Hi-Tech

«Мы — лидеры в области кибервойн»: что известно об NSO Group — разработчике шпионского ПО с оценкой в $1 млрд

Инструменты компании способны взломать телефон через звонок на WhatsApp и бороться с преступниками, но всё чаще их используют в противоправных целях — среди пострадавших может быть Джефф Безос.

В закладки

Компания заявила, что пострадала «избранная группа лиц» — атака была целевой и имеет все признаки частной организации, которая сотрудничает с госструктурами различных стран для слежки за отдельными личностями. 14 мая WhatsApp обнаружила уязвимость в системе безопасности, позволявшую злоумышленникам удалённо устанавливать «шпионское» ПО на смартфон жертвы.

Её ключевой продукт — программа Pegasus, открывающая полный доступ к смартфону жертвы и, по заявлениям разработчиков, используемая для борьбы с терроризмом и другими преступлениями. Знакомые с расследованием источники считают, что WhatsApp говорит о компании NSO Group.

Скриншот рабочей станции Pegasus 2012 года. На нём показано местоположение взломанных устройств Business Insider

Но неоднократно появлялись упоминания о применении программы-шпиона в других целях: для преследования правозащитников, журналистов и членов оппозиции на Ближнем Востоке, в Европе, США и других странах.

Компания действует скрытно: NSO Group периодически меняет названия, рассказывает о своей деятельности лишь общими фразами вроде «мы помогаем бороться с преступниками», а основатели практически не дают интервью и скрывают детали сделок или увольнений.

Команда NSO Group

Третий основатель Нив Карми ушёл из компании вскоре после основания, предприниматели стали мажоритарными акционерами. Фирму открыли в декабре 2009 года израильские предприниматели Омри Лави и Шалев Хулио, имеющие связи с правительством страны.

Основатели NSO Group Омри Лави (слева) и Шалев Хулио The New York Times

Председателем совета директоров стал отставной генерал Авигдор Бен-Гал, возглавлявший авиационную отрасль Израиля в 1990-х годах, пишет израильская газета Haaretz.

Предполагается, что оба предпринимателя также служили в «подразделении 8200». Общее число сотрудников NSO Group, согласно LinkedIn, — 239 человек, их основной профиль — разведка и безопасность: часть пришла из «Моссада» (разведка Израиля), три сотрудника числились в «подразделении 8200», аналоге АНБ США, Хулио был командиром роты в Армии обороны Израиля, а Лави работал в израильском правительстве.

Создание и деятельность NSO Group

В основе их инструментов лежали технологии, разработанные во время работы в «подразделении 8200». По информации New York Times, в 2008 году Хулио и Лави основали компанию, которая позволяла производителям телефонов получать удалённый доступ к телефонам клиентов для техобслуживания.

Разработка заинтересовала зарубежные спецслужбы: американские и европейские чиновники выражали озабоченность насчёт Apple, Facebook, Google и других компаний, которые в то время создавали защищённые каналы связи, не поддающиеся расшифровке разведкой и правоохранительными органами.

Офис NSO Group The New York Times

Хулио и Лави предложили обойти эту проблему — не заниматься расшифровкой сообщений, а взламывать сами устройства, и читать на них уже расшифрованные сообщения.

Сама компания на своём сайте заявляет, что помогает предотвращать и расследовать случаи терроризма и преступных действий, вести поисково-спасательные операции, а её инструменты «на законных основаниях решают самые опасные проблемы современного мира». В 2011 году NSO Group разработала первый прототип — Pegasus.

В брошюре, посвященной Pegasus, компания рассказывает о своей деятельности подробнее: в ней говорится, что NSO Group специализируется на инструментах цифровой слежки и разрабатывает хакерские мобильные приложения для правительств, спецслужб и правоохранительных органов.

NSO Group считает себя лидером в сфере «кибернетических войн»: в марте 2019 года в интервью CNN «60 минут» Шалев Хулио заявил: разработки помогли спасти «десятки тысяч людей в Европе с помощью сотни израильских инженеров».

Как работает Pegasus

Он использует «уязвимости нулевого дня» (0-day) в iOS и Android, против которых ещё не разработаны способы защиты. Pegasus — флагманский продукт NSO Group для доступа ко всем данным на смартфоне жертвы.

«Наши продукты — настоящие призраки, они полностью незаметны для жертвы и не оставляют никаких следов», — заявлял в 2013 году сооснователь NSO Омри Лави.

Ему прислали несколько SMS-сообщений вида «Новые тайны о пытках граждан Эмиратов в государственных тюрьмах» со ссылками — Мансуру достаточно было кликнуть на ссылку, чтобы атакующие удалённо провели джейлбрейк и все данные попали к ним. Впервые о Pegasus узнали из исследования компаний Citizen Lab и Lookout Security в июле 2016 года: инструмент «поймали» при попытке атаковать iPhone правозащитника Ахмеда Мансура в ОАЭ.

Пример SMS-сообщения, присланного Мансуру

3. Приложение использовало три уязвимости 0-day, которые Apple исправила в экстренном обновлении iOS 9. По словам вице-президента Lockout Security Майка Мюррея, Pegasus — самое изощрённое и сложное шпионское ПО для iPhone, которое когда-либо существовало. 5 — оно вышло спустя десять дней после публикации отчёта.

Оно умеет не только перехватывать звонки и текстовые сообщения, но и похищать данные Gmail, переписку в Facebook, Skype, Telegram, WhatsApp и других мессенджеров, постоянно передаёт информацию о местоположении, истории браузера.

Зашифрованные звонки и сообщения также «прослушиваются» с помощью фиксирования нажатия виртуальных клавиш (для чтения исходящих сообщений) и захвата экрана (для чтения входящих сообщений напрямую с экрана).

Инструмент предназначен для целевых атак и может самоуничтожаться на устройстве пользователя: он удаляется, если в течение 60 дней не может связаться с командным сервером или попал на «ненужное» устройство с неверной SIM-картой.

Цели Pegasus на смартфоне

Его авторство тоже приписывают NSO Group. В сентябре 2016 года выяснилось, что Pegasus также работает на macOS, где пользователю достаточно было зайти на вредоносный сайт, а в 2017 году специалисты Google и Lookout обнаружили аналог Pegasus для Android под названием Chrysaor.

Новая версия Pegasus может работать без перехода по ссылке — например, через сброс входящего вызова, как это было в случае с WhatsApp.

Сколько стоит Pegasus и как его покупают

В 2015 году за каждую уязвимость подобного вида (с удалённым джейлбрейком iPhone) компания Zerodium предлагала $1 млн, сколько стоит найти сразу три уязвимости и реализовать их в одном инструменте — неизвестно. NSO Group не раскрывает стоимость шпионского ПО.

А в июне 2018 года израильский суд обвинил бывшего сотрудника NSO Group в похищении разработки и попытке продажи её за криптовалюту — стоимость инструмента оценили в $50 млн. В 2015 году NSO Group получила от правительства Панамы $8 млн за 300 лицензий на Pegasus — по 150 копий для Android и Blackberry.

После согласования компания просит внутренний комитет по деловой этике рассмотреть сделку: одобрить или отклонить её в случае возможного ненадлежащего использования ПО. Для каждой потенциальной сделки NSO должно получить разрешение — экспортную лицензию от Министерства обороны Израиля.

В состав комитета входят эксперты из различных областей, среди которых специалисты по правам человека, законодательным и международным отношениям и бывшие должностные лица из США.

По информации Vice, сотрудники NSO Group посещают клиентов, чтобы проверить, как используются инструменты, и, если им что-то не нравится, могут удалённо отключить их от системы.

Где применялся Pegasus

В сентябре 2018 года компания опубликовала доклад, посвящённый активности Pegasus, и рассказала о существовании минимум 36 групп «операторов» ПО, которые применяют Pegasus в 45 странах мира. После обнаружения «шпиона» исследователи Citizen Lab продолжили наблюдение и отслеживали случаи применения.

В основном Pegasus используется в странах с «сомнительной репутацией в области прав человека и историями злоупотребления полномочиями со стороны спецслужб», считает Citizen Lab. По словам экспертов, 10 из 36 групп следят за пользователями одновременно в нескольких странах, что может нарушать местное законодательство.

В марте 2019 года New York Times опубликовала расследование о хакерских организациях, помогающих правительствам различных стран как раскрывать преступления, так и следить за гражданами.

Первый клиент

По мнению мексиканских чиновников, Pegasus сыграл важную роль в поимке наркобарона Эль Чапо, которого приговорили к пожизненному заключению в феврале 2019 года. Первым клиентом NSO Group стало правительство Мексики — согласно данным New York Times, оно заплатило $15 млн за оборудование и ПО и ещё $77 млн — за слежку за членами наркокартеля.

Эль Чапо The New York Times

Но поиском преступников пользователи Pegasus не ограничивались. После успешной сделки NSO Group начала продавать ПО по всему миру, помогая уничтожать террористические ячейки, раскрывать преступные группы и похищения детей, сообщают источники европейской разведки и спецслужб.

Жертвы получали контекстные сообщения, например, о смерти родственников, со ссылками, переход по которым взламывал телефоны. Правительство Мексики также использовало хакерские инструменты для слежки за оппозиционерами, журналистами, международными следователями, которые расследовали нераскрытое исчезновение 43 студентов, признанных мёртвыми, и даже сторонниками налога на газированную воду.

По данным Citizen Lab в Мексике пострадало как минимум 25 невиновных человек Citizen Lab

В конце 2018 года активист Омар Абдул Азис из Саудовской Аравии подал в суд на NSO Group, утверждая, что компания взломала телефон его друга, журналиста Джамаля Хашогджи, убитого 2 октября 2018 года в Стамбуле.

По информации New York Times, NSO Group с 2017 года помогала в слежке за журналистами и активистами в Саудовской Аравии бывшему принцу Сауду аль-Кахтани, которого подозревали в причастности к убийству Хашогджи.

В переписке с NSO Group аль-Кахтани отмечал, что собирается использовать инструменты компании для слежки «на всём Ближнем Востоке и в Европе» — Франции, Турции, Катаре и Великобритании.

Фейковое сообщение, которое пришло Омару Абдулазису The London Post

Злоумышленники получили доступ к интимным фотографиям и другой личной информации. В марте 2019 года телефон главы Amazon Джеффа Безоса взломали с помощью похожих на Pegasus инструментов. Консультант по безопасности Безоса в статье The Daily Beast рассказал, что атака исходила из Саудовской Аравии, сославшись на расследование The New York Times о NSO Group, Dark Matter и Black Cube.

Инвестиции в NSO Group и оценка стоимости компании

Первые инвестиции в размере $1,8 млн за 30% акций NSO Group получила от группы инвесторов во главе с партнёром венчурного фонда Genesis Partners Эдди Шалевым.

В 2014 году частная инвестиционная фирма Francisco Partners приобрела 60% акций NSO Group за $120 млн и занялась развитием компании на глобальном рынке, скупая израильских и европейских разработчиков хакерского ПО.

В 2017 году фонд прямых инвестиций BlackStone Group вёл переговоры о покупке 49% акций NSO Group за $400 млн, но отказался от сделки из-за давления правозащитных групп.

В июле 2018 года американский разработчик ПО Verint Systems предложил за контрольный пакет NSO Group $1 млрд — сделка сорвалась, потому что Хулио и Лави хотели, чтобы компания сохранила независимость после продажи, что не устроило Verint System.

Они не не раскрыли детали сделки, но источники Reuters заявляют, что покупка основывалась на оценке NSO Group в $1 млрд. 14 февраля 2019 года основатели NSO Group при помощи фонда прямых инвестиций Novalpina выкупили долю Francisco Partners. Novalpina стала акционером компании.

Novalpina поможет «вывести NSO Group на новый уровень, запуская новые передовые продукты, которые помогут нашим клиентам снизить угрозу терроризма и преступности», рассказал Хулио.

Игра на оба фронта

Она обещает клиентам «комплексный многоуровневый подход к защите мобильных устройств». Шалев Хулио и Омри Лави также являются сооснователями компании Kaymera, которая также занимается кибербезопасностью. Kaymera запустили в 2014 году, фирма привлекла $3 млн от частных инвесторов.

Мы решили создать компанию, когда увидели в этом потенциал», — рассказал глава компании Ави Розен в телефонном разговоре с Bloomberg в 2014 году. «Любой, кто видит возможности NSO Group, сразу же думает о том, как защититься от подобных инструментов. Он подтвердил, что сотрудничал с Лави и Хулио, но они не участвуют в операционной деятельности компании и NSO работает отдельно.

Таким образом, в кибервойнах NSO и Kaymera помогают противоборствующим сторонам: одна компания продаёт правительству инструменты для шпионажа, другая — продукты для защиты от этой же технологии, считает Bloomberg.

Реакция NSO Group на обвинения

В июне 2018 года сотрудник правозащитной организации Amnesty International подвергся атаке Pegasus после кампании за освобождение шести активистов по защите прав женщин, задержанных в Саудовской Аравии.

Он получил фишинговое сообщение со ссылкой на сайты, которые, по информации из сентябрьского доклада Citizen Lab, оказались частью инфраструктуры NSO Group.

По словам заместителя директора Amnesty Tech Данны Инглтон, «это стало последней каплей»: в ноябре 2018 года компания призвала Министерство обороны Израиля, контролирующее экспорт ПО NSO Group, аннулировать экспортную лицензию компании. Позже организация собрала дополнительные доказательства причастности NSO Group к слежке за активистами. После отказа минобороны в мае 2019 года Amnesty обратилась в суд с повторным требованием аннулирования лицензии.

Это подтвердило издание Associated Press, которое сообщило о попытках заманить людей, причастных к судебному слушанию или обвинениям к NSO Group. Также в начале 2019 года Citizen Lab рассказала, что в Нью-Йорке и Торонто сотрудников компании преследовали люди с фальшивыми удостоверениями личности, чтобы заманить их на встречу в отеле.

По версии старшего исследователя Citizen Lab Джона Скотт-Рейлтона, адвокат, участвующий в судебном процессе против NSO Group, на прошлых выходных (11–12 мая) стал жертвой уязвимости WhatsApp, но атака прекратилась из-за обновления мессенджера.

Сама компания полностью отрицает свою причастность как к неправомерному применению Pegasus, так и взлому WhatsApp.

По словам компании, в контрактах закрепляются допустимые цели использования, а ответственность за нарушения условий несёт заказчик, а не NSO Group. В ответ фирма заявляет, что не нарушает законов об экспорте ПО и продаёт его только для борьбы с терроризмом и преступностью.

#утечкиданных #уязвимости #nsogroup #pegasus #whatsapp

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть