Израильские СМИ сообщили об аресте бывшего сотрудника NSO Group, который похитил исходные коды легальной коммерческой спайвари и попытался продать их в даркнете за 50 000 000 долларов.
NSO Group была основана в 2010 году и с тех пор занимается разработкой различной легальной малвари, которую, наряду с экплоитами для различных 0-day, продает правительствам и спецслужбам по всему миру. Широкую известность NSO Group получила в 2016-2017 годах, когда специалисты по информационной безопасности обнаружили мощные шпионские инструменты Pegasus и Chrysaor, разработанные компанией и предназначенные для iOS и Android.
Тогда эксперты назвали NSO Group не иначе, как «торговцами кибероружием», а компания, которая даже не имеет публичного сайта и старается всегда держаться в тени, была вынуждена выпустить официальное заявление. Оно гласило, что «миссия NSO – это сделать мир безопаснее, поставляя авторизованным правительственным структурам технологии, которые помогают им бороться с преступностью и терроризмом».
По данным израильских СМИ, сотрудник NSO Group, чье имя не раскрывается, похитил исходные коды коммерческой спайвари еще в конце апреля 2018 года. Обвинительное заключение гласит, что хищению предшествовал серьезный разговор с начальством: подозреваемого, который тогда занимал должность старшего программиста, собирались уволить, а он выражал недовольство от работы в компании.
В силу занимаемой должности сотрудник имел доступ к исходными кодам продуктов NSO Group. И хотя в компании предусмотрены меры безопасности, запрещающие сотрудникам подключать внешние накопители к компьютерам NSO Group, недовольный программист нашел способ отключить эту защиту. После неприятной беседы с начальством он вернулся на свое рабочее место и скопировал исходники на внешний жесткий диск. Вскоре после этого его действительно уволили.
Спустя месяц после этих событий, в начале июня 2018 года, подозреваемый создал ящик на Mail2Tor и, выдавая себя за хакера взломавшего израильскую компанию, попытался продать похищенное в даркнете, запросив за исходные коды инструментов NSO Group 50 000 000 долларов в криптовалютах Monero, Verge и Zcash. По данным СМИ, перед этим бывший сотрудник компании долго искал в Google возможные способы продажи кибероружия и потенциальных покупателей.
Один из таких потенциальных покупателей действительно вступил в переписку с программистом, однако параллельно с этим он сообщил о происходящем представителям NSO Group, а те уведомили правоохранительные органы. «Покупатель» и далее сотрудничал с компанией, помогая NSO Group вычислить вора, и по их просьбе он вытянул из бывшего сотрудника как можно больше деталей. В результате уже 5 июня 2018 года подозреваемого арестовали, а в его квартире провели обыск, во время которого под матрасом был обнаружен жесткий диск с похищенными исходниками. В их числе, по данным СМИ, были и исходные коды вышеупомянутой спайвари Pegasus.
«Индустрия коммерческой спайвари абсолютно новая, очень прибыльная и могущественная, но вместе с этим она незрелая и практически не регулируется. Здесь не хватает профессиональной этики и существует склонность к злоупотреблениям. В таких условиях кража и незаконная продажа мощных технических средств для наблюдения рано или поздно произойдет, что является еще одни примером того, почему этой индустрии столь необходим более серьезный нормативный контроль», — пишет директор Citizen Lab Рон Дейберт (Ron Deibert).
