О проекте

Проект Pegasus
Расследование

Что раскрывают эти данные об электронной слежке? Кто был объектом слежки? Действительно ли телефоны всех этих людей были взломаны?

Изображение: Светлана Тюрина

July 18th, 2021

1. Что такое проект Pegasus? Как он возник?

Проект Pegasus — это коллективное расследование в отношении израильской компании из индустрии «цифровой разведки» NSO Group, которая продает правительствам по всему миру высокотехнологичный шпионскую программу.

Как утверждают в NSO Group, их программное обеспечение (ПО) под названием Pegasus для контроля мобильных телефонов призвано помочь клиентам компании бороться с преступностью и терроризмом. Однако программу также использовали для слежки за журналистами, активистами, оппозиционными политиками и инакомыслящими.

После многолетней критики эта окруженная завесой секретности компания в последнее время стала более открытой, декларирует приверженность соблюдению прав человека и в июне даже опубликовала свой «Отчет об обеспечении прозрачности и ответственности» (“Transparency and Responsibility Report”).

Но несанкционированные проникновения с использованием ее программы не прекратились. Поэтому больше восьми десятков журналистов 17 СМИ разных стран объединились, чтобы провести это расследование.

Все началось с того, что некоммерческий журналистский проект Forbidden Stories и правозащитная организация Amnesty International получили доступ к утечке более 50 тысяч телефонных номеров. Многое указывало на то, что это список «целей», в отношении которых применяли шпионское ПО от NSO Group. Как координатор проекта, Forbidden Stories затем пригласил OCCRP, газеты Тhe Washington Post, Тhe Guardian и еще 13 медийных партнеров для помощи в расследовании.

В ходе работы над проектом мы установили имена сотен владельцев этих телефонных номеров. Из них 67 человек прошли экспертизу, чтобы определить, заражены ли их мобильные устройства. В 37 случаях удалось выявить следы программы Pegasus. Материалы этих исследований вкупе с дополнительными массивами данных, внутренними документами, информацией из интервью, документами суда и другими источниками сведений стали основой проекта Pegasus, цель которого узнать, кто был мишенью шпионского ПО NSO Group и что стало с этими людьми.

2. Что значит «потенциальная цель»? Телефоны этих людей действительно взломали?

Ключевой элемент проекта Pegasus — список более чем из 50 тысяч телефонных номеров почти в полусотне стран. Вероятно, это перечень номеров, которые клиенты NSO выбрали в качестве целей наблюдения.

В NSO Group такое мнение насчет списка отвергают. (Смотрите пункт 10 ниже, чтобы узнать больше об ответе NSO Group на эту публикацию. Сам ответ здесь.)

Однако материалы, собранные в рамках проекта Pegasus, дают все основания предположить, что в списке действительно сотовые номера, определенные как «мишени» для пользователей шпионского ПО Pegasus. Нет прямых или косвенных доказательств того, что сама израильская компания составила список или знала что-то об этих номерах.

В списке нет никаких указаний на персоналии, однако журналистам удалось независимо установить владельцев более тысячи номеров. OCCRP занимался поиском владельцев номеров в Азербайджане, Казахстане, Руанде и Индонезии.

Во множестве случаев выявленные хозяева телефонов действительно попадали в категорию лиц, представляющих интерес для правительств. Среди них были как субъекты, реально угрожающие безопасности, например террористы, так и сотни независимых журналистов, диссидентов и членов оппозиции.   Боле того, часть этих номеров появилась в списке в периоды заметных событий в мире, таких как выборы, аресты или публикация компрометирующей частной информации, так что между ними и данными можно усмотреть связь.

Партнеры по проекту Pegasus неформально побеседовали с инсайдерами отрасли, которые подтвердили ключевые аспекты, выяснили, что в судебных материалах иска платформы WhatsApp к NSO Group есть несколько тех же номеров, что и в утекшем списке, а также подтвердили прочие детали, еще больше убеждая в том, что участники проекта Pegasus правильно оценивают эти сведения.

Самый веский аргумент в пользу того, что в списке на самом деле мишени программы Pegasus, появился после независимой экспертизы.

В Лаборатории безопасности Amnesty International проверили телефоны 67 человек, чьи номера значились в списке. На 37 устройствах обнаружили следы шпионской программы Pegasus: 23 телефона были заражены этим ПО, а с четырнадцатью пытались это сделать. Что касается остальных 30 телефонов, то проверка не дала четкого результата, в том числе потому, что в ряде случаев владельцы меняли аппараты.

На 15 телефонах от общего числа была операционная система Android. В отличие от моделей iPhone ОС Android не ведет лог той информации, которую проверяли в лаборатории Amnesty International. Впрочем, на трех телефонах с Android нашли признаки попыток заражения, в том числе через ведущие к Pegasus текстовые сообщения.

В выборке из 27 проверенных телефонов эксперты Amnesty International нашли 84 следа программы Pegasus, которые тесно коррелировали с моментом появления в упомянутом списке номеров. В 59 случаях следы Pegasus проявлялись в течение 20 минут после выбора номера. В 15 случаях след возникал в пределах минуты после выбора. Это явно указывает на то, что в списке номера, выбранные властями для слежки.

К этому списку еще много вопросов: например, кто составил его, как его использовали? Само присутствие в списке не означает, что телефон с этим номером подвергся взлому. В списке вполне могут быть номера устройств, заразить которые не удалось или в отношении которых таких попыток не было вовсе.

3. Кто приобретал шпионское ПО Pegasus?

Путем разбивки номеров в утекшем списке по географическому признаку журналисты определили, что потенциальные клиенты NSO Group были более чем в десятке стран — в основном по одному (но необязательно) на страну.

Вот эти страны: Мексика, Азербайджан, Казахстан, Венгрия, Индия, ОАЭ, Саудовская Аравия, Бахрейн, Марокко, Руанда, Того.

NSO Group уверяет, что продает свои программы только госструктурам, то есть клиенты компании в этих странах — это наверняка разведслужбы, правоохранительные ведомства или другие официальные органы.

4. Кто был мишенью программы-шпиона?

Как утверждают в NSO Group, их программа Pegasus призвана лишь помогать официальным правоохранительным структурам ловить преступников и террористов, и любое другое использование будет нарушать политику компании и пользовательские соглашения.

Участники проекта Pegasus действительно нашли в попавшем к ним списке телефонные номера предполагаемых преступников. При этом более чем из тысячи номеров, владельцев которых установили, не менее 188 принадлежали журналистам. За многими другими номерами числились правозащитники, дипломаты, политики и правительственные чиновники. Также в списке были как минимум десять глав государств.

Как правило, клиенты NSO Group выбирали для слежки людей в своих странах, но иногда шпионскую программу они использовали и в отношении иностранных номеров, включая политиков и журналистов.

5. Процесс и последствия заражения программой Pegasus

Многие жертвы Pegasus рассказали, что получали текстовые сообщения, отправители которых пытались обманом заставить их кликнуть на приложенную ссылку. Такие приемы сами по себе порождают страхи и становятся навязчивым вторжением в личные дела еще до возможного заражения устройства.

Мексиканская журналистка-расследовательница Кармен Аристеги получила десятки сообщений якобы от американского посольства в Мехико, от коллег и даже будто от своего банка и сотового оператора.

«Кармен, мою дочь не могут найти пять дней, мы в отчаянии. Я буду благодарна, если ты поможешь мне разослать ее фото», — говорилось в одном сообщении с приложенной вредоносной ссылкой.

Сын Аристеги, тогда еще несовершеннолетний, также получал подобные СМС, в том числе «предупреждение» о том, что его аккаунт в соцсетях взломан. «Друг, тут есть подставной аккаунт в Facebook и Twitter, идентичный твоему. Лучше проверь, может, надо пожаловаться», — гласило сообщение.

Такие попытки проникновения, широко известные как фишинговые атаки, стали столь распространенными, что многие уже привыкли быть начеку.

Однако шпионское ПО Pegasus со временем совершенствовалось, и последние его версии способны проникнуть в телефон даже без нажатия на ссылку или вообще без каких-либо действий со стороны жертвы.

Когда Pegasus установилась, она может извлекать из телефона разные данные — переписку, контакты, журналы звонков и прочее. Шпионская программа даже может включать микрофоны и камеры и незаметно вести аудио- и видеозапись.

Чтобы больше узнать о возможностях Pegasus, прочтите пояснение от OCCRP.

6. Откуда мы знаем, что за программой стоит NSO Group?

Для начала нам повезло. Несколько лет назад NSO Group не скрывала следы так тщательно, как сегодня.

При организации кибератаки против диссидента из ОАЭ Ахмеда Мансура, чей телефон взломали в 2016 году, NSO Group оставила несколько указателей на название ’Pegasus’ во вредоносном ПО, которым заразили его телефон. Сетевая инфраструктура, с помощью которой происходило внедрение в телефоны, также оставила след, и он привел экспертов IT к серверам NSO Group.

По их словам, ПО от NSO Group в последние годы «научилось» более умело прятать свои следы, в том числе за счет намеренного изменения системных файлов с целью скрыть признаки заражения.

Однако когда Amnesty International тщательно проверяла десятки телефонов людей, чьи номера были в утекшем к журналистам списке, ее специалисты вышли на уникально сконфигурированные веб-серверы, полностью похожие на те, что выявили в 2016 году.

С той же инфраструктурной сетью Pegasus связаны так называемые процессы iOS (мелкие программы, необязательно заметные для пользователя), которые появлялись на зараженных телефонах и не совпадали ни с одним кодом, официально выпущенным Apple.

«Есть последовательность, которая указывает на посещение определенного сайта, на сбой приложения, на изменение части файлов, и все эти процессы выполнены за считаные секунды или даже миллисекунды», — рассказал глава Лаборатории безопасности в Amnesty International Клаудио Гварньери. По его словам, точно такие же процессы обнаружились в более ранних ситуациях с подтвержденным заражением через Pegasus.

Один процесс, известный как ВН, или ’BridgeHead’, выявленный после анализа телефона Мансура в 2016 году, также продолжал появляться и при относительно недавних проверках телефонов. Похоже, что это один из ключевых элементов арсенала Pegasus.

«У меня нет сомнений, что перед нами Pegasus, — сказал Гварньери. — Здесь четкие характеристики, а все следы, что мы видим, по сути, выступают подтверждением друг для друга. Проверка не нашла противоречащих друг другу признаков».

Наряду с самим проектом Amnesty International публикует полный технический анализ, позволивший экспертам организации прийти к этим выводам. Независимую оценку технического анализа провел исследовательский центр Citizen Lab при Университете Торонто. Центр не первый год изучает деятельность NSO Group. В Citizen Lab согласились с итогами анализа Amnesty International.

7. Что нового выявил проект Pegasus вдобавок к тому, что уже известно о NSO Group?

За годы сбора материалов журналисты-расследователи и защитники прав в цифровой сфере много раз случайно выходили на жертв шпионского ПО от NSO Group. Но в тех случаях эти люди должны были сами заявить о подозрениях, когда получали сомнительные сообщения или имели причины считать, что их телефон взломан.

Участники проекта Pegasus подошли к вопросу с другой стороны: установили потенциальных жертв, используя утечку списка с номерами людей, вероятно, выбранных объектами слежки со стороны клиентов NSO Group.

Это позволило журналистам не только установить много новых жертв шпионского ПО, но также использовать список как мерило достоверности давних утверждений о том, что программу Pegasus систематически применяют для контроля над журналистами, активистами и прочими людьми, не связанными с криминалом. За время работы журналисты обнаружили обширные новые свидетельства справедливости такого мнения и представили самую подробную на сегодня картину того, как программа Pegasus действует в разных частях света.

8. Такого рода электронная слежка законна?

Это сложный вопрос из-за количества и особенностей юрисдикций. Принято, что государства вправе расследовать криминальную деятельность и следить за людьми, которых они считают преступниками или опасными для общества. Во многих случаях власти могут делать это только при наличии ордера или санкции суда. Однако многие страны, где применяется ПО от NSO Group, совсем не отличаются щепетильностью в вопросах верховенства закона или уважения прав человека и допускают злоупотребления, даже если все формальности соблюдены. Присутствие в утекших списках большого числа политиков, журналистов и людей из научно-педагогической среды заставляет считать, что некоторые страны вели слежку на политических или других неправовых основаниях.

Также возникает вопрос о намеренном использовании израильской NSO Group уязвимостей в коммерческом ПО. Apple, Google, WhatsApp и другие технологические компании, чьи программы оказались скомпрометированы, могут потребовать от NSO Group возместить ущерб. Уже известно, что представители WhatsApp подали серьезный иск против NSO Group.

9. Применяли ли вообще Pegasus в заявленных целях — против террористов и преступников?

Да. В упомянутом списке есть телефонные номера в некоторых странах, принадлежащие людям, которые известны как преступники. Однако по понятным причинам личности преступников в данном случае установить сложнее, чем персоналии журналистов или политиков. Владельцы десятков тысяч телефонных номеров остаются нераскрытыми, и истинный процент преступников в списке, возможно, никогда не удастся узнать.

10. Какова была реакция NSO Group на материалы проекта Pegasus?

NSO Group опровергла, что перечень из 50 тысяч телефонных номеров может быть списком целей ее шпионского ПО.

Привлеченная компанией юридическая фирма написала, что список выглядит скорее как «регистр местоположения абонентов» (HLR — Home Location Register). HLR — это фактически база данных в руках сотовых операторов, позволяющая в реальном времени запрашивать информацию об абонентах. Она включает сведения о том, в сети ли телефон, включен ли он, находится ли он в роуминге, и другую базовую информацию.

Главный научный эксперт Лаборатории безопасности Amnesty International в Берлине Карстен Ноль сказал, что запросы по HLR давно используются в слежке за мобильными телефонами, так как показывают, включен ли телефон, то есть можно ли его взламывать.

Более того, источник, знакомый с программами NSO Group, заявил, что запросы по HLR интегрированы в систему программы Pegasus.

Сделанный Amnesty International технический анализ (о нем говорится выше, в пункте 2) также показал, что во многих случаях за выбором номера телефона как цели быстро шло заражение устройства — часто в течение считаных минут. Это соответствует поведению системы с интегрированными запросами по HLR. Те же случаи, когда заражения не следовало, можно связать с запросами по HLR, которые показали, что телефон в тот момент был недоступен.

Резюмируя, NSO Group, вероятно, права, утверждая, что 50 тысяч номеров — это данные HLR. Такая версия не противоречит выводам журналистов о том, что здесь речь идет о целях, выбранных для заражения шпионским ПО Pegasus.

Полный вариант ответа NSO Group представлен здесь.