Кого атакует Pegasus, перспективы Arm и история человека, стоявшего за за покупкой OpenAI

Тема выпуска — атака Pegasus на iPhone издателя «Медузы»

На этой неделе стало известно о первом случае заражения легендарным шпионским софтом Pegasus смартфона российского журналиста. Речь про взлом айфона издателя «Медузы» Галины Тимченко. Единичный ли это случай — неизвестно, равно как и то, кто стоит за взломом с помощью ПО, доступ к которому стоит десятки миллионов долларов и которым Россия, скорее всего, не владеет. В этом выпуске технорассылки расскажем, почему, несмотря на многочисленные международные скандалы, софт от израильского разработчика NSO Group по-прежнему обнаруживают на устройствах политиков, активистов и журналистов по всему миру. И есть ли хоть какой-то шанс от него защититься.

Что случилось        

О том, что iPhone Галины Тимченко заражен программой Pegasus, в «Медузе» узнали в конце июня — после того как ей пришло SMS от Apple, в котором говорилось, что смартфон «мог подвергнуться атаке проправительственных хакеров». Факт заражения впоследствии подтвердили независимые специалисты по кибербезопасности из международных НКО Access Now и Citizen Lab. Сам взлом произошел почти за полгода до описываемых событий — 11 февраля 2023 года, когда Тимченко находилась в Германии, пишет «Медуза» (в России признана нежелательной организацией).

Обнаруженные в смартфоне следы четко указывали на заражение Pegasus, спутать их со следами другого шпионского ПО невозможно, объяснили эксперты Citizen Lab. Pegasus позволяет инициаторам взлома получить полный контроль над зараженным айфоном: получить доступ ко ко всем данным, переписке и делать с телефоном все то же, что может владелец. Теоретически хакеры могли превратить телефон в устройство для слежки и прослушки, дистанционно включая диктофон или камеру (однако использовался ли телефон Тимченко в таких целях — неизвестно).

Кто стоял за атакой на iPhone Тимченко — неизвестно. Среди стран, у которых, по данным специалистов из Citizen Lab, был доступ к софту NSO Group, России нет. С 2016 года исследователи не нашли ни одного случая, когда телефоны российских граждан были бы заражены Pegasus даже на территории других стран, пишет «Медуза» со ссылкой на данные экспертов. Сама NSO в 2021 году заявляла, что Россия пыталась купить Pegasus, но получила отказ.

Зато среди стран, у которых доступ есть, были Казахстан и Азербайджан, следует из доклада Access Now, посвященного атаке на Тимченко. Одна из версий — что Россия попросила партнеров воспользоваться софтом NSO. Однако Казахстан еще ни разу не заражал цели за пределами страны, а Азербайджан в основном использует Pegasus, чтобы атаковать цели в Армении, и ни разу не заражал устройства на территории ЕС.

Поэтому у правозащитников есть и другая версия — что айфон журналистки взломали спецслужбы одной из европейских стран, имеющие доступ к Pegasus. В разные годы права на использование Pegasus покупали 14 стран ЕС. В их числе предположительно есть и Латвия, где зарегистрирована и работает с 2014 года «Медуза». Случаи, когда Латвия использовала Pegasus за границей, неизвестны. Зато Pegasus предположительно используют и другие страны, которые стали крупными центрами российской антивоенной эмиграции, — Германия, Нидерланды и Эстония. Последнюю уже уличали в использовании Pegasus в других странах ЕС — в том числе в Германии, говорят в Citizen Lab.

Опальные хакеры

NSO Group — компания по-своему феноменальная. О том, что она продает шпионский софт государственным заказчикам по всему миру, правозащитники знают с 2016 года. Но мировую известность компания получила только в 2021 году, когда журналисты шестнадцати изданий из разных стран в совместном расследовании выяснили, что объектами атаки ее шпионского ПО стали больше 50 тысяч человек из 50 стран мира. Среди них оказалось три президента, десять премьер-министров и один король.

Интересовали заказчиков NSO не только политики. Pegasus успешно использовалась для взлома смартфонов близких саудовского обозревателя Джамаля Хашогги. В 2018 году его пытали и убили в стамбульском консульстве Саудовской Аравии. В числе объектов для слежки также был мексиканский журналист Сесилио Пинеда Бирто. Через несколько недель после попадания в систему Pegasus он был застрелен на автомойке, а его телефон пропал (о том, как устроен бизнес всемирно известных израильских хакеров NSO Group, мы подробно рассказывали здесь).

Тогда среди явных клиентов NSO Group в 2021 году назывались как минимум 10 стран: Мексика, Марокко, ОАЭ, Индия, Азербайджан, Венгрия, Бахрейн, Казахстан и Саудовская Аравия. Но с тех пор список основательно подрос: например, стало известно, что в разное время лицензии на Pegasus приобретали 22 ведомства из 14 стран ЕС.

Даже США, наложившие санкции на NSO Group в ноябре 2021 года, спустя пару дней, заключили тайный контракт с компанией на использование софта Landmark для определение геопозиции любого смартфона по всему миру. Как выяснила NYT, спустя пять дней после подписания указа Джо Байдена о санкциях некая спецслужба получила право применять шпионский софт против любых целей в Мексике (причем в Белом доме утверждали, что ничего о тайном контракте не знали). А в 2019 году ФБР покупала доступ и к Pegasus — чтобы быть «в курсе новых технологий». Это стоило бюро $9 млн: $5 млн за лицензию и $4 млн за ее продление.

Череда скандалов и международное давление не остановили продажи вредоносного ПО, но подорвали финансовое состояние компании. В ноябре 2021 года NSO столкнулась с таким кризисом, что не могла даже выплатить сотрудникам зарплаты. Тогда в компании даже начали обсуждать возможность продажи ПО клиентам с повышенным риском. Правда, впоследствии предложивший это основатель NSO Шалев Хулио ушел с поста гендиректора. Инвесторы компании в 2022 году заявляли, что их доли в NSO теперь фактически ничего не стоят. Кроме того, компания погрязла в многочисленных судебных разбирательствах: с ней судятся Apple, WhatsApp, вдова Хашогги и журналисты из Сальвадора.

Угроза не для всех

Pegasus от NSO Group — пожалуй, один из самых раскрученных в мире брендов кибероружия для взлома устройств. И у этого есть причины:

  • Во-первых, софт от NSO Group позволяет проводить атаки с нулевым кликом — то есть не требуют никакого участия от пользователя, а устанавливаются сами так, что человек вообще не замечает, что что-то пошло не так.
  • Во-вторых, Pegasus — одна из немногих программ, позволяющих успешно взламывать iPhone. Причем шпионский софт попадает на смартфоны даже через через сервисы самой Apple — iMessage и HomeKit, а также через официальные приложения других больших разработчиков вроде WhatsApp.

Для проникновения на устройство шпионские программы используют разные уязвимости. И Apple, как и другие производители смартфонов, про них узнают от тех же специалистов по кибербезопасности. Компания борется с ними, обновляя операционные системы, объясняет ведущий специалист Лаборатории компьютерной криминалистики компании F.A.C.C.T. Игорь Михайлов. Проблема в том, что не все пользователи своевременно устанавливают обновления. Кроме того, устранение уязвимостей — процесс не мгновенный, он требует отладки кода и проверки корректности работы на устройствах компании. А тем временем разработчики шпионских программ ищут и находят новые уязвимости в новых версиях ОС.

У iPhone особая ситуация. iOS устроена так, что одному приложению данные других — для обработки недоступны, говорит Михайлов. Поэтому и нет программ-антивирусов для iPhone. Pegasus же запускается от имени приложений, являющихся частью операционной системы — SMS или iMessage, поэтому имеет привилегированные права. Для большей безопасности в iOS 16 Apple внедрила особый режим, называемый Lockdown Mode. При его включении айфон блокирует любые вложения в iMessage, отключает некоторые технологии в браузере и не подключается к компьютерам и другим внешним устройствам. Это повышает безопасность данных, но из-за ограничений подходит не всем.

Pegasus, какой бы эффективной ни была эта программа, — точно не способ для массовой слежки за людьми. Главная причина в том, что использовать его дорого: поиск уязвимостей для iPhone — очень сложный процесс и требует найма дорогих специалистов. Apple платит за информацию о новых уязвимостях большие премии — от $1 млн, объясняет Михайлов. А значит, независимым исследователям просто невыгодно продавать информацию об обнаруженной проблеме куда-то на сторону за меньшие деньги.

Купить лицензии на софт NSO один раз и использовать его на неограниченном количестве целей ни одна страна не может. «По нашим данным, вся собранная Pegasus информация сначала передается на сервера разработчика, а уже оттуда ее получают владельцы лицензии через личный кабинет. То есть компания знает, кто и где использует ее продукт. Благодаря этому NSO может контролировать использование лицензий и в том числе отслеживать использование на определенных территориях — чтобы избежать попадания программы в руки третьим лицам», — говорит эксперт.

Pegasus — это одна из немногих известных шпионских программ, которая успешно взламывает iPhone. Но, безусловно, существуют и другие, предупреждает специалист из F.A.C.C.T. Например, Triangulation — программа, об обнаружении которой на устройствах своих сотрудников в начале июня рассказала «Лаборатория Касперского». Скорее всего, именно этот взлом российская ФСБ использовала как основу для своих заявлений о том, что Apple «тесно сотрудничает» с разведкой США. Но кому принадлежит Triangulation, до сих пор ничего не известно.

Есть у Pegasus и коммерческие аналоги — например, софт от израильской QuaDream. Основал ее отставной военный и выходец из все той же NSO. В этом году Citizen Lab сообщала, что программа уже используется как минимум в десяти странах для слежки за журналистами и оппозиционными политиками.

Pegasus и подобные программы — не единственная и даже не главная угроза конфиденциальности данных. Есть множество других способов скомпрометировать любое устройство. Самый массовый — это старый добрый фишинг, говорят эксперты по кибербезопасности. Другой популярный способ — установка на устройство фейковых приложений, которую мошенники навязывают пользователям. Их тоже часто используют для шпионажа, краж денег и конфиденциальной информации.

Как защититься от Pegasus

Самый базовый способ защиты в случае, если вы всерьез опасаетесь взлома, — иметь два телефона. Один — с известным всем номером, другой — с номером, который вы тщательно скрываете и используете только для конфиденциальных контактов.

Еще один метод защиты, который предлагают все специалисты по безопасности, — это перезагружать смартфон как можно чаще. Дело в том, что вредоносное ПО хранится в оперативной памяти, а она при перезагрузке очищается. Но и этот способ не гарантирует полного избавления от вируса.

Отслеживать наличие заражения Pegasus пока удается только на айфонах. На Android это ПО пока не находили. Но рассчитывать на то, что Android безопаснее, тоже не стоит: вряд ли такое мощное оружие создавали только для айфонов.

К уведомлениям от Apple нужно относиться внимательно. Если ваш гаджет предлагает обновить ПО, это обязательно нужно делать. В обновлениях часто содержатся дополнительные защиты от вирусов, и недавно Apple выпустила обновление с защитой как раз от Pegasus.

Больше советов о том, как обезопасить себя от шпионского ПО, читайте в свежем выпуске рубрики «Онлайн-расследование», которую ведет журналист-расследователь The Bell Ирина Панкратова.

КОМПАНИЯ

ARM успешно вышла на Nasdaq. Что дальше?

В 2022 году рынок IPO пережил коллапс: объем размещений по всему миру упал на 45%, а в США — на 95%, до самого низкого уровня за последние 13 лет. Но к лету 2023-го активность в США начала восстанавливаться (подробно об этом мы рассказывали в одном из выпусков нашей инвестрассылки здесь). И главное доказательство тому — самое большое IPO с ноября 2021 года, которое на этой неделе провел разработчик чипов Arm. По итогам размещения компания привлекла $4,87 млрд, а ее оценка составила $54 млрд. В первый день торгов акции Arm выросли больше чем на 20%. Вместе с аналитиком БКС и автором телеграм-канала «Знай свои инвестиции» Денисом Буйволовым разбираемся, чем Arm обязана своему успеху и что с ней будет дальше.

READ LATER

  • WSJ рассказывает историю технического директора Microsoft Кевина Скотта, стоявшего за сделкой компании с OpenAI. Его стратегия «OpenAI или крах» вызвала недовольство некоторых сотрудников из-за того, что собственные проекты компании в области ИИ — откладываются, а ресурсы — сокращаются.
  • The New York Times публикует отрывки из 250-страничного самооправдания Сэма Бэнкмана-Фрида, основателя рухнувшей криптобиржи FTX, который предстанет перед судом уже в октябре. В нем он называет себя одним из самых ненавистных людей в мире и обвиняет бывшую подружку в плохом управлении хедж-фондом Alameda.
  • История D Billions — сети YouTube-каналов из Кыргызстана с миллиардами просмотров на роликах, обучающих детей словам на разных языках с помощью песен.

ОСТАВАЙТЕСЬ С НАМИ

Дорогие читатели!

Нам очень нужна ваша помощь. Независимые медиа в России преследуются государством и практически лишены возможностей зарабатывать самостоятельно. Они не смогут выжить без поддержки своих читателей. И мы — не исключение. Сегодня мы очень просим вас подписаться на регулярные донаты The Bell.