Смартфоны журналистов, политиков и активистов заражают шпионской программой Pegasus. Как это обнаружить, и кто за этим стоит
11 мин.

Смартфоны журналистов, политиков и активистов заражают шпионской программой Pegasus. Как это обнаружить, и кто за этим стоит

В европейских странах отмечается очередная волна заражений смартфонов шпионской программой Pegasus. Она может незаметно проникать в смартфоны и передавать данные внешним пользователям. Как подтвердили специалисты организации Access Now, объектами кибератак стали многие журналисты и активисты в странах Балтии и других европейских странах, а ранее они использовались для слежки за журналистами, политиками и активистами в Армении, Азербайджане и других постсоветских странах. Наши партнеры из «Новой Газеты Балтия» вместе с экспертами раскрыли некоторые детали и объяснили, почему под угрозой iPhone, какую информацию могут получать злоумышленники, что можно сделать при обнаружении угрозы, а также для защиты гаджетов. NewsMaker публикует адаптированную версию материала.

Что за Pegasus?

В феврале 2023 года был заражен телефон Галины Тимченко, издателя российского издания «Медуза», редакция которого находится в Риге. Широко известно об этом стало лишь спустя полгода.

А когда новость разошлась, к экспертам таких организаций как Access Now, занимающимися защитой цифровых гражданских прав, обратились еще несколько человек. Фактически кейс российской журналистки позволил выявить другие случаи установки шпионской программы в смартфоны диссидентов, журналистов и гражданских активистов: раньше те либо не воспринимали угрозу всерьез, либо не знали, куда обращаться.

— Все чаще это происходит за границей, где активисты гражданского общества и журналисты из России и Беларуси продолжают свою деятельность, считая, что находятся в безопасности, — отмечают эксперты Access Now. — Однако опыт показывает, что в мобильные устройства некоторых из них были установлена шпионская программа Pegasus. Чаще всего такого рода атакам подвергались смартфоны.

Напомним, расследование Access Now и лаборатории Citizen Lab выявило, что Pegasus был установлен в телефонах журналистов Евгения Эрлиха (сейчас живет в Риге), Евгения Павлова (Рига), Марии Епифановой (Рига), Натальи Радиной (Варшава), политика Андрея Санникова (Варшава), а также гражданского активиста из Беларуси (на данный момент находится в Вильнюсе) и российского журналиста (Вильнюс), чьи имена не называются.

Насколько это серьезно?

Очень серьезно! Программа-шпион Pegasus позволяет получать доступ буквально ко всему, что есть в телефоне: списку контактов и вызовов, календарю, сообщениям, настройкам устройства, истории браузера, архиву изображений.

— С помощью этого ПО можно включить диктофон или камеру, чтобы зафиксировать окружающую обстановку, — дополняют специалисты Access Now. — А также посмотреть с помощью GPS-модуля, где находится владелец устройства.

Более того, есть вероятность, что инициатор заражения устройства может дистанционно установить файлы, которые впоследствии могут быть использованы для преследования владельца гаджета.

— Насколько мы понимаем, технически это возможно сделать с помощью Pegasus, хотя производитель ПО наличие такого функционала отрицает, — говорят эксперты.

Как «шпион» проникает в смартфоны? 

Не все так просто. Эксперты называют Pegasus — топ-технологией одной из лучших разведывательных служб мира, которая выискивает и использует уязвимости смартфонов.

Раньше, чтобы установить программу-шпион на устройство, пользователю отправляли сообщение, например, под видом службы доставки. Когда владелец смартфона открывал SMS-сообщение, то происходило заражение гаджета.

Однако последняя версия опасного софта — более продвинутая и незаметная. На смартфон не приходит никаких уведомлений, пользователь вряд ли вообще заметит что-то подозрительное.

— Это нулевой клик, когда от пользователя не требуется никаких действий по инсталляции ПО, — подчеркивают в Access Now.

Как узнают, что телефон взломан?

С ноября 2021 года компания Apple стала отправлять уведомления пользователям, чьи устройства были атакованы шпионскими программами. Обычно они отображаются на экране блокировки, и специалисты настоятельно просят не игнорировать их. Как правило, это прямое указание, что произведена «state-sponsored attack» (атака, инициированная правительством).

Однако эти сообщения не отражают степень успешности атаки и тем более не предотвращают попытки установить стороннее ПО против воли владельца устройства, предупреждают эксперты. А временной лаг между попыткой атаки и уведомлением может составлять от нескольких месяцев до нескольких лет.

Когда стали происходить заражения в странах Балтии?

Прежде считалось, что после начала полномасштабной российской войны в Украине. Однако последнее расследование Access Now выявило более ранние случаи заражения гаджетов.

Наиболее ранний эпизод касается нашей коллеги Марии Епифановой, которая в тот момент была главным редактором «Новой газеты. Балтия». В ее iPhone шпионскую программу установили после того, как она аккредитовалась на пресс-конференцию Светланы Тихановской в Вильнюсе. Это произошло примерно 18 августа 2020 года.

— На мой iPhone пришло уведомление от Apple, что устройство, вероятно, было подвержено state-sponsored attack, — рассказывает Мария Епифанова. — Это было в конце лета 2023 года, как раз тогда вышла большая статья о вероятном заражении телефона Галины Тимченко. В конце статьи была инструкция, что делать, если пришло такое уведомление, и рекомендация обратиться в Access Now, что я и сделала.

Смартфоны журналистов, политиков и активистов заражают шпионской программой Pegasus. Как это обнаружить, и кто за этим стоит

Как уточняет наша коллега, специалисты обнаружили «следы внешних интеракций»: «Они не смогли установить, что именно сделали злоумышленники, но что бы они ни делали — выкачивали данные, слушали меня с помощью микрофонов или что-то еще — это продолжалось некоторое время».

— Сложно вспомнить, что происходило с моим телефоном четыре года назад, но какие-то очевидные странности я бы запомнила. Телефон не грелся, не выключался произвольно — ничего такого, что обычно ассоциируют с заражением, — уточняет Мария Епифанова.

Она признается, что ее охватило неприятное чувство уязвимости: «Сразу пытаешься прикинуть, кто и что мог выкачать из телефона. Никаких секретных данных я там не храню, но очень тревожно понимать, что через мой смартфон можно было получить доступ к личным данным других людей — например, тех, с кем я заключала договора, и очень неприятно знать, что кто-то мог прослушивать личные разговоры».

Этот факт позволяет предположить, что русскоязычных журналистов рассматривали как угрозу задолго до начала боевых действий в Украине.

Есть ли связь между атаками в разных странах?

Эксперты Access Now и Citizen Lab провели полноценное расследование, во время которого была обнаружена связь между жертвами атак.

— Чтобы установить шпионскую программу, инициатору взлома необходимо создать поддельный Apple ID и привязать его к электронной почте, — объясняют в Access Now. — Выяснилось, что не всегда использовались разные ID и адреса электронной почты для атак на девайсы разных людей.

В частности, были обнаружены пересечения, которые связывают русскоговорящих журналистов и активистов. Например, взлом телефонов Евгения Павлова, Натальи Радиной и их еще одного российского коллеги из Вильнюса (имя не называется) производился с помощью одного и того же адреса электронной почты. Еще один e-mail — для заражения устройств Натальи Радиной и Андрея Санникова. А третий — для атаки смартфонов Евгения Павлова и Евгения Эрлиха.

— У нас есть понимание, что это был один актор, — заявили представители Access Now.

Кто стоит за этим?

 

иллюстративное фото

Маловероятно, что это Россия или Беларусь, поскольку у них нет доступа к технологиям Pegasus, с высокой степенью уверенности заявляют специалисты Access Now.

Экспертам известно, что 14 стран в Евросоюзе могли ранее использовать Pegasus или продолжают это делать. Однако они не называют инициатора слежки, лишь указывая на потенциальные страны-интересанты.

В их числе Латвия, которая, впрочем, ранее не была замечена в атаках телефонов пользователей за границей. А также Эстония, широко использующая эти возможности за пределами страны и тесно сотрудничающая с Латвией и Литвой по вопросам безопасности, говорят в Citizen Lab.

Какая цель?

Об этом можно только догадываться. Однако если проанализировать, когда именно происходили атаки на телефоны, то становится очевидна определенная закономерность. Обычно заражение устройств происходило во время поездок их владельцев в другие страны Евросоюза или накануне неких важных мероприятий.

Так, телефон издателя «Медузы» Галины Тимченко был атакован, когда она находилась в Берлине, где представители российских независимых медиа обсуждали способы защиты от действий спецслужб и правительства РФ. А в iPhone Марии Епифановой программа Pegasus была инсталлирована накануне поездки из Риги в Вильнюс. Смартфон гражданского активиста из Беларуси, живущего в Вильнюсе, был атакован 25 марта 2021 года (в День Воли — историческую дату, которую широко отмечают беларуские демократические силы).

Может ли быть телефон атакован повторно?

Еще как! Один из российских журналистов, который находится в Вильнюсе, столкнулся именно с такой ситуацией. На его устройство пытались установить шпионское ПО в июне 2023 года. А вскоре он получил новое уведомление.

— Иногда журналисты и гражданские активисты становятся мишенью для атак со стороны сразу нескольких правительств и организаций, — предупреждают в Access Now. — Такие случаи были зафиксированы, например, в Азербайджане и Армении.

Кто вообще придумал такую программу?

Шпионская программа была разработана NSO Group Technologies (также известной как Q Cyber Technologies, OSY Technologies, Westbridge и пр. в Израиле, Люксембурге, Северной Америке и других регионах), основанной в Израиле в 2010 году. Секрет Полишинеля, что за ее деятельностью стоят серьезные структуры, которые помогают продавать ПО правительствам других стран.

Хорошая новость для беларуских и российских активистов и журналистов в том, что РФ и РБ, насколько известно специалистам из Access Now и Citizen Lab, не используют такие израильские технологии, как Pegasus. Эксперты считают, что Кремль не доверяет зарубежным производителям вредоносного ПО и предпочитает использовать свои разработки. Однако это не значит, что спецслужбы этих стран не атакуют смартфоны интересующих их людей.

Почему речь идет про iPhone?

 

иллюстративное фото

Цель шпионских программ — не только устройства, работающие на базе iOS, но и на основе других операционных систем, включая Android. Однако считается, что iPhone лучше защищены, и тем более возмутителен факт: насколько сильна мотивация получить доступ к чувствительным данным!

— Еще одна причина в том, что у Android-устройств сложнее выявить признаки заражения, — отмечают специалисты Access Now. — У iPhone память слона, а у Android — мыши.

Но, по словам экспертов, девайсы с операционной системой Android подвергаются атакам не реже. Такие случаи зарегистрированы в разных странах, например, в Иордании.

Что делать, если пришло уведомление об угрозе?

Не стирать никакие данные с устройства и оперативно связаться со специалистами из таких организаций как Access Now, Citizen Lab, CyberHUB-AM, Кибер бобёр и другие.

— Уведомление не всегда означает, что смартфон был заражен. Это может говорить о попытке, а насколько она была успешной, скажут специалисты после обследования устройства, — говорят в Access Now.

Каковы рекомендации по защите?

Если у вас iPhone, то включить режим блокировки Apple (Lockdown Mode). Незамедлительно устанавливать обновления на телефоне и других устройствах. Это касается и приложений. Часто они содержат решения, которые позволяют устранять уязвимости.

— Еще один совет: использовать исчезающие сообщения (автоматическое удаление спустя некоторое время) и хранить как можно меньше чувствительных данных на смартфоне, — дополняют специалисты.

В каких еще государствах, кроме стран Балтии, фиксировались заражения программами-шпионами?

Как говорят в Access Now, таких стран немало. Особый интерес представляет Армения тем, что там используется множество шпионских программ разными акторами, включая спецслужбы правительства, а также Азербайджана. Похожую тактику использует Казахстан.

— А вот пример Польши примечателен в другом качестве, — обращают внимание эксперты. — После смены правительства там произошло изменение политики. Если раньше власть поощряла использование такого ПО, то теперь публично отказалась и делает много для достижения большей прозрачности. Это хороший образец того, как можно исправлять прежние ошибки.

А как же Россия и Беларусь?

Конечно, эти страны активно используют вредоносные программы для взлома персональных устройств оппонентов режимов. Однако они не такие сложные и дорогие как Pegasus, и защититься от них проще.

— Но тут подстерегает другая опасность, — замечают эксперты Access Now. — Недостаток технологий спецслужбы России и Беларуси компенсируют использованием более сложных приемов с точки зрения социальной инженерии. Допустим, они знают, какого рода сообщение ожидает человек и отправляют письмо с похожего адреса электронной почты. Во вложении обычно находится программа-троян, которая позволяет получить доступ к чувствительной информации.

Несмотря на использование более старых приемов, они по-прежнему довольно эффективны, и специалисты рекомендуют соблюдать осторожность при взаимодействии с мессенджерами и электронной почтой.

Что об этом думают правозащитники?

Такие организации как Access Now занимаются адвокацией и защитой интересов пользователей, в первую очередь — политических и гражданских активистов, журналистов.

— Раньше инициаторы атак пользовались тишиной и невидимостью для окружающего мира, — отмечают эксперты. — Мы же усложняем им жизнь, обращая внимание аудитории и призывая технологические компании противостоять угрозам.

Довольно активное взаимодействие в этом направлении ведется с правительством США, которое приняло указ, запрещающий использование таких технологий, если они нарушают права человека.

— Теперь мы предпринимаем дипломатические усилия, чтобы побудить демократические правительства других государств также присоединиться к нам, — продолжают специалисты. — Не так давно это сделала Германия.

Кроме того, США ввели санкции в отношении компаний, которые производят такой софт.

— А технологические гиганты как Meta, Google и Apple создали команды по защите гражданских активистов, журналистов, диссидентов, которые часто становятся мишенями для индивидуальных кибератак, — дополняют в Access Now.


Подписывайтесь на наш Telegram-канал @newsmakerlive. Там оперативно появляется все, что важно знать прямо сейчас о Молдове и регионе.


Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

x
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: