21696
24 июля 2021
Илья Лозовский, OCCRP

Откуда появилась NSO Group – и почему это только вершина айсберга?

Как компания, основанная двумя школьными друзьями, стала известным производителем шпионских программ, а киберслежка превратилась в миллиардную индустрию

Откуда появилась NSO Group – и почему это только вершина айсберга?

NSO Group известна длинным списком людей, ставших целями ее шпионского программного обеспечения. Но компания – лишь один из многих игроков в тайной экосистеме продавцов частных шпионских программ. О миллиардной индустрии программ для киберслежки – в материале Центра по исследованию коррупции и организованной преступности.

Хадиджа Исмаилова давно научилась быть параноиком.

Азербайджанская журналистка-расследователь подвергалась преследованиям, угрозам и тюремному заключению за свои отмеченные наградами расследования о коррупции должностных лиц. Интимные видео, тайно записанные в ее спальне, были выложены в сеть в попытке дискредитировать ее. Она научилась пользоваться мессенджерами с шифрованием и следила за новейшими технологиями, чтобы обезопасить себя и свои источники.

«Это похоже на войну, – говорит она об усилиях, которые прилагала, чтобы оставаться на шаг впереди авторитарного режима своей страны. – Мы рекомендовали друг другу тот или иной инструмент, чтобы обезопасить себя от слежки правительства».

Но в конце мая Исмаилова узнала, что проиграла гонку такому оружию, которое даже не могла себе вообразить. Криминалистическая экспертиза показала, что ее телефон был тайно заражен шпионским программным оебспечением под названием Pegasus, которое могло получить доступ к каждому документу, фотографии, сообщению и контакту. Вся ее жизнь была давным-давно под наблюдением.

«Я поняла, что выхода нет, – говорит она со смирением. – Если только вы не запретесь в бронированной комнате, нет способа сделать так, чтобы они не вмешивались в ваши коммуникации. Это ужасающе».

Исмаилова считает, что снова стала жертвой правительства Азербайджана, но на этот раз ему помогли добраться до нее. Программное обеспечение Pegasus, взломавшее ее телефон, изготовлено NSO Group, израильской компанией, клиентом которой режим Баку почти наверняка является.

Ни Азербайджан, ни NSO Group не признали, что автократическое правительство использует провокационное шпионское ПО, хотя криминалистический анализ телефона другого азербайджанского журналиста показал, что он также был заражен Pegasus.

Хадиджа Исмаилова, фото OCCRP

NSO Group основали двое школьных друзей в 2010 году, и с самого начала компания специализировалась на взломе мобильных телефонов. По мере массового распространения мобильных телефонов в компанию стали обращаться правительства, желающие прослушивать их. Компания выросла в крупного игрока на рынке шпионских программ с десятками клиентов, более чем 700 сотрудниками и выручкой в $250 млн по состоянию на 2018 год.

Компания утверждает, что даёт права пользования программой только правительствам, и только для того, чтобы помочь им в борьбе с терроризмом и преступностью. Но журналисты и эксперты по цифровой конфиденциальности неоднократно обнаруживали, что авторитарные режимы используют Pegasus для слежки за репортерами, диссидентами и правозащитниками.

И хотя NSO Group находится около самой вершины пирамиды, это не единственная подобная компания. NSO – только один участник экосистемы частных фирм “киберразведки”, многие из которых базируются в Израиле – технически развитом, предпринимательском и военизированном.

Эти компании настаивают, что их технологии необходимы в борьбе с преступностью и что их продукты спасают жизни. Но их успех привел к тому, что эксперты называют «демократизацией» доступа к сложным шпионским программам. Когда-то они были доступны лишь немногим элитным разведывательным службам, которые могли сами их разработать, но теперь их могут приобрести службы безопасности и правоохранительные органы от Азербайджана до Казахстана, от Мексики до Того.

Производители шпионского ПО также кормят прибыльный рынок «эксплойтов» или программных ошибок, которые их программное обеспечение использует для взлома систем жертв. Поскольку технологические компании, такие как Apple и Google, исправляют их сразу же, как обнаружат, существует постоянный спрос на новые уязвимости, которые хакеры-фрилансеры готовы предоставить им за определенную цену.

Эксперты говорят, что огромные суммы, которые шпионские компании тратят на новые эксплойты, затмевают ресурсы, которые технологические компании тратят на их исправление.

«Поскольку существует очень привлекательный экономический стимул, всегда будет больше людей, которые ищут такие уязвимости, – говорит Клаудио Гуарнери, глава Лаборатории безопасности Amnesty International. – Производители всегда будут в проигрышном положении».

Официальный сайт NSO Group заверяет, что ценности компании – прозрачность и честность, и заявляет довольно безличную миссию: «Мы работаем, чтобы спасать жизни и создать лучший, более безопасный мир».

Только одна фраза о том, что NSO Group помогает клиентам «успешно противостоять вызовам шифрования» дает какой-то намек на то, чем в действительности занимается компания. Название Pegasus, основного продукта компании, даже не упоминается на ее сайте.

ФОТО С САЙТА PIXABAY.COM

Несмотря на то, что компания существует уже более десяти лет, ее сайт появился только два года назад, как сообщалось – в рамках новой стратегии по связям с общественностью.

Задетая неоднократными негативными материалами о злоупотреблениях своим ПО, компания решила, что ее предыдущая стратегия молчания не сработала.

Соучредитель и генеральный директор Шалев Хулио начал давать интервью, в которых утверждал, что восприятие компании было бы другим, если бы только он мог раскрыть ее полную историю.

«Я могу со всей скромностью сказать, что тысячи людей в Европе обязаны своими жизнями сотням сотрудников нашей компании», - сказал он израильскому изданию Ynetnews в 2019 году.

Но это все, на что хватает этой «новой открытости». Хулио отказывается обсуждать клиентов NSO Group или хотя бы подтвердить, кем они являются. В прошлом году, отвечая на вопрос немецкой газеты Die Zeit о конкретных случаях, он сказал, что клиенты, которые покупают его программное обеспечение, могут сами определять, кто является законной целью. «Является ли адвокат законной целью? Правозащитник, он законная цель? … Да или нет? Шестнадцатилетний ребенок? Ответ таков: это зависит от обстоятельств».

Признав, что разведывательная работа может быть морально неоднозначным бизнесом – «иногда это то, что нужно, чтобы поймать плохих парней», – Хулио настаивал в интервью, что NSO Group – это сила на благо.

«Если бы я узнал, что из-за нашей компании существенно нарушаются права человека, я бы сдал свои ключи и ушел, – сказал он. – Я основал эту компанию не для того, чтобы она нарушала права человека. Мы основали NSO, чтобы помочь правоохранительным органам и спецслужбам».

Вот такую историю основания компании он рассказывал несколько раз. После ухода из Армии обороны Израиля он начал продавать израильские товары в торговых центрах в США. Затем, объединившись со своим школьным другом Омри Лави, он основал компанию, помогавшую операторам сотовой связи удаленно устранять неполадки в телефонах клиентов.

Примерно в 2009 году к ним обратилась неназванная европейская спецслужба с просьбой о помощи. В то время службы безопасности и правоохранительные органы отчаянно пытались решить проблему, которую многие называли «отключением»: распространение шифрования для защиты сообщений.

Эта тенденция ускорилась после расследования Эдварда Сноудена в 2013 году, когда стало известно, что спецслужбы США ведут массовую слежку через интернет.

«Именно тогда все стали их использовать, – говорит Гуарнери, исследователь безопасности. – Приложения [со сквозным шифрованием] начали появляться повсюду».

В результате, пояснил он, взлом самих устройств стал единственным способом перехвата сообщений. Именно в этом преуспела NSO Group. Раскрытый в результате утечки в 2015 году документ, в котором подробно описываются функции системы Pegasus, предельно ясно описывает ее возможности: “Шифрование ... и другие методы сокрытия сообщений больше не актуальны, когда агент установлен на устройстве».

Но Pegasus может гораздо больше, чем просто читать сообщения. После установки на телефон пользователя система может собирать невероятный спектр информации, включая фотографии, электронную почту, контакты и данные, передаваемые через другие приложения, такие как Facebook и WhatsApp. Программа может даже записывать аудио и видео в реальном времени.

В течение нескольких лет Pegasus в основном устанавливали на чей-либо телефон, обманом заставив пользователя перейти по вредоносной ссылке. Тактика, используемая для этого, достигла поразительных уровней манипуляции: двух мексиканских журналистов заманили предполагаемыми компрометирующими фотографиями их партнеров; еще один получил просьбу помочь в поиске пропавшей дочери со ссылкой на якобы ее портрет. Всего один щелчок, и Pegasus был был установлен, готовый извлечь все, что возможно.

Эти возможности впервые в 2016 году широко осветил в своем отчете Citizen Lab – исследовательский центр Университета Торонто, который специализируется на правах человека и технологиях. В публикации под названием «Диссидент на миллион долларов» использовались подробные результаты судебной экспертизы, для того, чтобы показать, как Pegasus заразил телефон известного правозащитника из Объединенных Арабских Эмиратов.

В то время, по словам исследователей Citizen Lab, технологии NSO Group уже были впечатляющими.

«Я думаю, что это был первый раз, когда мы увидели какое-либо шпионское ПО, которое могло заразить новейший современный телефон просто при нажатии на ссылку», – говорит Билл Марчак, старший научный сотрудник.

«Вот почему мы выбрали название „Диссидент на миллион долларов“, – говорит старший научный сотрудник Джон Скотт-Рейлтон. – Мы хотим подчеркнуть тот факт, что на слежку за диссидентами были направлены реальные ресурсы, что это не второстепенный вопрос. NSO позволила нам использовать этот аргумент».

Недавно Pegasus получил возможность проникать в телефоны, не прибегая к подозрительным ссылкам — или вообще к какому-либо взаимодействию. В 2019 году WhatsApp подал в суд на NSO Group за использование уязвимости, при которой простой звонок на устройство жертвы мог установить шпионское ПО. Жертве не нужно было даже отвечать на него.

«Одна из самых больших проблем заключается в том, что мы не знаем, что может и чего не может сделать последняя версия Pegasus, – говорит Ева Гальперин, директор по кибербезопасности фонда Electronic Frontier. – Это действительно затрудняет обучение активистов и журналистов защите от него. Они всегда получают либо устаревшие, либо неправильные инструкции».

Существует большая потребность в правильных инструкциях по защите. Такие исследовательские группы, как Citizen Lab и Amnesty International, сосредоточились на группе NSO отчасти потому, что программное обеспечение компании фигурировало во многих громких делах, связанных с преследованиями журналистов и активистов.

В Мексике – как сообщалось, это был самый первый клиент, который приобрел Pegasus, – программа использовалась против журналистов и юристов по защите прав человека. Даже диетологи и политики, которые поддерживали налог на газировку, были атакованы при помощи эксплойт-ссылок Pegasus.

Amnesty International обнаружила использование программного обеспечения NSO Group против своего сотрудника, занимающегося вопросами прав человека в Саудовской Аравии. Бывший президент Панамы Рикардо Мартинелли обвинялся в использовании Pegasus для незаконного прослушивания и слежки за своими политическими оппонентами.

К 2018 году Citizen Lab зафиксировала потенциальное использование программного обеспечения NSO Group в 45 странах. Согласно недавнему отчету компании, у нее 60 клиентов по всему миру.

NSO Group – один из самых известных поставщиков шпионских программ, но далеко не единственный. Целая экосистема компаний, предоставляющих услуги наблюдения, возникла для удовлетворения растущего спроса на готовые инструменты разведки.

«Когда случился Сноуден, люди говорили: „У нас еще нет этой технологии“,– говорит Скотт-Рейлтон из Citizen Lab, ссылаясь на сведения бывшего подрядчика Агентства национальной безопасности США о том, что оно занималось массовой слежкой. – Многие страны задались вопросом: где взять такие технологии?».

фото с сайта PIXABAY.COM

Поскольку специалисты шпионской индустрии, как правило, скрытны, и ведут свой бизнес за закрытыми дверями и на торговых выставках, куда можно попасть только по приглашению, изучением этой области занялись правозащитные организации. В отчете некоммерческой правозащитной группы Privacy International за 2016 год было обнаружено, что 528 компаний, предлагающих услуги по наблюдению, работают по всему миру, в основном в Соединенных Штатах и Европе, а Израиль замыкает пятерку крупнейших экспортеров.

Рон Дейберт, директор Citizen Lab, описал предлагаемые продукты как «готовое Агентство Национальной Безопасности для стран, которые не могут себе его позволить».

«Взгляните на это так, – говорит он, ссылаясь на дело 2017 года, связанное с Эфиопией и другой израильской компанией-разработчиком шпионского ПО. – Одна из беднейших стран в мире с менее чем 15-процентным подключением к интернету, тем не менее, может взять и провести масштабную глобальную операцию кибершпионажа».

«Мы живем в то время, когда мир погружается в авторитаризм, – говорит он. – Существует очень мало стран, в которых есть надежные гарантии для предотвращения злоупотребления этой очень мощной, всепроникающей технологией”.

Существуют некоторые механизмы для предотвращения злоупотреблений. Большинство стран, в которых размещены компании-производители шпионского ПО, являются участниками Вассенаарских договоренностей – международного соглашения, способствующего прозрачности экспорта оружия и технологий, используемых в военных целях. Хотя Вассенаарские договоренности изначально касались стандартной военной техники, такой как боевые танки и штурмовые вертолеты, «взламывающее программное обеспечение» было добавлено в список в 2013 году.

Правозащитные группы отмечают, что неизвестно, в какой степени страны фактически ограничивают продажу шпионских программ — или придают значение нарушениям прав человека. Как отмечают в Citizen Lab, продажи в страны с «известными случаями слежки за защитниками прав человека» происходят «несмотря на наличие мер экспортного контроля».

Израиль не является участником Вассенаарских договоренностей, но в его правилах экспорта используется список, определенный ими. Продажи NSO Group иностранным клиентам утверждает министерство обороны страны.

Но, будучи ведущим экспортером оружия, израильское правительство находится под влиянием как коммерческих, так и стратегических соображений.

«[Израильский] экспорт разведывательного оборудования может сыграть особенно важную роль в укреплении сотрудничества в области разведки [с другими странами]”, - говорят в Privacy International, предупреждая, что «неясно, какой приоритет при этом отдается соблюдению прав человека».


«Реальная проблема заключается в том, что израильские нормативы являются государственной тайной, – сообщил источник, знакомый с деятельностью NSO Group, в разговоре с The Guardian на условиях анонимности. – Парламентского надзора нет. Все это контролируется министерством обороны Израиля».

В ответ на запросы журналистов министерство обороны Израиля заявило, что оно «разрешает экспорт киберпродукции исключительно государственным структурам для законного использования и только в целях предотвращения и расследования преступлений и борьбы с терроризмом». В случае нарушений, как сообщили в министерстве, «принимаются соответствующие меры».

Израильский сегмент индустрии слежки особенно важен. Газета Financial Times сообщала, что в 2015 году на долю израильских компаний приходилось около 10 процентов мирового рынка кибербезопасности. И, согласно Privacy International, в Израиле количество «компаний, разрабатывающих шпионское ПО, на душу населения» более чем в 10 раз выше, чем в Соединенных Штатах.

Одна из причин – огромный резерв квалифицированных кадров в стране с обязательной воинской службой, высокообразованное и технически подкованное население, а также – наличие элитных разведывательных подразделений, где обучают перспективных новобранцев.

«Каждый год из армии выходил огромный поток кадров, – сказал Гади Авиран, основавший разведывательную фирму Terrogence, в интервью The New Yorker в 2019 году. – Все, что нужно было сделать такой компании, как моя, – это встать у ворот и сказать: „Ты выглядишь интересно“».

фото с сайта PEXELS.COM

NSO Group, что неудивительно, действовала так же.

Известно, что ее технологию помогали разработать ветераны из Подразделения 8200 Израильских сил обороны, отвечающего за разведку в области связи и известного как «самое передовое агентство технической разведки в мире». Даже официальный спикер компании Ариэлла Бен-Авраам – бывший бригадный генерал, ранее занимавшая должность главного военного цензора Армии обороны Израиля.

NSO Group предоставила множество возможностей трудоустройства молодым ветеранам Израиля, а штат компании за последние годы вырос до более чем 700 человек. Тем не менее, не все эксплойты, используемые программным обеспечением NSO, добыты изнутри.

«Я полагаю, что довольно большую часть из них они обнаруживают и развивают сами, – говорит Гуарнери, исследователь Amnesty International в области безопасности. – И, вероятно, что также большую часть они приобретают у внешних исследователей и брокеров. Как правило, эта отрасль работает так».

Несмотря на слухи, пока не появлялось никаких доказательств того, что NSO Group приобретает эксплойты у хакеров-фрилансеров. Но производителям шпионского ПО необходим постоянный поток новых эксплойтов, потому что такие технологические компании, как Apple и Google, постоянно исправляют существующие уязвимости. Их обновления – часть гонки вооружений с хакерами-фрилансерами, которые зарабатывают ошеломляющие суммы, обнаруживая свежие, еще не исправленные ошибки, называемые “эксплойтами нулевого дня”.

К началу 2000-х годов частные компании уже обращались за помощью к фрилансерам, предлагая им щедрое вознаграждение за новые эксплойты, которые они могли бы предоставить своим клиентам.

Николь Перлрот, репортер New York Times, освещающая кибербезопасность и цифровой шпионаж, исследовала рост этого рынка в своем бестселлере «Вот как, по их словам, закончится мир». Ее источники рассказали о компаниях, которые отправляли посредников в Восточную Европу со спортивными сумками, набитыми наличными, чтобы купить новые эксплойты.

В 2013 году, пишет Перлрот, основатель ежегодной торговой выставки шпионского ПО оценил, что рынок эксплойтов „превысил 5 миллиардов долларов“ по сравнению с нулем за десятилетие до этого.

С такими потенциальными заработками сомнительные игроки стали стекаться на этот рынок. Одним из них был “Grugq”, южноафриканец, которого Forbes сфотографировал с мешком наличных денег, и который зарабатывал на жизнь как брокер, связывая хакеров и их эксплойты с органами власти, готовыми заплатить сотни тысяч долларов за их приобретение. (Он сказал, что 80 процентов его доходов поступают от клиентов в Соединенных Штатах, показав как, пишет Перлрот, госорганы США „провоцируют прибыльную и нерегулируемую гонку кибервооружения“).

И когда компания Hacking Team, итальянский конкурент NSO Group, сама была взломана в 2015 году, просочившиеся в сеть электронные письма показали, „как эксплойты нулевого дня оценивались, продавались и включались во все более мощные готовые шпионские программы и продавались правительствам с самыми ужасными нарушениями прав человека».

Предполагается, что сегодня некоторые наиболее мощные эксплойты продаются по цене в $2 млн или даже $2,5 млн, что демонстрирует, с какими трудностями сталкиваются технологические компании в своих попытках обогнать фрилансеров.

Гальперин из Фонда Electronic Frontier отмечает, что и у Apple, и у Google есть команды, занимающиеся охотой за “субъектами государственного уровня”.

«Но они находятся в таком положении, что борются с гидрой», – говорит она.

Гуарнери также похвалил Apple за ее ответную реакцию, но с сожалением отметил, что «они просто всегда будут отставать».

Скотт-Рейлтон из Citizen Lab говорит, что правительства, гражданское общество и технологические компании должны работать вместе для решения этой проблемы. «Я думаю, что нереалистично предполагать, что какой-либо из этих секторов решит проблему в одиночку», – сказал он.

Он отметил, что судебные разбирательства, подобные недавнему иску WhatsApp против NSO Group, стали шагом вперед. Но в конечном счете, говорит Дейберт, глава Citizen Lab, необходимо общественное давление. Все изменится, сказал он, “только когда люди начнут понимать, что эта отрасль наносит вред”.

На обращение за комментарием юридическая фирма, отвечающая от имени NSO Group, заявила, что данные, используемые журналистами для указания на возможное заражение Pegasus, были неверно истолкованы, и повторила позицию компании о том, что правительства-клиенты не злоупотребляют ее программным обеспечением.

При участии партнеров проекта Pegasus, включая Die Zeit, The Washington Post, the Guardian и Forbidden Stories.

Перевела и подготовила Ольга Логинова.