Скандал с "Пегасом" в НСО: Нулевой день, нулевые клики, нулевая приватность?

Почему кибероружие должно быть запрещено так же, как и ядерное оружие.

Это птица! Это самолет! Нет, это еще одна часть программного обеспечения для слежки. На этой неделе мы стали свидетелями скандала с Pegasus. Pegasus - это вредоносная программа, публично рекламируемая и продаваемая компанией NSO Group, которая может заражать мобильные устройства практически без каких-либо действий со стороны владельца телефона. Широкомасштабное подслушивание, возможное благодаря Pegasus, нарушает множество законов и, следовательно, должно быть запрещено - так же, как запрещена торговля ядерным оружием.


Пегас: От мифа к вредоносному ПО

18 июля 2021 года скандал вокруг проекта “Пегас” вновь привлек внимание общественности к таинственной компании NSO Group. Pegasus - это шпионская программа, разработанная NSO Group и являющаяся флагманским кибероружием для слежки за мобильными устройствами.

Эта вредоносная программа была распространена по всему миру и использовалась для прямой слежки “за почти 200 журналистами по всему миру, чьи телефоны были выбраны клиентами NSO в качестве целей”, как сообщает Forbidden Stories. Под предлогом национальной безопасности правительства по всему миру приобрели эту программу, чтобы оказывать давление на журналистов, активистов и их политических оппонентов.

Несмотря на нынешний всплеск интереса СМИ, Pegasus не является новым игроком на международной арене слежки. Согласно “Отчету о методологии судебной экспертизы” Amnesty International, распространение Pegasus началось еще в 2016 году и продолжается сегодня в 2021 году.

Как работает Pegasus

В 2016 году правозащитник Ахмед Мансур получил текстовое сообщение на свой iPhone. После дальнейшего расследования, проведенного Citizen Lab, выяснилось, что это была классическая схема spear-phishing, целью которой была установка вредоносной программы Pegasus на его устройство. “Если бы он перешел по ссылке, телефон был бы похищен. Огромное количество личных данных: текстовые сообщения, фотографии, электронная почта, данные о местоположении, даже то, что фиксируется микрофоном и камерой устройства”.

С 2019 года Pegasus больше не нужно, чтобы цель нажала на подозрительную ссылку, чтобы стать жертвой. NSO неоднократно использовала уязвимости нулевого дня в платформах обмена сообщениями, таких как WhatsApp и недавно iMessage. Эти эксплойты “нулевого дня” используют уязвимости в программах, операционных системах или мобильных приложениях. Текущая итерация Pegasus может заражать устройства под управлением iOS версии 14.6 или более ранней. После заражения устройства программа может быстро получить root-привилегии. Злоумышленник, использующий Pegasus, получает полный контроль над устройством.

Если вы заинтересуете кого-либо из клиентов NSO Group, то для заражения вашего устройства им понадобится лишь номер вашего телефона. Вам не нужно было нажимать на ссылку или скачивать файл, чтобы Pegasus был удаленно установлен на вашем устройстве Android или iOS. По данным Amnesty International, “была замечена успешная атака “нулевого клика” с использованием нескольких нулевых дней для атаки на полностью исправленный iPhone 12 под управлением iOS 14.6 в июле 2021 года”. Полный список этих эксплойтов можно найти в отчете Amnesty International по методологии судебной экспертизы.

Apple выпустила iOS версии 14.7 19 июля, и теперь мир ведет обратный отсчет до обнаружения следующего “нулевого дня”. Тем временем был выпущен новый инструмент под названием Mobile Verification Toolkit, с помощью которого можно определить, было ли устройство скомпрометировано вредоносной программой Pegasus. Однако этот инструментарий сложен в использовании.

Рост индустрии кибероружия

В свете этих последних разоблачений мы получаем представление о растущей индустрии кибероружия. Эта технология действует подобно вирусу: Все, что она делает, - это заражает смартфоны, чтобы шпионить за их владельцами. Если это не так уж плохо, то эта вирусная технология регулярно продается всем, кто может себе это позволить.

Чтобы найти это программное обеспечение, не нужно рыться на сомнительных сайтах. NSO Group работает как любой другой правительственный подрядчик, где каждый может их увидеть. Быстрый поиск приведет вас на сайт “nsogroup.com”, где вы можете связаться с NSO Group с запросами о ценах и возможных скидках на оружие массового наблюдения. Главный баннер на их сайте в настоящее время рекламирует “Eclipse: Protect Your Skies”, которая представляет собой платформу для дронов, которая может быть использована для захвата и конфискации “несанкционированных коммерческих дронов”.

Advertisement for Eclipse by the NSO Group. Advertisement for Eclipse by the NSO Group.

Эта наглая реклама демонстрирует растущую легитимность отрасли, которая когда-то существовала в даркнете или на хакерских форумах.

Но в чем разница между такой организацией, как NSO Group, которой разрешено открыто работать с государственными структурами, и хакерской группой DarkSide, преследуемой за распространение программ-вымогателей?

Оказывается, это всего лишь вопрос клиентуры.

Pegasus представляет угрозу для частной жизни

Pegasus и подъем индустрии наблюдения представляют собой неизмеримую угрозу для журналистов, политических активистов и таких же граждан, как вы. Уязвимые места в системе безопасности никуда не денутся, и не существует такого понятия, как идеальная безопасность. В связи с этим возникает вопрос, что мы, обычные люди, можем сделать для защиты наших устройств, нашей частной жизни и наших личных данных в свете этого скандала? Клаудио Гуарньери из лаборатории безопасности Amnesty International, который как эксперт по безопасности использует Secure Connect на своем сайте, ответил Guardian не слишком оптимистично,

“Этот вопрос задают мне практически каждый раз, когда мы проводим с кем-то экспертизу: “Что я могу сделать, чтобы это не повторилось?” - сказал Гуарниери. “Честный ответ - ничего”.

Германия: Использование Pegasus будет незаконным

Рискуя закончить свое выступление тоном поражения, в этом деле можно найти некоторые жемчужины надежды. На вопрос NDR и WDR о том, приобрели ли немецкие власти и использовали ли они это шпионское программное обеспечение, немецкие чиновники ответили :“‘Pegasus’ ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt.” (Pegasus is simply too powerful, too potent. Троян может сделать гораздо больше, чем разрешено немецким законодательством”).

Как следствие, немецкие власти отказались от Pegasus, когда NSO Group попыталась продать его им.

Такое отношение немецких властей достойно восхищения по сравнению с другими мировыми разведывательными и правоохранительными органами, которые придерживаются подхода “шпионить сейчас - менять законы потом”. Пример Германии показывает, что законодательство может ограничить инвазивную и ненужную практику слежки. Если сильное законодательство о неприкосновенности частной жизни может заставить эти агентства отвечать за свои действия, то у каждого голосующего гражданина все еще есть возможность дать отпор массовой слежке.

Вне правительственной сферы, технологический гигант Amazon “закрыл инфраструктуру и учетные записи, связанные с израильской компанией NSO Group”. Независимо от того, является ли это просто PR-трюком, чтобы избежать критики, или искренней заботой о конфиденциальности, эти действия показывают, что общественное мнение все еще обеспокоено негативным отношением к массовой слежке.

Кибероружие должно быть запрещено

Мы должны начать рассматривать эти компании, производящие кибероружие, как таковые. Они производят и распространяют инструменты, которые используются для запугивания и принуждения к молчанию. Это оружие легко доступно любому, кто может позволить себе такие расходы. Следует отметить, что когда Филипп Циммерман, создатель PGP, выпустил свою бесплатную программу шифрования, целью которой было только обеспечение безопасной коммуникационной платформы, он попал под расследование Таможенной службы США за возможное нарушение Закона о контроле за экспортом оружия.

Скандально, что поддержка личной конфиденциальности заслуживает федерального расследования, а полное пренебрежение ею - хорошо финансируемого контракта.

В интервью газете Guardian Эдвард Сноуден попал прямо в точку: “Есть определенные отрасли, определенные сектора, от которых нет защиты, и именно поэтому мы пытаемся ограничить распространение этих технологий. Мы не допускаем коммерческого рынка ядерного оружия”.

Хотя большинство пользователей Интернета не станут объектом этой программы, она окажет охлаждающее воздействие на тех, кто боится привлечь к себе внимание. Высокопоставленным лицам, опасающимся правительственной слежки, рекомендуется регулярно менять устройства и телефонные номера, чтобы предотвратить постоянную слежку со стороны шпионских инструментов, подобных Pegasus.

Сноуден завершил интервью призывом к солидарности и активным действиям против растущей индустрии слежки: “Решение для обычных людей заключается в коллективной работе. Это не та проблема, которую мы хотим решить индивидуально, потому что это вы против миллиардной компании… Если вы хотите защитить себя, вы должны изменить игру, и способ сделать это - прекратить эту торговлю”.

Как компания, ориентированная на защиту частной жизни, мы призываем международных законодателей и голосующую общественность поддержать запрет на продажу этого кибероружия. Как не существует потребительского рынка для ядерного оружия, так не должно быть и рынка для открытой продажи программных эксплойтов и вредоносных программ.