Проект Pegasus: как шпионская программа поссорила всех
Публикация расследования 17 СМИ привела к международному скандалу. Несколько государств-клиентов израильской компании NSO Group использовали шпионское программное обеспечение, чтобы следить за общественными деятелями. В списке оказались даже премьер-министры и президенты нескольких стран. Почему расследование не дало окончательных ответов? И как разработчику программы удается в течение десяти лет уходить от ответственности?
50 тысяч жертв
Шпионская программа Pegasus разработала израильская компания NSO Group. Она предназначена для слежки за опасными преступниками, доступ к ней могут иметь только органы власти. 17 журналистских организаций опубликовали совместное расследование о массовой слежке за политиками, правозащитниками и журналистами с помощью шпионской программы Pegasus.
Над проектом работали более 80 журналистов, среди них сотрудники The Guardian, The Washington Post, Haaretz, Suddeutshe Zeitung, правозащитной организации Amnesty International и Центра по исследованию коррупции и организованной преступности (OCCRP). Руководила группой расследователей французская Forbidden Stories.
Шпионская программа Pegasus разработала израильская компания NSO Group. Она предназначена для слежки за опасными преступниками, доступ к ней могут иметь только органы власти. Это вредоносная программа проникает на устройства на базе iOS или Android и позволяет получить доступ о местоположении жертвы, а также активировать камеру и микрофон без ведома пользователя.
В руки расследователей попал список целей для слежки. В документе оказалось более 50 тысяч человек, которые с 2016 года могли предположительно быть под наблюдением властей разных стран. Хотя в списке нет имен, но журналистам удалось установить данные более тысячи человек из 50 стран мира. Идентифицированными оказались 65 руководителей компаний, 85 правозащитников, около 600 политиков, в том числе несколько глав государств и премьер-министров. Также в списке нашли данные 189 журналистов.
Публикации консорциума журналистов наделали много шума: как утверждают расследователи, в списке оказались действующие президенты Франции, Ирака и Южной Африки, а также действующие премьер-министры Пакистана, Египта и Марокко, семь бывших премьер-министров и король Марокко. Марокканский король был не единственным представителем королевской семьи, чей номер фигурировал в списке: в него также была включена принцесса из Дубая вместе со своими друзьями, пытавшаяся получить политическое убежище.
У расследователей не было прямых доказательств слежки за пользователями. Журналисты изучили 67 телефонов фигурантов списка и выяснили, что 23 устройства были заражены Pegasus, в 14 случаях власти пытались следить за пользователями. Однако в 30 случаях о слежке нельзя было сказать определенно, в том числе из-за смены устройств владельцами.
Попадание в список могло закончиться для жертв плачевно: журналисты обнаружили данные своего мексиканского коллеги Сесилио Пинеда Бирто. Его имя включили в систему за несколько недель до его убийства. Также программу использовали для взлома телефонов двух женщин, близких саудовскому журналисту Джамалю Хашогджи, которого убили в октябре 2018 года в консульстве Саудовской Аравии в Стамбуле. Одно устройство пытались взломать за полгода до убийства, другое — через несколько дней после преступления.
Авторы расследования определили 10 стран-клиентов NSO, которые вводили номера в систему. Это Азербайджан, Бахрейн, Венгрия, Индия, Казахстан, Марокко, Мексика, Объединенные Арабские Эмираты, Руанда и Саудовская Аравия. Среди них самыми активными были Мексика (внесла 15 тысяч записей) и Марокко с ОАЭ (внесли по 10 тысяч записей).
NSO всегда заявляла, что разработанное ПО предназначено для слежки именно за преступниками, однако в базе таковых не оказалось. Представители компании отрицали неправомерное использование программы. «NSO Group решительно отрицает ложные утверждения, сделанные в вашем отчете, многие из которых являются неподтвержденными теориями», — сказано в официальном заявлении компании.
По словам главы NSO Шалева Хулио, список из 50 тысяч номеров не имеет никакого отношения к компании. Однако фирма пообещала, что специалисты расследуют случаи нарушения прав человека, проверят “все достоверные заявления о неправомерном использовании программы и предпримут соответствующие действия». При этом представители NSO отказались раскрыть государственных заказчиков системы Pegasus.
Также использование Pegasus отрицали и упомянутые страны. О своей непричастности к шпионажу заявили Венгрия, Индия, Марокко и Руанда. Власти Азербайджана, Бахрейна, Казахстана, Мексики, ОАЭ и Саудовской Аравии не ответили на вопросы журналистов. Израильские власти сообщили, что у них нет доступа к информации, собранной клиентами NSO. Израиль разрешает экспорт IT-продуктов только для предотвращения и расследования преступлений, связанных с терроризмом, заявили в правительстве.
Израильская Кремниевая долина
В 2009 году два израильских предпринимателя Шалев Хулио и Омри Лави руководили небольшой компанией по обслуживанию мобильных телефонов. С ними связались сотрудники европейских правоохранительных органов. Они заметили, что технологии израильтян позволяют операторам связи получать удаленный доступ к телефону клиентов, и эта функция может спасти человеческие жизни. По словам агентов, традиционные методы прослушки устарели, поскольку программы шифрования блокируют такие попытки.
Созданная для этого компания NSO Group была примером технологического развития Израиля. Ее называли израильской версией истории успеха Кремниевой долины, яркой демонстрацией потенциала страны, которая может похвастаться самой высокой концентрацией стартапов на душу населения в мире. Однако NSO — это логичный продукт режима, который вынужден выживать во враждебном регионе, окруженный радикально настроенными противниками.
В первые недели работы компании в 2010 году основатели решили придерживаться трех руководящих принципов, которые остаются актуальными и сегодня. Во-первых, они будут предоставлять услуги только определенным государственным организациям, так как их технологии в частных руках могут стать предметом злоупотреблений.
Во-вторых, они не будут располагать данными о лицах, за которыми будут следить их клиенты после продажи лицензии на программное обеспечение. В-третьих, они будут действовать в рамках израильских законов. Для предпринимателей было важно получить разрешение от отдела экспортного контроля Министерства обороны Израиля. Это было необычным решением, поскольку в то время отдел регулировал только продажу оружия за границу. Израиль принял закон о кибербезопасности, куда вошли новые положения, только в 2017 году.
По словам Хулио, некоторые клиенты злоупотребляли ПО и подорвали доверие компании, и за последние несколько лет NSO закрыла к своим программам доступ пяти клиентам после проведения аудита, который проверял соблюдение прав человек. С двумя клиентами компания прекратила отношения только за последний год. Он не может назвать имена, поскольку связан строгими соглашениями о конфиденциальности с правоохранительными органами государств-клиентов.
«Я не могу об этом говорить»
В 2016 году The New York Times сообщила, что установка системы Pegasus стоит 500 тысяч долларов, а за взломы телефонов конкретных людей компания берет дополнительную плату. В то время стоимость взлома 10 пользователей iPhone или Android составляла 650 тысяч долларов, а пяти пользователей BlackBerry — 500 тысяч долларов. Клиенты предоставляли скидки: 800 тысяч долларов за дополнительные 100 телефонов, 500 тысяч долларов за дополнительные 50 телефонов и так далее. По данным Forbidden Stories, стоимость контракта NSO только с Саудовской Аравией достигает 55 миллионов долларов.
За 11 лет существования компания множество раз фигурировала в новостях, часто в связи с похожими инцидентами. В 2017 году появились сообщения, что программное обеспечение NSO использовалось в атаках на мексиканских репортеров и политических активистов. В 2019 году WhatsApp подал в суд на NSO, утверждая, что разработчик был причастен ко взлому 1400 устройств с помощью эксплойта, найденного в коде мессенджера. Microsoft, Google, Cisco и другие технологические компании заявили о поддержке иска WhatsApp, суд по этому делу продолжается.
Как утверждает The Washington Post, ссылаясь на два своих источника, речь идет о Саудовской Аравии и Мексике. Один из собеседников заявил, что решение по Саудовской Аравии было ответом на убийство Хашогджи, а разрыв с Мексикой произошел из-за преследований местных журналистов. Впрочем, два других источника заявили, что мексиканские власти продолжают использовать другое ПО компании, предназначенное для помощи в поисково-спасательных операциях.
«Я хочу подчеркнуть: мы создали эту компанию, чтобы спасать жизни. Точка. Я думаю, нет внятного представления о том, что органы национальной безопасности и разведывательные структуры должны делать каждый день, чтобы обеспечить базовую безопасность своих граждан. Все, что мы слышим — это нарушение прав человек, меня это очень расстраивает. Потому что я знаю, сколько жизней было спасено по всему миру благодаря нашим технологиям. Но я не могу об этом говорить», — признается Хулио.
По словам основателей, компания намерена придерживаться тех же принципов, которые были сформулированы 11 лет назад. В итоге NSO отказалась от продажи лицензии на свое ПО 90 странам, включая Россию и Китай. Также на фоне критики ее действий NSO в 2020 году стала требовать от клиентов подписывать обязательство о соблюдении прав человека, а в 2021 году опубликовала свой первый отчет о прозрачности коммерческой политики.
Опубликованное расследование журналистов ставит компанию в неловкое положение, поскольку возможности самой NSO проводить собственное расследование ограничены. Из-за того, что компания не может наблюдать за деятельностью клиентов, единственный способ повлиять на ситуацию — это отключить тех, кого NSO подозревает в нарушении прав человека, от системы Pegasus. У компании есть технические средства для определения телефонных номеров, на которые было направлено их ПО, но только при условии, если клиент или осведомитель предоставит эти номера и разрешение на доступ к своей базе.
Отсутствие глобального регулирования в индустрии кибербезопасности сказывается на прозрачности отношений между частными компаниями и государствами. Как заявляет Хулио, если появится лучший способ находить преступников, террористов и педофилов, то он закроет Pegasus. Однако сейчас услуги компании остаются популярными — и клиентам NSO удается уходить от ответственности на взаимовыгодных условиях.