Некоммерческая организация Access Now по вопросам цифровых гражданских прав совместно с лабораторией Citizen Lab провела расследование, в ходе которого были обнаружены как минимум семь кейсов, когда российские, беларуские и латвийские журналисты были атакованы с помощью шпионского ПО Pegasus от NSO Group. Все случаи заражений устройств произошли в Литве, Латвии или Польше.
Ранее стало известно, что программой Pegasus был заражен телефон Галины Тимченко, генерального директора российского издания Meduza. Пересказываем главное из доклада.
Это вредоносная шпионская программа, разработанная израильской хакерской группой NSO для спецслужб, которая продается правительствам по лицензии. Это максимально инвазивная программа, которая, будучи установленной на устройство пользователя, позволяет получить доступ ко всей информации на устройстве, отслеживать его местоположение, а также включать камеру и микрофон без ведома собственника устройства. Первые атаки с помощью программы Pegasus были зафиксированы в 2014 году.
Фото: cryptomuseum.com
Кто был атакован?
Член беларуского гражданского общества, проживающий в Вильнюсе
22 июня 2023 года он получил уведомление от Apple о том, что его устройство подверглось атаке, спонсируемой государством, после чего обратился в Citizen Lab. В организации подтвердили, что устройство было заражено шпионским ПО Pegasus примерно 25 марта 2021 года — в «День свободы» (Дзень Волi), посвященный провозглашению независимости Беларуской Демократической Республики (БНР) в 1918 году.
Российский журналист, проживающий в Вильнюсе
Он получил два уведомления об угрозах Apple — 31 октября 2023 года и 10 апреля 2024 года. Служба поддержки цифровой безопасности Access Now, получив техническое подтверждение от Citizen Lab, выявила попытку заражения устройства журналиста примерно 15 июня 2023 года. 16 июня журналист посетил мероприятие в Риге для российских журналистов в изгнании, которое было организовано Балтийским центром передовых медиа (BCME), Академией DW и Фондом устойчивого развития.
Евгений Эрлих, автор и бывший продюсер программы «Балтийский еженедельник» на канале Current Time. Живет в Риге
Анализ показал, что iPhone Эрлиха был заражен шпионской программой Pegasus в период с 28 по 29 ноября 2022 года. В это время Эрлих отдыхал в Австрии вместе со своей супругой, которая также получила уведомление об угрозе от Apple. Экспертизу ее телефона провести не удалось.
Евгений Павлов, латвийский журналист, автор «Новой газеты.Балтии», бывший внештатный журналист программы Current Time «Балтия». Живет в Риге
Устройство Павлова было атаковано Pegasus примерно 28 ноября 2022 года и примерно 24 апреля 2023 года, однако не удалось выяснить, были ли эти попытки успешными.
Мария Епифанова, бывший главный редактор «Новой газеты Балтия». Живет в Риге
iPhone Епифановой был заражен примерно 18 августа 2020 года — это самый ранний известный случай использования Pegasus для атаки на российское гражданское общество. Атака произошла вскоре после того, как Епифанова получила аккредитацию для участия в первой пресс-конференции лидера беларуской демократической оппозиции в изгнании Светланы Тихановской в Вильнюсе.
Андрей Санников, беларуский оппозиционный политик, кандидат в президенты Беларуси. Живет в Варшаве
По данным Citizen Lab, iPhone Санникова был заражен Pegasus примерно 7 сентября 2021 года.
Наталья Радина, главный редактор независимого беларуского онлайн-издания Charter97.org. Живет в Варшаве
Устройство Радиной было заражено шпионской программой Pegasus примерно 2 декабря 2022 года, 7 декабря 2022 года и 16 января 2023 года. Первое заражение произошло на следующий день после участия Радиной в Третьей антивоенной конференции в Вильнюсе, организованной Форумом свободной России.
Кто за этим стоит?
Access Now и Citizen Lab пока публично не называют подозреваемого оператора шпионской программы, однако указывают на несколько важных обстоятельств в своем докладе:
- Насколько известно, Польша не использует шпионскую программу Pegasus за пределами страны. В 2021 году правительство Польши заявило, что перестало использовать программу.
- По данным Citizen Lab, нет никаких доказательств того, что Россия, Беларусь или Литва являются пользователями Pegasus.
- Латвия, судя по всему, использует Pegasus, но о случаях, когда она атаковала бы жертв за пределами своих государственных границ, неизвестно.
- По данным Citizen Lab, Эстония широко использует Pegasus за пределами своих границ, в том числе в нескольких европейских странах. Кроме того, Эстония тесно сотрудничает с Латвией и Литвой по вопросам безопасности.
Что еще интересного сказано в докладе?
Расследование показало, что использование шпионского ПО Pegasus для атак на русско- и беларускоязычных журналистов и активистов началось как минимум в 2020 году, а после полномасштабного вторжения России в Украину в феврале 2022 года атаки участились.
Access Now и Citizen Lab также подтвердили, что телефоны пяти жертв содержали Apple ID, использованные операторами Pegasus при попытке взлома устройств. Известно, что взлом с помощью различных эксплойтов, использующих ошибки в HomeKit, может оставить на устройстве жертвы запись об адресе электронной почты Apple ID злоумышленника.
Citizen Lab считает, что каждый Apple ID используется одним оператором Pegasus, хотя один оператор Pegasus может использовать несколько Apple ID. Один и тот же адрес электронной почты Apple ID был обнаружен на телефонах Павлова, Радиной и второй анонимной жертвы. Отдельная учетная запись электронной почты использовалась для отправки сообщений на телефоны Эрлиха и Павлова 28 ноября 2022 года. Данные с телефонов Андрея Санникова и Натальи Радиной содержали еще одно отдельное идентичное письмо. Это позволяет предположить, что за атаками как минимум на трех жертв, а возможно, и на всех пятерых, стоит один оператор шпионской программы Pegasus.
Что говорят правозащитники?
Access Now призывает все правительства немедленно ввести мораторий на экспорт, продажу, передачу, обслуживание и использование технологий целенаправленного цифрового наблюдения до тех пор, пока не будут введены строгие гарантии соблюдения прав человека для регулирования такой практики, а также запретить использование шпионских технологий, таких как Pegasus, которые в прошлом способствовали нарушениям прав человека.
