Pegasus — шпионская программа, которую можно незаметно установить на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильных операционных систем iOS и Android. Разработка израильской компании NSO Group. Разработчики заявляют, что предоставляют «уполномоченным правительствам технологии, которые помогают им бороться с терроризмом и преступностью»[1], они также опубликовали фрагменты условий использования, требующих от клиентов использовать Pegasus только в целях уголовной и национальной безопасности. NSO Group также утверждают, что внимательно относятся к соблюдению прав человека[2].

По состоянию на март 2023 года пользователи Pegasus могли удалённо устанавливать шпионское ПО на версии iOS до 16.0.3 с помощью эксплойта, не требующего от атакуемого переходить по ссылке[3]. Возможности Pegasus могут меняться со временем из-за обновлений программного обеспечения, но обычно Pegasus способен читать текстовые сообщения, отслеживать вызовы, собирать пароли, отслеживать местоположение, получать доступ к микрофону и камере целевого устройства, а также собирать информацию из приложений[4][5]. Шпионское ПО названо в честь Пегаса, крылатого коня из греческой мифологии[6].

Компании Citizen Lab[англ.] и Lookout Security опубликовали первые открытые результаты технического анализа Pegasus в августе 2016 года после того, как обнаружили его в ходе неудачной попытки шпионить за iPhone правозащитника[7]. Последующие расследования в отношении Pegasus, проведённые Amnesty International, Citizen Lab и другими, привлекли значительное внимание средств массовой информации. Наиболее известным стало расследование в июле 2021 года, раскрывшее 50 000 телефонных номеров, которые, как сообщается, были выбраны клиентами компании-разработчика Pegasus для удалённой слежки за их владельцами[8][9].

Обнаружение

Применение Pegasus для iOS было обнаружено в августе 2016 года. Арабский правозащитник Ахмед Мансур получил текстовое сообщение с обещанием раскрыть «тайны» о пытках, происходящих в тюрьмах Объединенных Арабских Эмиратов, за которым следовала ссылка. Мансур отправил ссылку в Citizen Lab Университета Торонто, которая провела расследование в сотрудничестве с Lookout и обнаружила, что это была попытка взлома с помощью социальной инженерии. Если бы Мансур перешёл по ссылке, вредоносное ПО взломало бы его телефон и внедрилось в него, произведя джейлбрейк (обход защитных ограничений операционной системы телефона для получения полного прямого доступа к данным и устройствам)[10].

Citizen Lab и Lookout обнаружили, что по ссылке загружается программное обеспечение, использующее три ранее неизвестных и неисправленных уязвимости нулевого дня в iOS[7]. Согласно их анализу программное обеспечение может сделать джейлбрейк iPhone при открытии вредоносного адреса. Программное обеспечение устанавливается и собирает все сообщения и местоположения целевых айфонов. Программное обеспечение также может собирать пароли Wi-Fi[11]. Исследователи заметили, что в рекламных материалах код программного обеспечения ссылается на продукт NSO Group под названием «Pegasus»[12]. Pegasus ранее был обнаружен в результате утечки записей Hacking Team[англ.]: стало известно о поставках этого ПО правительству Панамы в 2015 году[13]. Citizen Lab и Lookout уведомили команду безопасности Apple, которая устранила недостатки в течение десяти дней и выпустила обновление для iOS[14]. Аналогичный патч для macOS был выпущен шесть дней спустя[15].

Lookout выпустили сообщение о потенциальной распространённости Pegasus, в котором заявили, что это программное обеспечение уже долго находится в интернет-пространстве, так как существуют его версии для iOS 7, выпущенной в 2013 году[16]. Газеты New York Times и The Times of Israel сообщили, что, по всей видимости, Объединённые Арабские Эмираты использовали это шпионское ПО еще в 2013 году[17][18][19]. Оно применялось в Панаме бывшим президентом Рикардо Мартинелли с 2012 по 2014 год, который учредил для его использования Совет национальной безопасности[20][21][22][23].

Возможности

Pegasus заражает устройства iPhone и Android через SMS, WhatsApp, iMessage и, возможно, другие каналы. Оно позволяет извлекать сообщения, фотографии и переписку по email, контакты и данные GPS, а также записывать звонки и незаметно включать микрофон и камеру[24].

Технические подробности

Шпионское ПО может быть установлено на устройства под управлением определённых версий iOS, а также на некоторые устройства Android[25]. Pegasus представляет собой не конкретный эксплойт, а набор эксплойтов, использующих множество уязвимостей в системе. Векторы заражения включают нажатие ссылок, приложение «Фото», приложение Apple Music и iMessage. Некоторые из эксплойтов, которые использует Pegasus, работают без какого-либо взаимодействия со стороны жертвы. Сообщается, что после установки Pegasus может запускать произвольный код, извлекать контакты, журналы вызовов, сообщения, фотографии, историю веб-просмотра, настройки[26], а также собирать информацию из приложений, включая, помимо прочего, коммуникационные приложения iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram и Skype .

После выхода отчёта Lookout в апреле 2017 года исследователи Google обнаружили вредоносное ПО для Android, «предположительно созданное NSO Group Technologies», и назвали его Chrysaor (Хрисаор, брат Пегаса в греческой мифологии). По данным Google, «считается, что Chrysaor связан с шпионским ПО Pegasus»[27]. На саммите аналитиков безопасности, организованном «Лабораторией Касперского» в 2017 году, исследователи сообщили, что Pegasus доступен не только для iOS, но и для Android. Его функционал аналогичен версии для iOS, но режим атаки другой. Версия для Android пытается получить root-доступ (аналогично джейлбрейку в iOS); в случае неудачи он запрашивает у пользователя разрешения, которые позволят ему собрать хотя бы некоторые данные. В то время Google заявил, что заражено лишь несколько устройств Android[28].

Pegasus прячется, насколько это возможно, и самоуничтожается, пытаясь уничтожить улики, если не может связаться со своим сервером управления и контроля в течение более 60 дней или если он использует неправильное устройство. Pegasus также может самоуничтожиться по команде[28]. Если невозможно скомпрометировать целевое устройство более простыми способами, Pegasus можно установить, наладив беспроводной трансивер рядом с целевым устройством или получив к нему физический доступ[29].

Скандал

В июле 2021 года в прессе появились сообщения о том, что авторитарные режимы используют Pegasus для взлома телефонов правозащитников, оппозиционных журналистов и юристов.

Список пострадавших

В прессу попал список более чем 50 тыс. телефонных номеров людей, предположительно представляющих интерес для клиентов NSO Group. Происхождение списка неизвестно, как и то, подвергались ли эти телефоны взлому с помощью Pegasus[30]. Среди стран — клиентов NSO, чьи правоохранительные органы и спецслужбы вводили номера в систему, значатся Азербайджан, Бахрейн, Венгрия, Индия, Казахстан, Марокко, Мексика, Объединённые Арабские Эмираты, Руанда и Саудовская Аравия. В частности, программу Pegasus использовали для прослушивания телефонов двух женщин, близких к саудовскому журналисту Джамалю Хашогги, убитому в октябре 2018 года[31]. Также в списке были обнаружены номера телефонов принцессы Латифы — опальной дочери правителя Дубая Мохаммеда Аль Мактума и его бывшей жены принцессы Хайи аль-Хусейн[32].

Политики

По имеющимся сведениям, в число жертв Pegasus входит около 600 государственных чиновников из 34 стран, в том числе: президент Ирака Бархам Салех, президент ЮАР Сирил Рамафоса, премьер-министры Пакистана, Египта и Марокко[33]. По данным парижской газеты Le Monde, в 2017 году марокканская разведка определила номер, которым пользуется президент Франции Эммануэль Макрон, что создаёт опасность заражения Pegasus’ом[34][35].

Позиция NSO

NSO отрицает все обвинения. Компания утверждает, что Pegasus предназначен для борьбы с террористами и криминалом, и поставлялся лишь военным, полиции и спецслужбам стран, соблюдающих права человека. В заявлении компании говорится, что обвинения, выдвинутые французской НГО Forbidden Stories[англ.] и правозащитной группой Amnesty International, основаны на неверных предположениях и неподтверждённых теориях[30]. На англоязычном сайте NSO эти утверждения были названы клеветой[36].

Применение в различных странах

Хотя заявлено, что Pegasus предназначен для использования против преступников и террористов[37], он также использовался как авторитарными, так и демократическими правительствами для слежки за критиками и оппонентами[38]. Специальный докладчик ООН по вопросам свободы мнений Айрин Хан заявила, что использование шпионского ПО злоупотребляющими правительствами может «способствовать внесудебным казням[англ.], убийствам и насильственному исчезновению людей»[39].

Германия

Pegasus используется Федеральным управлением уголовной полиции Германии (BKA). BKA приобрела Pegasus в 2019 году в обстановке «максимальной секретности», несмотря на сопротивление юридического совета организации. Позже факт использования Pegasus органом BKA был раскрыт немецкими СМИ[40]. Источники в службах безопасности Германии сообщили журналистам, что немецкая версия шпионского ПО Pegasus имеет встроенные средства защиты для предотвращения злоупотреблений и соблюдения законов ЕС о конфиденциальности, однако официальные лица публично это не подтвердили и не прокомментировали[41].

В феврале 2023 года независимая российская журналистка и критик Путина Галина Тимченко находилась в Берлине, когда её iPhone подвергся заражению Pegasus[41][42][43].

Украина

Украина стремилась получить Pegasus по крайней мере с 2019 года, чтобы противостоять растущей угрозе российской агрессии и шпионажа. Однако Израиль ввёл почти полный запрет на продажу оружия Украине (который также включал инструменты кибершпионажа), опасаясь испортить международные отношения Израиля и РФ. В августе 2021 года, когда российские войска перемещали к границе с Украиной, Израиль снова отклонил запрос украинской делегации с просьбой получить Pegasus. По словам украинского чиновника, знакомого с этим вопросом, Pegasus могла бы оказать решающую поддержку в усилиях Украины по мониторингу военной деятельности России. После событий февраля 2022 года украинские официальные лица осудили вялую поддержку Израилем Украины и усилия Израиля по поддержанию дружеских отношений с Россией[44].

Другие страны

В мае 2024 года стало известно, что телефоны нескольких проживающих в Европейском союза белорусских и российских политэмигрантов, включая Андрея Санникова и Наталью Радину, были заражены Pegasus[45].

Скептицизм в отношении программы Bug Bounty

Компания Apple имеет программу Bug Bounty, выплачивающую вознаграждение за сообщение об обнаруженных уязвимостях в её программном обеспечении, чтобы предотвратить продажу эксплойтов на черном рынке. После появления множества сообщений об уязвимостях в продукции Apple критически настроенные журналисты предположили, что предлагаемая компанией награда неспособна защитить пользователей. Рассел Брэндом из The Verge заявил, что максимальная сумма вознаграждения составляет 200 000 долларов, что составляет «лишь малую часть тех миллионов, которые регулярно тратятся на эксплойты iOS на черном рынке». Далее он задаётся вопросом, почему Apple «не тратит средства на устранение уязвимостей в безопасности?», но также пишет, что «после обнаружения уязвимостей [Pegasus], Apple их исправила, но в их ПО осталось множество других ошибок. В то время как компании, занимающиеся шпионским ПО, рассматривают покупку эксплойта как единовременную выплату за годы доступа, вознаграждение Apple должно выплачиваться каждый раз, когда появляется новая уязвимость».

Брэндом также написал: «Те же самые исследователи, участвующие в программе Apple по выплатам за обнаружение ошибок, могли бы заработать больше денег, продавая те же находки брокеру эксплойтов»[46].

Примечания

Литература

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.