В минувшие выходные правозащитная организация Amnesty International, некоммерческий проект Forbidden Stories, а также более 80 журналистов из консорциум из 17 медиаорганизаций в 10 странах мира опубликовали результаты совместного расследования, которому дали название «Проект Пегас».
«Проект Пегас»
Специалисты выявили масштабные злоупотребления шпионским ПО, созданным израильской компании NSO Group. Согласно отчету, спайварь активно применяется для нарушения прав человека и наблюдения за политиками, активистами, журналистами и правозащитниками по всему миру.
Речь идет о небезызвестной малвари Pegasus, которую впервые обнаружили еще в 2016 году. В последующие годы ИБ-специалисты продолжали находить все новые инциденты с использованием Pegasus и критиковать NSO Group за то, что компания продает свои решения правительствам и спецслужбам по всему миру (зачастую репрессивным режимам), хотя использование малвари в итоге не задокументировано практически никем и нигде.
Pegasus предназначен для шпионажа и способен собирать с устройств на базе iOS и Android текстовые сообщения, информацию о приложениях, подслушивать вызовы, отслеживать местоположение, а также похищать пароли и так далее.
«Шпионское ПО NSO Group является излюбленным оружием репрессивных режимов, стремящихся заставить замолчать журналистов, атаковать активистов и подавить инакомыслие, подвергая опасности бесчисленное количество жизней, — заявляет секретарь Amnesty International Аньес Калламар. — Обнаруженные нами [факты] опровергают все заявления NSO о том, что такие атаки редки и сводятся к неправомерному использованию их технологий. Хотя в компании утверждают, что ее шпионское ПО применяется только против настоящих преступников и для борьбы с терроризмом, ясно, что ее технология поощряет систематические злоупотребления. Они рисуют картину полной легитимности, но извлекают выгоду из широко распространенных нарушений прав человека.
Наши последние открытия показывают, что клиенты NSO Group в настоящее время могут удаленно взломать даже последние модели iPhone и все версии iOS».
Дело в том, что в распоряжении исследователей оказался список 50 000 телефонных номеров, которые якобы «представляли интерес» для клиентов NSO Group и тщательно отбирались с 2016 года. И хотя сам факт присутствия номера в этом списке еще не означает, что его владелец обязательно подвергся атаке, заражение спайварью удалось подтвердить «в десятках случаев».
Так, в списке можно найти данные политиков, активистов, журналистов, правозащитников, руководителей предприятий, религиозных деятелей, ученых и так далее. Отдельно подчеркивается, что в списке содержались телефоны как минимум 10 глав государств.
В итоге расследование выявило клиентов NSO Group как минимум в 11 странах мира, включая Азербайджан, Бахрейн, Венгрию, Индию, Казахстан, Мексику, Марокко, Руанду, Саудовскую Аравию, Того и ОАЭ. При этом Руанда, Марокко, Индия и Венгрия уже отрицают, что использовали Pegasus.
0-day в iOS
Интересно, что в ходе расследования исследователям удалось обнаружить iPhone под управлением последней версии iOS, взломанный с помощью zero-click эксплоитов (не требующих никакого взаимодействия с пользователем) для iMessage. К примеру, Amnesty International подтвердила активное заражение iPhone X активиста (CODE RWHRD1) от 24 июня 2021 года, работающего под управлением iOS 14.6.
«Amnesty International обнаружила доказательства взлома iPhone XR индийского журналиста (CODE INJRN1), устройство работало под управлением iOS 14.6 (последняя версия доступная на момент написания) не далее как 16 июня 2021 года», — также гласит отчет.
Выводы исследователей подтверждены уже Биллом Марчаком, экспертом исследовательской лаборатории Citizen Lab, где провели независимую экспертную оценку «Проекта Пегас».
(1) @AmnestyTech saw an iOS 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. We at @citizenlab also saw 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. All this indicates that NSO Group can break into the latest iPhones.
— Bill Marczak (@billmarczak) July 18, 2021
Massive abuses of NSO's Pegasus spyware uncovered by @AmnestyTech @FbdnStories #PegasusProject
— Citizen Lab (@citizenlab) July 18, 2021
We @citizenlab were asked to verify analysis and undertake a peer review of methods, and found them all sound.
Here is our peer review: https://t.co/uBTowaYlGG
«Механика работы этого zero-click эксплоита для iOS 14.x, по-видимому, существенно отличается от эксплоита KISMET для iOS 13.5.1 и iOS 13.7, что позволяет предположить, что это на самом деле другой zero-click эксплоит для iMessage», — пишут эксперты Citizen Lab.
Бан на Amazon
После выхода отчета Amazon Web Services (AWS) заблокировала всю инфраструктуру и аккаунты, связанные NSO Group. Дело в том, что исследователи заметили, что «Pegasus отправлял информацию службе, обслуживаемой Amazon CloudFront», то есть NSO Group в последние месяцы перешла на использование AWS.
Инфраструктура CloudFront использовалась при развертывании вредоносного ПО для ряда целей, включая телефон французского юриста по правам человека. Исследователи отмечали, что переход на CloudFront в некоторой степени защищает NSO от исследователей или других третьих лиц, пытающихся изучить инфраструктуру компании.
Стоит отметить, что в отчете сказано, что NSO также пользуется услугами других компаний, таких как Digital Ocean, OVH и Linode.
«Когда мы узнали об этой активности, мы оперативно закрыли соответствующую инфраструктуру и учетные записи», — сообщил изданию Vice Motherboard представитель AWS.
Реакция NSO Group
Представители NSO редко молчат в ответ на подобные обвинения. Обычно в компании отвечают, что продают свои инструменты только государственным заказчикам и правоохранительным органам, но не могут контролировать, что ее клиенты делают с этими инструментами далее. Этот раз не стал исключением. В заявлении для The Guardian представители компании сообщили следующее:
«NSO не управляет системами, которые продает проверенным государственным заказчикам, и не имеет доступа к данным о целях своих клиентов. NSO не использует свои технологии, не собирает, не владеет и не имеет доступа к каким-либо данным своих клиентов. По договорным причинам и соображениям национальной безопасности NSO не может подтвердить или опровергнуть личность наших государственных клиентов».
Также на сайте компании уже появилось официальное заявление, в котором NSO Group отрицает все обвинения, называя их ложными:
«Проверив заявления [Amnesty International и Forbidden Stories], мы решительно отрицаем ложные все утверждения, содержащиеся в их отчете. Их источники предоставили информацию, не имеющую фактических оснований, о чем свидетельствует отсутствие подтверждающей документации для многих их заявлений. На самом деле, эти обвинения настолько возмутительны и далеки от реальности, что NSO рассматривает вопрос подачи иска о клевете».