Специалисты авторитетной организации Access Now подтвердили использование в странах Балтии шпионской программы Pegasus, незаметно устанавливаемой на смартфоне. Объектами кибератак стали не менее семи русскоязычных журналистов и активистов. Об этом пишет «Новая газета — Балтия». Редакция Factcheck.kz делится материалом коллег в сокращённом варианте.
В феврале 2023 года был заражен телефон Галины Тимченко, издателя российского издания «Медуза», редакция которого находится в Риге. Широко известно об этом стало лишь спустя полгода. После к экспертам Access Now, занимающимися защитой цифровых гражданских прав, обратились еще несколько человек.
Расследование Access Now и лаборатории Citizen Lab выявило, что Pegasus был установлен в телефонах журналистов Евгения Эрлиха (сейчас живет в Риге), Евгения Павлова (Рига), Марии Епифановой (Рига), Натальи Радиной (Варшава), политика Андрея Санникова (Варшава), а также гражданского активиста из Беларуси (на данный момент находится в Вильнюсе) и российского журналиста (Вильнюс), чьи имена не называются.
«Новая газета — Балтия» сообщает, со ссылкой на Access Now, о следующих особенностях программы-шпиона Pegasus.
- Она позволяет получать доступ буквально ко всему, что есть в телефоне: списку контактов и вызовов, календарю, сообщениям, настройкам устройства, истории браузера, архиву изображений. С помощью этого ПО можно включить диктофон или камеру, чтобы зафиксировать окружающую обстановку, узнать с помощью GPS-модуля, где находится владелец устройства. Есть вероятность, что инициатор заражения устройства может дистанционно установить файлы, которые впоследствии могут быть использованы для преследования владельца гаджета (производитель ПО наличие такого функционала отрицает).
- Раньше, чтобы установить программу-шпион на устройство, пользователю отправляли сообщение, например, под видом службы доставки. Когда владелец смартфона открывал SMS-сообщение, то происходило заражение гаджета. Последняя версия опасного софта — более продвинутая и незаметная. На смартфон не приходит никаких уведомлений, от пользователя не требуется никаких действий по инсталляции ПО.
Справка
Шпионская программа была разработана NSO Group Technologies (также известной как Q Cyber Technologies, OSY Technologies, Westbridge и пр. в Израиле, Люксембурге, Северной Америке и других регионах), основанной в Израиле в 2010 году. Секрет Полишинеля, что за ее деятельностью стоят серьёзные структуры, которые помогают продавать ПО правительствам других стран.
С ноября 2021 года компания Apple стала отправлять уведомления пользователям, чьи устройства были атакованы шпионскими программами. Обычно они отображаются на экране блокировки, и специалисты настоятельно просят не игнорировать их. Как правило, это прямое указание, что произведена «state-sponsored attack» (атака, инициированная правительством). Девайсы с операционной системой Android также подвергаются атакам.
Если уведомление пришло, владельцам гаджета рекомендуется не стирать никакие данные с устройства и оперативно связаться со специалистами из таких организаций как Access Now, Citizen Lab, CyberHUB-AM, Кибер бобёр и другие. Уведомление не всегда означает, что смартфон был заражен. Оно может говорить лишь о попытке.
Рекомендация для владельцев iPhone: включить режим блокировки Apple (Lockdown Mode). Незамедлительно устанавливать обновления на телефоне и других устройствах. Это касается и приложений. Часто они содержат решения, которые позволяют устранять уязвимости.
Ещё одна рекомендация: использовать исчезающие сообщения (автоматическое удаление спустя некоторое время) и хранить как можно меньше чувствительных данных на смартфоне
Специалисты связывают атаки, произошедшие в разных странах ЕС. Эксперты Access Now и Citizen Lab провели полноценное расследование, во время которого была обнаружена связь между жертвами атак.
Чтобы установить шпионскую программу, инициатору взлома необходимо создать поддельный Apple ID и привязать его к электронной почте. Выяснилось, что не всегда использовались разные ID и адреса электронной почты для атак на девайсы разных людей
комментарий Access Now
Были обнаружены пересечения, которые связывают русскоговорящих журналистов и активистов. Например, взлом телефонов Евгения Павлова, Натальи Радиной и их еще одного российского коллеги из Вильнюса (имя не называется) производился с помощью одного и того же адреса электронной почты. Еще один e-mail — для заражения устройств Натальи Радиной и Андрея Санникова. А третий — для атаки смартфонов Евгения Павлова и Евгения Эрлиха.
Маловероятно, что за заражением смартфонов журналистов стоит Россия или Беларусь, поскольку у них нет доступа к технологиям Pegasus.
Экспертам известно, что 14 стран в Евросоюзе могли ранее использовать Pegasus или продолжают это делать. Однако они не называют инициатора слежки, лишь указывая на потенциальные страны-интересанты. В их числе Латвия, которая, впрочем, ранее не была замечена в атаках телефонов пользователей за границей. А также Эстония, широко использующая эти возможности за пределами страны и тесно сотрудничающая с Латвией и Литвой по вопросам безопасности, говорят в Citizen Lab.
О целях можно только догадываться. Однако если проанализировать, когда именно происходили атаки на телефоны, то становится очевидна определенная закономерность. Обычно заражение устройств происходило во время поездок их владельцев в другие страны Евросоюза или накануне неких важных мероприятий.
Контекст
- Летом 2021 года Центр по исследованию коррупции и организованной преступности (OCCRP) вместе с 16-ю мировыми медиа начали публиковать проект о программном обеспечении Pegasus, с помощью которого в десятке стран мира предположительно велась слежка за телефонами журналистов, активистов и политиков. В списке предполагаемых пользователей ПО оказался и Казахстан.
- Редакция Factcheck.kz предложила инструкцию для пользователей, желающих узнать, подвергался ли их смартфон атаке Pegasus.
- Позже компания Apple объявила о подаче в суд на NSO Group, которая создала шпионское ПО Pegasus для выборочной слежки по заказу спецслужб. Компания потребовала бессрочно запретить NSO Group использовать все сервисы, программное обеспечение и устройства Apple.
