«Мы — лидеры в области кибервойн»: что известно об NSO Group — разработчике шпионского ПО с оценкой в $1 млрд

Инструменты компании способны взломать телефон через звонок в WhatsApp и бороться с преступниками, но всё чаще их используют в противоправных целях — среди пострадавших может быть Джефф Безос.

14 мая WhatsApp обнаружила уязвимость в системе безопасности, позволявшую злоумышленникам удалённо устанавливать «шпионское» ПО на смартфон жертвы. Компания заявила, что пострадала «избранная группа лиц» — атака была целевой и имеет все признаки частной организации, которая сотрудничает с госструктурами различных стран для слежки за отдельными личностями.

Знакомые с расследованием источники считают, что WhatsApp говорит о компании NSO Group. Её ключевой продукт — программа Pegasus, открывающая полный доступ к смартфону жертвы и, по заявлениям разработчиков, используемая для борьбы с терроризмом и другими преступлениями.

Но неоднократно появлялись упоминания о применении программы-шпиона в других целях: для преследования правозащитников, журналистов и членов оппозиции на Ближнем Востоке, в Европе, США и других странах.

Компания действует скрытно: NSO Group периодически меняет названия, рассказывает о своей деятельности лишь общими фразами вроде «мы помогаем бороться с преступниками», а основатели практически не дают интервью и скрывают детали сделок или увольнений.

Фирму открыли в декабре 2009 года израильские предприниматели Омри Лави и Шалев Хулио, имеющие связи с правительством страны. Третий основатель Нив Карми ушёл из компании вскоре после основания, предприниматели стали мажоритарными акционерами.

Председателем совета директоров стал отставной генерал Авигдор Бен-Гал, возглавлявший авиационную отрасль Израиля в 1990-х годах, пишет израильская газета Haaretz.

Общее число сотрудников NSO Group, согласно LinkedIn, — 239 человек, их основной профиль — разведка и безопасность: часть пришла из «Моссада» (разведка Израиля), три сотрудника числились в «подразделении 8200», аналоге АНБ США, Хулио был командиром роты в Армии обороны Израиля, а Лави работал в израильском правительстве. Предполагается, что оба предпринимателя также служили в «подразделении 8200».

По информации New York Times, в 2008 году Хулио и Лави основали компанию, которая позволяла производителям телефонов получать удалённый доступ к телефонам клиентов для техобслуживания. В основе их инструментов лежали технологии, разработанные во время работы в «подразделении 8200».

Разработка заинтересовала зарубежные спецслужбы: американские и европейские чиновники выражали озабоченность насчёт Apple, Facebook, Google и других компаний, которые в то время создавали защищённые каналы связи, не поддающиеся расшифровке разведкой и правоохранительными органами.

Хулио и Лави предложили обойти эту проблему — не заниматься расшифровкой сообщений, а взламывать сами устройства, и читать на них уже расшифрованные сообщения.

В 2011 году NSO Group разработала первый прототип — Pegasus. Сама компания на своём сайте заявляет, что помогает предотвращать и расследовать случаи терроризма и преступных действий, вести поисково-спасательные операции, а её инструменты «на законных основаниях решают самые опасные проблемы современного мира».

В брошюре, посвященной Pegasus, компания рассказывает о своей деятельности подробнее: в ней говорится, что NSO Group специализируется на инструментах цифровой слежки и разрабатывает хакерские мобильные приложения для правительств, спецслужб и правоохранительных органов.

NSO Group считает себя лидером в сфере «кибернетических войн»: в марте 2019 года в интервью CNN «60 минут» Шалев Хулио заявил: разработки помогли спасти «десятки тысяч людей в Европе с помощью сотни израильских инженеров».

Pegasus — флагманский продукт NSO Group для доступа ко всем данным на смартфоне жертвы. Он использует «уязвимости нулевого дня» (0-day) в iOS и Android, против которых ещё не разработаны способы защиты.

«Наши продукты — настоящие призраки, они полностью незаметны для жертвы и не оставляют никаких следов», — заявлял в 2013 году сооснователь NSO Омри Лави.

Впервые о Pegasus узнали из исследования компаний Citizen Lab и Lookout Security в июле 2016 года: инструмент «поймали» при попытке атаковать iPhone правозащитника Ахмеда Мансура в ОАЭ. Ему прислали несколько SMS-сообщений вида «Новые тайны о пытках граждан Эмиратов в государственных тюрьмах» со ссылками — Мансуру достаточно было кликнуть на ссылку, чтобы атакующие удалённо провели джейлбрейк и все данные попали к ним.

Приложение использовало три уязвимости 0-day, которые Apple исправила в экстренном обновлении iOS 9.3.5 — оно вышло спустя десять дней после публикации отчёта. По словам вице-президента Lockout Security Майка Мюррея, Pegasus — самое изощрённое и сложное шпионское ПО для iPhone, которое когда-либо существовало.

Оно умеет не только перехватывать звонки и текстовые сообщения, но и похищать данные Gmail, переписку в Facebook, Skype, Telegram, WhatsApp и других мессенджеров, постоянно передаёт информацию о местоположении, истории браузера.

Зашифрованные звонки и сообщения также «прослушиваются» с помощью фиксирования нажатия виртуальных клавиш (для чтения исходящих сообщений) и захвата экрана (для чтения входящих сообщений напрямую с экрана).

Инструмент предназначен для целевых атак и может самоуничтожаться на устройстве пользователя: он удаляется, если в течение 60 дней не может связаться с командным сервером или попал на «ненужное» устройство с неверной SIM-картой.

В сентябре 2016 года выяснилось, что Pegasus также работает на macOS, где пользователю достаточно было зайти на вредоносный сайт, а в 2017 году специалисты Google и Lookout обнаружили аналог Pegasus для Android под названием Chrysaor. Его авторство тоже приписывают NSO Group.

Новая версия Pegasus может работать без перехода по ссылке — например, через сброс входящего вызова, как это было в случае с WhatsApp.

NSO Group не раскрывает стоимость шпионского ПО. В 2015 году за каждую уязвимость подобного вида (с удалённым джейлбрейком iPhone) компания Zerodium предлагала $1 млн, сколько стоит найти сразу три уязвимости и реализовать их в одном инструменте — неизвестно.

В 2015 году NSO Group получила от правительства Панамы $8 млн за 300 лицензий на Pegasus — по 150 копий для Android и Blackberry. А в июне 2018 года израильский суд обвинил бывшего сотрудника NSO Group в похищении разработки и попытке продажи её за криптовалюту — стоимость инструмента оценили в $50 млн.

Для каждой потенциальной сделки NSO должно получить разрешение — экспортную лицензию от Министерства обороны Израиля. После согласования компания просит внутренний комитет по деловой этике рассмотреть сделку: одобрить или отклонить её в случае возможного ненадлежащего использования ПО.

В состав комитета входят эксперты из различных областей, среди которых специалисты по правам человека, законодательным и международным отношениям и бывшие должностные лица из США.

По информации Vice, сотрудники NSO Group посещают клиентов, чтобы проверить, как используются инструменты, и, если им что-то не нравится, могут удалённо отключить их от системы.

После обнаружения «шпиона» исследователи Citizen Lab продолжили наблюдение и отслеживали случаи применения. В сентябре 2018 года компания опубликовала доклад, посвящённый активности Pegasus, и рассказала о существовании минимум 36 групп «операторов» ПО, которые применяют Pegasus в 45 странах мира.

По словам экспертов, 10 из 36 групп следят за пользователями одновременно в нескольких странах, что может нарушать местное законодательство. В основном Pegasus используется в странах с «сомнительной репутацией в области прав человека и историями злоупотребления полномочиями со стороны спецслужб», считает Citizen Lab.

В марте 2019 года New York Times опубликовала расследование о хакерских организациях, помогающих правительствам различных стран как раскрывать преступления, так и следить за гражданами.

Первый клиент

Первым клиентом NSO Group стало правительство Мексики — согласно данным New York Times, оно заплатило $15 млн за оборудование и ПО и ещё $77 млн — за слежку за членами наркокартеля. По мнению мексиканских чиновников, Pegasus сыграл важную роль в поимке наркобарона Эль Чапо, которого приговорили к пожизненному заключению в феврале 2019 года.

После успешной сделки NSO Group начала продавать ПО по всему миру, помогая уничтожать террористические ячейки, раскрывать преступные группы и похищения детей, сообщают источники европейской разведки и спецслужб. Но поиском преступников пользователи Pegasus не ограничивались.

Правительство Мексики также использовало хакерские инструменты для слежки за оппозиционерами, журналистами, международными следователями, которые расследовали нераскрытое исчезновение 43 студентов, признанных мёртвыми, и даже сторонниками налога на газированную воду. Жертвы получали контекстные сообщения, например, о смерти родственников, со ссылками, переход по которым взламывал телефоны.

В конце 2018 года активист Омар Абдул Азис из Саудовской Аравии подал в суд на NSO Group, утверждая, что компания взломала телефон его друга, журналиста Джамаля Хашогджи, убитого 2 октября 2018 года в Стамбуле.

По информации New York Times, NSO Group с 2017 года помогала в слежке за журналистами и активистами в Саудовской Аравии бывшему принцу Сауду аль-Кахтани, которого подозревали в причастности к убийству Хашогджи.

В переписке с NSO Group аль-Кахтани отмечал, что собирается использовать инструменты компании для слежки «на всём Ближнем Востоке и в Европе» — Франции, Турции, Катаре и Великобритании.

В марте 2019 года телефон главы Amazon Джеффа Безоса взломали с помощью похожих на Pegasus инструментов. Злоумышленники получили доступ к интимным фотографиям и другой личной информации. Консультант по безопасности Безоса в статье The Daily Beast рассказал, что атака исходила из Саудовской Аравии, сославшись на расследование The New York Times о NSO Group, Dark Matter и Black Cube.

Первые инвестиции в размере $1,8 млн за 30% акций NSO Group получила от группы инвесторов во главе с партнёром венчурного фонда Genesis Partners Эдди Шалевым.

В 2014 году частная инвестиционная фирма Francisco Partners приобрела 60% акций NSO Group за $120 млн и занялась развитием компании на глобальном рынке, скупая израильских и европейских разработчиков хакерского ПО.

В 2017 году фонд прямых инвестиций BlackStone Group вёл переговоры о покупке 49% акций NSO Group за $400 млн, но отказался от сделки из-за давления правозащитных групп.

В июле 2018 года американский разработчик ПО Verint Systems предложил за контрольный пакет NSO Group $1 млрд — сделка сорвалась, потому что Хулио и Лави хотели, чтобы компания сохранила независимость после продажи, что не устроило Verint System.

14 февраля 2019 года основатели NSO Group при помощи фонда прямых инвестиций Novalpina выкупили долю Francisco Partners. Они не раскрыли детали сделки, но источники Reuters заявляют, что покупка основывалась на оценке NSO Group в $1 млрд. Novalpina стала акционером компании.

Novalpina поможет «вывести NSO Group на новый уровень, запуская новые передовые продукты, которые помогут нашим клиентам снизить угрозу терроризма и преступности», рассказал Хулио.

Шалев Хулио и Омри Лави также являются сооснователями компании Kaymera, которая также занимается кибербезопасностью. Она обещает клиентам «комплексный многоуровневый подход к защите мобильных устройств». Kaymera запустили в 2014 году, фирма привлекла $3 млн от частных инвесторов.

«Любой, кто видит возможности NSO Group, сразу же думает о том, как защититься от подобных инструментов. Мы решили создать компанию, когда увидели в этом потенциал», — рассказал глава компании Ави Розен в телефонном разговоре с Bloomberg в 2014 году. Он подтвердил, что сотрудничал с Лави и Хулио, но они не участвуют в операционной деятельности компании и NSO работает отдельно.

Таким образом, в кибервойнах NSO и Kaymera помогают противоборствующим сторонам: одна компания продаёт правительству инструменты для шпионажа, другая — продукты для защиты от этой же технологии, считает Bloomberg.

В июне 2018 года сотрудник правозащитной организации Amnesty International подвергся атаке Pegasus после кампании за освобождение шести активистов по защите прав женщин, задержанных в Саудовской Аравии.

Он получил фишинговое сообщение со ссылкой на сайты, которые, по информации из сентябрьского доклада Citizen Lab, оказались частью инфраструктуры NSO Group.

Позже организация собрала дополнительные доказательства причастности NSO Group к слежке за активистами. По словам заместителя директора Amnesty Tech Данны Инглтон, «это стало последней каплей»: в ноябре 2018 года компания призвала Министерство обороны Израиля, контролирующее экспорт ПО NSO Group, аннулировать экспортную лицензию компании. После отказа минобороны в мае 2019 года Amnesty обратилась в суд с повторным требованием аннулирования лицензии.

Также в начале 2019 года Citizen Lab рассказала, что в Нью-Йорке и Торонто сотрудников компании преследовали люди с фальшивыми удостоверениями личности, чтобы заманить их на встречу в отеле. Это подтвердило издание Associated Press, которое сообщило о попытках заманить людей, причастных к судебному слушанию или обвинениям к NSO Group.

По версии старшего исследователя Citizen Lab Джона Скотт-Рейлтона, адвокат, участвующий в судебном процессе против NSO Group, на прошлых выходных (11–12 мая) стал жертвой уязвимости WhatsApp, но атака прекратилась из-за обновления мессенджера.

Сама компания полностью отрицает свою причастность как к неправомерному применению Pegasus, так и взлому WhatsApp.

В ответ фирма заявляет, что не нарушает законов об экспорте ПО и продаёт его только для борьбы с терроризмом и преступностью. По словам компании, в контрактах закрепляются допустимые цели использования, а ответственность за нарушения условий несёт заказчик, а не NSO Group.

#утечкиданных #уязвимости #nsogroup #pegasus #whatsapp