у 20 країнах).
Дослідники також ідентифікували країни, урядові агенції яких могли бути клієнтами NSO Group ‒ це Азербайджан, Бахрейн, Угорщина, Індія, Казахстан, Мексика, Руанда, Саудівська Аравія, Того та Об’єднані Арабські Емірати.
Експерти Amnesty змогли отримати та проаналізувати 67 смартфонів журналістів та активістів з номерами телефонів у списку Forbidden Stories.
На 37 з них було виявлено сліди шпигунського софту Pegasus або спроб його встановити.
При цьому з 15 перевірених Android спроби зламу були зафіксовані лише на трьох, але це могло бути зумовлене нестачею даних, що зберігаються на Android.
Натомість з 52 проаналізованих телефонів iPhone ‒ які мають більш повну систему логів, порівняно з Android ‒ сліди успішних зламів або спроб було знайдено у аж на 34 пристроях.
Також експерти змогли ідентифікувати сотні серверів у різних країнах світу, включно з США та Україною, з яких запускався або контролювався шпигунський софт.
Чим небезпечний Pegasus
Pegasus, а саме його останні версії, здатні заражати останні повністю оновлені моделі смартфонів iPhone та Android, без жодної взаємодії з боку власника телефону. Шпигунське ПЗ здатне викрадати повідомлення з месенджерів та пошти, фото та інші медіа, а також непомітно активувати мікрофони та камери.
Цей шпигунський софт не persistent ‒ тобто не лишається на смартфоні після його перевантаження. Утім, простота повторного зараження робить це скоріше перевагою, аніж недоліком, адже так його складніше виявити.
Очевидно, що захисту, який було імплементовано Google та Apple у своїх операційних системах, виявилось недостатньо, щоб зупинити мотивованого та доволі беспринципного атакуючого з великими фінансами.
Характер виявлених вразливостей також свідчить про великі проблеми в безпекових підходах Apple, на які дуже давно вказували незалежні дослідники, але це тема варта окремої статті.
У Android ситуація з безпекою не набагато краща, а способів знайти сліди шкідливого програмного забезпечення на ньому менше, ніж навіть у iPhone.
Утім, вдосконалення захисту операційних систем за останні роки зробили такі атаки набагато дорожчими, і, зокрема, суттєво більш ризикованими з точки зору продавців таких рішень. Щойно про такий спосіб проникнення стає відомо, Apple та Google будуть намагатись якомога швидше ліквідувати використані для проникнення вразливості, цим самим роблячи попередні версії шкідливого софту застарілими та неефективними.
Зростання ціни таких вразливостей в теорії має вести до зменшення кількості цілей – є різниця між сотнею та кількома десятками тисяч активістів, за якими може стежити авторитарний режим чи корумповані правоохоронці.
Чи є Pegasus в Україні?
З дослідження Amnesty ми знаємо, що чотири з сотень серверів, через які завантажувалась та контролювалися шкідливе програмне забезпечення, розташовані в Україні.
Тобто частина інфраструктури NSO group і справді розташована в Україні, але найімовірніше, просто як орендовані сервери. Для порівняння, хоча NSO Group прямо заборонено шпигувати за громадянами США, значна частина їхньої інфраструктури до останнього моменту перебувала на серверах американської компанії Amazon.
Ми не знаємо, чи у списку 50 тисяч цілей, які отримала Amnesty та Forbidden Truth, були українські громадяни чи особи, що перебували в Україні.
Утім, ми можемо з високою впевненістю припустити, що українських журналістів та активістів у цьому списку ідентифіковано не було, інакше про це було б згадано у відповідному звіті.
Також слід пам’ятати, що NSO Group продає ліцензії на свої шпигунські програми лише урядовим агенціям, передусім правоохоронним органам та спецслужбам. В ідеальному світі це означає, що покупці NSO обмежені власним законодавством, і не будуть виходити за межі своїх юрисдикцій. У реальному світі це не зовсім так, але дані обмеження все ж існують та суттєво впливають на вибір цілей.
Яка ймовірність, що українські правоохоронці купили ці або подібні ліцензії? Ми достеменно не знаємо, але припускаємо, що ймовірність цього досить низька.
По-перше, такі ліцензії коштують досить дорого ‒ станом на 2016 рік “злам” 10 айфонів софтом NSO Group коштував $650 тис. + $500 тис. одноразової оплати за інсталяцію обладнання. Софт для віддаленого зламу пристроїв від інших компаній-конкурентів NSO з Ізраїлю, за даними наших колег, сьогодні коштує ще дорожче.
До того ж, досвід життя в Україні підказує наступне. Навіть якби гроші на такий софт вдалося б знайти, то купити його в українських реаліях було б досить складно ‒ згідно їхньої експортної ліцензії, продавати цей софт NSO має право лише напряму державним установам, без використання фірм-прокладок. А от чи будуть українські правоохронні органи займатись закупівлями дорогого спеціального софту напряму у їх виробників без завищення ціни у кілька разів ‒ судити уважному до сучасних українських реалій читачу самостійно.
Чого треба боятися українським активістам?
Ефективних технічних засобів захисту від такого шпигунського софту у звичайного журналіста та активіста немає.
При цьому, не потрібно спрощувати життя ворогам громадянського суспільства, і вчасно встановлювати оновлення безпеки на мобільних пристроях все ж необхідно. Це захистить ваші пристрої від менш “дорогих” і більш доступних пересічному корупціонеру чи зловмиснику цифрових атак.
Як перевірити оновлення на Android та iOS.
Також можна встановити мобільні антивіруси для Android ‒ наприклад, продукцію ESET або Malwarebytes. Для iPhone можемо порадити iVerify від Trail of Bits, для перевірки основних налаштувань безпеки смартфона. Від уваги клієнтів NSO Group це може й не захистить, але від “місцевих” талантів може допомогти.
Ще хорошим захистом є реально працююча прозорість та підзвітність правоохоронних органів та спецслужб, які б не мали стежити за власними громадянами з політичних та корисливих міркувань. Кажуть, що таке теж буває.
А якщо ви вже справді серйозно хвилюєтесь про цифрові права та безпеку себе та своїх співгромадян, то не завадить підтримати організації, які послідовно займаються їх захистом – наприклад, Amnesty International, AccessNow, Electronic Frontier Foundation, Citizen Lab та рідну українську Лабораторію цифрової безпеки.
Для технічно просунутих читачів, які хочуть самостійно перевірити власні пристрої на шпигунський софт ‒ NSO та подібні ‒ рекомендуємо чудовий інструмент, опублікований Amnesty International. Звісно, усі перевірки на ваш бюджет, страх і ризик.