Не только Pegasus: как еще следят за смартфонами и создают ли подобные шпионские программы в России

Наци­о­наль­ное агент­ство без­опас­но­сти систем инфор­ма­ции Фран­ции (ANSSI) заяви­ло, что шпи­он­ская про­грам­ма Pegasus была обна­ру­же­на на теле­фо­нах трех жур­на­ли­стов, вклю­чая высо­ко­по­став­лен­но­го сотруд­ни­ка теле­ка­на­ла France 24. Это пер­вый слу­чай, когда офи­ци­аль­ный орган под­твер­дил резуль­та­ты меж­ду­на­род­но­го рас­сле­до­ва­ния Amnesty International и сем­на­дца­ти СМИ. Источ­ник The Guardian на фран­цуз­ском теле­ка­на­ле ска­зал, что сотруд­ни­ки были “чрез­вы­чай­но шоки­ро­ва­ны” и “рас­сер­же­ны тем, что жур­на­ли­сты могут быть объ­ек­том шпионажа”.

Мише­ня­ми “кры­ла­то­го коня” мог­ли быть не толь­ко жур­на­ли­сты: авто­ры меж­ду­на­род­но­го рас­сле­до­ва­ния полу­чи­ли доступ спис­ку из 50 тысяч теле­фон­ных номе­ров, воз­мож­но, пред­став­ляв­ших инте­рес для опе­ра­то­ров шпи­он­ско­го ПО. Сре­ди них – гла­вы госу­дарств и пра­ви­тельств, а так­же чле­ны коро­лев­ских семей араб­ских стран. Судя по уже опуб­ли­ко­ван­ным дан­ным, рос­си­ян в этом спис­ке не было. В изра­иль­ской ком­па­нии NSO Group отри­ца­ют, что их про­грам­ма мог­ла исполь­зо­вать­ся для слеж­ки за кем-то, кро­ме подо­зре­ва­е­мых в тер­ро­риз­ме и уго­лов­ных преступлениях.

Pegasus взла­мы­ва­ет теле­фо­ны на рас­сто­я­нии при помо­щи неви­ди­мых SMS, ска­чи­ва­ет пере­пис­ку, фото и видео, а так­же акти­ви­ру­ет каме­ру и мик­ро­фон без ведо­ма вла­дель­цев. Раз­ра­бот­ка подоб­ных про­грамм сто­ит мил­ли­о­ны дол­ла­ров, утвер­ждал сотруд­ник Apple Иван Кри­стич. Осно­вы­ва­ясь на внут­рен­ней пере­пис­ке NSO Group, The New York Times в 2016 году опуб­ли­ко­ва­ла цен­ник Pegasus: уста­нов­ка про­грам­мы обхо­ди­лась в 500 тысяч дол­ла­ров, а слеж­ка за 10 номе­ра­ми – в 650 тысяч долларов.

Но что­бы узнать о чело­ве­ке все, необя­за­тель­но свя­зы­вать­ся с NSO Group – на рын­ке шпи­он­ско­го про­грамм­но­го обес­пе­че­ния у нее есть серьез­ные (и не очень серьез­ные, но при этом деше­вые) кон­ку­рен­ты и ана­ло­ги, о кото­рых пуб­ли­ка мог­ла забыть на фоне скан­да­ла с Pegasus. Насто­я­щее Вре­мя реши­ло вос­пол­нить этот пробел.

Кто предоставляет “доступ как услугу” и при чем тут ФСБ России

Вес­ной 2021 года груп­па экс­пер­тов по кибер­без­опас­но­сти под­го­то­ви­ла доклад о тех­но­ло­ги­ях access as a service (“доступ как услу­га”): в нем речь идет о ком­па­ни­ях, кото­рые про­да­ют доступ к дан­ным тре­тьих лиц. Доклад вышел на сай­те аме­ри­кан­ско­го ана­ли­ти­че­ско­го цен­тра Atlantic Council.

Экс­пер­ты утвер­жда­ют, что основ­ные игро­ки на этом рын­ке – это NSO Group из Изра­и­ля, DarkMatter из Объ­еди­нен­ных Араб­ских Эми­ра­тов и рос­сий­ская ком­па­ния, назва­ние кото­рой авто­ры без объ­яс­не­ния при­чин скры­ли под крип­то­ни­мом ENFER (в пере­во­де с фран­цуз­ско­го – “пре­ис­под­няя”).

ENFER ана­ли­зи­ру­ет экс­плой­ты – фраг­мен­ты кода, исполь­зу­е­мые для кибе­р­атак. Обыч­но таки­ми наход­ка­ми делят­ся с экс­перт­ным сооб­ще­ством, это поз­во­ля­ет выпус­кать “заплат­ки” и предот­вра­щать кибе­р­ата­ки. Но как мини­мум два­жды ком­па­ния мог­ла нару­шить это пра­ви­ло и тай­но воору­жить экс­плой­та­ми рос­сий­ские спец­служ­бы, счи­та­ют в Atlantic Council: яко­бы пер­вый “пере­вер­бо­ван­ный” экс­плойт был родом из запад­ных стран, вто­рой – из Китая.

Ком­па­ния так­же ана­ли­зи­ру­ет уяз­ви­мо­сти про­то­ко­ла SS7 мобиль­ной теле­фо­нии; так она мог­ла осво­ить пере­хват звон­ков и SMS, а так­же ата­ки типа “чело­век посе­ре­дине”, гово­рит­ся в докла­де. При таком типе атак зло­умыш­лен­ник изме­ня­ет содер­жи­мое сооб­ще­ний или бло­ки­ру­ет их достав­ку в зави­си­мо­сти от содер­жа­ния. Как и NSO Group, ENFER, веро­ят­но, может уда­лен­но уста­нав­ли­вать в смарт­фо­ны шпи­он­ские “имплан­ты” – но толь­ко на “андро­и­ды” ста­ро­го поко­ле­ния. Этот функ­ци­о­нал, по дан­ным иссле­до­ва­те­лей, поль­зу­ет­ся спро­сом у пра­ви­тельств ближ­не­во­сточ­ных стран.

Кури­ру­ет эту рабо­ту Центр инфор­ма­ци­он­ной без­опас­но­сти ФСБ, а на орга­ни­зу­е­мых ком­па­ни­ей тре­нин­гах могут вер­бо­вать шпи­о­нов, рас­ска­за­ли Atlantic Council ано­ним­ные “ино­стран­ные спе­ци­а­ли­сты по кибер­без­опас­но­сти, посе­тив­шие эти мероприятия”.

Positive Technologies: этичный обмен информацией и санкции США

Насто­я­щее Вре­мя свя­за­лось с авто­ра­ми докла­да, но ока­за­лось, что они обя­за­лись пока не ком­мен­ти­ро­вать его в прес­се. Один из авто­ров посо­ве­то­вал изу­чить ана­лиз аме­ри­кан­ской жур­на­лист­ки Ким Зет­тер: та писа­ла, что под крип­то­ни­мом ENFER авто­ры скры­ли рос­сий­скую ком­па­нию Positive Technologies. Тако­го же мне­ния при­дер­жи­ва­ет­ся быв­ший сотруд­ник “Лабо­ра­то­рии Кас­пер­ско­го”, автор под­ка­ста Security Conversations Рай­ан Нарайн.

Кос­вен­ным под­твер­жде­ни­ем это­му может слу­жить сле­ду­ю­щее: ссы­ла­ясь на офи­ци­аль­ную исто­рию ком­па­нии, Atlantic Council утвер­жда­ет, что ENFER заклю­чи­ла пер­вые кон­трак­ты с Мино­бо­ро­ны Рос­сии на тре­тьем году суще­ство­ва­ния. Positive Technologies в сво­ем пресс-ките утвер­жда­ет, что нача­ла сотруд­ни­чать с ведом­ством, а так­же со “Сбер­бан­ком”, “Вым­пел­ко­мом” и Маг­ни­то­гор­ским метал­лур­ги­че­ским ком­би­на­том в 2004 году, когда в шта­те было все­го 11 чело­век, и тоже спу­стя два года после основания.

Сей­час в Positive Technologies рабо­та­ет более 600 чело­век, ее офис зани­ма­ет целый этаж пло­ща­дью 4 тыся­чи квад­рат­ных мет­ров в стек­лян­ной высот­ке на запа­де Моск­вы. Ком­па­ния вхо­дит в топ-20 круп­ней­ших игро­ков на рос­сий­ском IT-рын­ке. Спе­ци­а­ли­сты Positive Technologies высту­па­ют на меж­ду­на­род­ных кон­фе­рен­ци­ях и до недав­не­го вре­ме­ни помо­га­ли устра­нять уяз­ви­мо­сти в про­дук­тах Microsoft и Google.

В апре­ле 2021 года, через пол­то­ра меся­ца после выхо­да иссле­до­ва­ния Atlantic Council, вла­сти США обви­ни­ли Positive Technologies в том, что ее “иссле­до­ва­ния и раз­ра­бот­ки под­дер­жи­ва­ли вре­до­нос­ные кибе­ро­пе­ра­ции Служ­бы внеш­ней раз­вед­ки”, а орга­ни­зу­е­мая ею еже­год­ная кон­фе­рен­ция по кибер­без­опас­но­сти “исполь­зо­ва­лась для вер­бов­ки в ФСБ и ГРУ”.

“За почти два­дца­ти­лет­нюю исто­рию нашей рабо­ты не было ни одно­го фак­та исполь­зо­ва­ния резуль­та­тов иссле­до­ва­тель­ской дея­тель­но­сти Positive Technologies вне тра­ди­ций этич­но­го обме­на инфор­ма­ци­ей с про­фес­си­о­наль­ным ИБ-сооб­ще­ством и про­зрач­но­го веде­ния биз­не­са”, – отре­а­ги­ро­ва­ли тогда в компании.

Positive Technologies, чью капи­та­ли­за­цию Forbes оце­ни­ва­ет в 580 млн дол­ла­ров, выде­ля­ет­ся сре­ди дру­гих фигу­ран­тов санк­ци­он­но­го спис­ка США, мно­гие из кото­рых и не скры­ва­ют, что ори­ен­ти­ро­ва­ны в основ­ном на узкий рынок гос­бе­зо­пас­но­сти. Ком­па­ния откры­ва­ла офи­сы в США, Вели­ко­бри­та­нии, Ита­лии, Индии, Южной Корее и дру­гих странах.

Что в Positive Technologies дума­ют о докла­де Atlantic Council, выяс­нить не уда­лось – на запрос Насто­я­ще­го Вре­ме­ни там не ответили.

“Враги интернета” и их дешевые аналоги

Не менее зна­чи­мый игрок на рын­ке шпи­он­ско­го ПО – ита­льян­ская ком­па­ния Hacking Team. Ее про­грам­ма Remote Control System (“Уда­лен­ная систе­ма кон­тро­ля”) уста­нав­ли­ва­ет­ся на ком­пью­тер через фаль­ши­вые имей­лы с вло­же­ни­я­ми. Затем она без ведо­ма вла­дель­ца дела­ет сним­ки с экра­на, под­клю­ча­ет­ся к веб-каме­ре и мик­ро­фо­ну, пере­хва­ты­ва­ет пере­пис­ки и паро­ли. По дан­ным иссле­до­ва­те­лей из Citizen Lab Уни­вер­си­те­та Торон­то, про­дук­ты Hacking Team поль­зу­ют­ся спро­сом у “авто­ри­тар­ных режи­мов”: Азер­бай­джа­на, Казах­ста­на, Узбе­ки­ста­на и дру­гих. За это “Репор­те­ры без гра­ниц” объ­яви­ли Hacking Team “вра­га­ми интернета”.

В 2015 году неиз­вест­ные хаке­ры полу­чи­ли доступ к внут­рен­ним сетям Hacking Team и пере­да­ли их содер­жи­мое WikiLeaks. Ока­за­лось, что в 2012–2014 годах ком­па­ния мог­ла постав­лять шпи­он­ские про­грам­мы, в част­но­сти Remote Control System, свя­зан­но­му с ФСБ Рос­сии НИИ “Квант”. В сли­той таб­ли­це поста­вок напро­тив “Кван­та” сто­я­ла помет­ка – “офи­ци­аль­но не под­дер­жи­ва­ет­ся”. Такая же помет­ка сто­я­ла напро­тив неиз­вест­но­го кли­ен­та из Суда­на. В 2018‑м орга­ни­за­ция с назва­ни­ем НИИ “Квант” попа­ла в санк­ци­он­ный спи­сок США.

Как и ENFER, упо­мя­ну­тая в докла­де ком­па­ния DarkMatter свя­за­на со спец­служ­ба­ми, но не рос­сий­ски­ми, а эми­рат­ски­ми, счи­та­ют в Atlantic Council. DarkMatter поку­па­ет экс­плой­ты и рас­сы­ла­ет фишин­го­вые пись­ма: если мишень пере­хо­дит по ссыл­ке, про­грам­ма узна­ет, какой у нее бра­у­зер и анти­ви­рус, и загру­жа­ет соот­вет­ству­ю­щий “зло­вред”.

Из-за пред­по­ло­жи­тель­ных кибе­р­атак DarkMatter нахо­дит­ся под след­стви­ем ФБР

Еще одна похо­жая про­грам­ма – FinFisher – по утвер­жде­нию ее созда­те­лей из немец­кой ком­па­нии Lench IT Solutions, постав­ля­ет­ся толь­ко для сбо­ра дан­ных подо­зре­ва­е­мых в уго­лов­ных пре­ступ­ле­ни­ях. Но в Citizen Lab узна­ли, что про­грам­му мог­ли исполь­зо­вать вла­сти более 25 стран – от США и Лат­вии до Вене­су­э­лы и Турк­ме­ни­ста­на, в том чис­ле для слеж­ки за диссидентами.

У шпи­он­ско­го ПО есть и деше­вые вари­ан­ты, кото­рые может поз­во­лить себе каж­дый. Так, бри­тан­ский жур­на­лист Джо­зеф Кокс в 2017 году потра­тил 170 дол­ла­ров на поль­скую про­грам­му SpyPhone: что­бы акти­ви­ро­вать ее, пона­до­бил­ся физи­че­ский доступ к раз­бло­ки­ро­ван­но­му устрой­ству. С помо­щью одно­го SMS теле­фон пре­вра­тил­ся в “пор­та­тив­ное устрой­ство для про­слу­ши­ва­ния”: отправ­лял на сто­ро­ну фото и сооб­ще­ния, акти­ви­ро­вал мик­ро­фон и каж­дые пять минут запи­сы­вал место­по­ло­же­ние владельца.

Рос­сий­ский интер­нет-экс­перт Андрей Сол­да­тов счи­та­ет, что если рос­сий­ские вла­сти и при­об­ре­та­ют шпи­он­ское обо­ру­до­ва­ние за рубе­жом, то для тести­ро­ва­ния сво­их систем на уяз­ви­мость. Исклю­че­ние – обо­ру­до­ва­ние изра­иль­ской ком­па­нии Cellebrite, кото­рое актив­но заку­па­ют [12] МВД и След­ствен­ный коми­тет, но для взло­ма ему нуж­но физи­че­ское под­клю­че­ние к смарт­фо­ну. “К рос­сий­ским заяв­ле­ни­ям о созда­нии успеш­но­го шпи­он­ско­го ПО я бы отно­сил­ся со здо­ро­вой долей скеп­си­са. В свое вре­мя каж­дый вто­рой про­дукт в этой сфе­ре рекла­ми­ро­вал­ся как спо­соб­ный “ломать” Skype, и в общем все это так и оста­ет­ся под вопро­сом”, – гово­рит экс­перт Насто­я­ще­му Времени.

“Ком­мер­че­ско­му шпи­он­ско­му ПО еще пред­сто­ит прой­ти дол­гий путь, что­бы его мож­но было срав­ни­вать с совре­мен­ным кибер­шпи­о­на­жем или вре­до­нос­ны­ми про­грам­ма­ми, кото­рые созда­ют­ся в эко­си­сте­ме кибер­пре­ступ­но­сти под кон­крет­ные мише­ни, – гово­рит Насто­я­ще­му Вре­ме­ни бол­гар­ский спе­ци­а­лист по кибер­без­опас­но­сти Дан­чо Дан­чев. – Теку­щее состо­я­ние ком­мер­че­ских “шпи­о­нов” тако­во, что их лег­ко отсле­дить и кон­тро­ли­ро­вать – не в послед­нюю оче­редь бла­го­да­ря любо­зна­тель­но­сти спе­ци­а­ли­стов в обла­сти инфор­ма­ци­он­ной безопасности”.

Что­бы защи­тить­ся от подоб­ных про­грамм, спе­ци­а­ли­сты сове­ту­ют соблю­дать про­стые меры без­опас­но­сти: не откры­вать фай­лы от неиз­вест­ных отпра­ви­те­лей, не исполь­зо­вать уста­рев­шие опе­ра­ци­он­ные систе­мы и пери­о­ди­че­ски пере­за­гру­жать смартфон.

Но сто­про­цент­ной гаран­тии защи­ты инфор­ма­ции не дает ни одно средство.

Источ­ник: https://www.currenttime.tv/

Статьи по теме

Найти тех кто прославляет Даригу Назарбаеву

НАЗАРБАЕВСКАЯ ЖЕСТКАЯ АВТОКРАТИЯ  «СЪЕЛА» ЖИЗНЬ ЦЕЛОГО ПОКОЛЕНИЯ

Лукпан Ахмедьяров — о давлении на казахстанское медиа-пространство, своём отъезде из Уральска и возможности эмиграции вообще