«Шпион» в смартфоне: кто и как создает программы для слежки за гаджетами
Национальное агентство безопасности систем информации Франции (ANSSI) заявило, что шпионская программа Pegasus была обнаружена на телефонах трех журналистов, включая высокопоставленного сотрудника телеканала France 24. Это первый случай, когда официальный орган подтвердил результаты международного расследования Amnesty International и семнадцати СМИ. Источник The Guardian на французском телеканале сказал, что сотрудники были "чрезвычайно шокированы" и "рассержены тем, что журналисты могут быть объектом шпионажа", пишет телеканал Настоящее Время (создан компанией RFE/RL при участии "Голоса Америки").
Мишенями "крылатого коня" могли быть не только журналисты: авторы международного расследования получили доступ к списку из 50 тысяч телефонных номеров, возможно, представлявших интерес для операторов шпионского ПО. Среди них – главы государств и правительств, а также члены королевских семей арабских стран. Судя по уже опубликованным данным, россиян в этом списке не было. В израильской компании NSO Group отрицают, что их программа могла использоваться для слежки за кем-то, кроме подозреваемых в терроризме и уголовных преступлениях.
Pegasus взламывает телефоны на расстоянии при помощи невидимых SMS, скачивает переписку, фото и видео, а также активирует камеру и микрофон без ведома владельцев. Разработка подобных программ стоит миллионы долларов, утверждал сотрудник Apple Иван Кристич. Основываясь на внутренней переписке NSO Group, The New York Times в 2016 году опубликовала ценник Pegasus: установка программы обходилась в 500 тысяч долларов, а слежка за 10 номерами – в 650 тысяч долларов.
Но чтобы узнать о человеке все, необязательно связываться с NSO Group – на рынке шпионского программного обеспечения у нее есть серьезные (и не очень серьезные, но при этом дешевые) конкуренты и аналоги, о которых публика могла забыть на фоне скандала с Pegasus. Настоящее Время решило восполнить этот пробел.
Кто предоставляет "доступ как услугу" и при чем тут ФСБ России
Весной 2021 года группа экспертов по кибербезопасности подготовила доклад о технологиях access as a service ("доступ как услуга"): в нем речь идет о компаниях, которые продают доступ к данным третьих лиц. Доклад вышел на сайте американского аналитического центра Atlantic Council.
Эксперты утверждают, что основные игроки на этом рынке – это NSO Group из Израиля, DarkMatter из Объединенных Арабских Эмиратов и российская компания, название которой авторы без объяснения причин скрыли под криптонимом ENFER (в переводе с французского – "преисподняя").
ENFER анализирует эксплойты – фрагменты кода, используемые для кибератак. Обычно такими находками делятся с экспертным сообществом, это позволяет выпускать "заплатки" и предотвращать кибератаки. Но как минимум дважды компания могла нарушить это правило и тайно вооружить эксплойтами российские спецслужбы, считают в Atlantic Council: якобы первый "перевербованный" эксплойт был родом из западных стран, второй – из Китая.
Компания также анализирует уязвимости протокола SS7 мобильной телефонии; так она могла освоить перехват звонков и SMS, а также атаки типа "человек посередине", говорится в докладе. При таком типе атак злоумышленник изменяет содержимое сообщений или блокирует их доставку в зависимости от содержания. Как и NSO Group, ENFER, вероятно, может удаленно устанавливать в смартфоны шпионские "импланты" – но только на "андроиды" старого поколения. Этот функционал, по данным исследователей, пользуется спросом у правительств ближневосточных стран.
Курирует эту работу Центр информационной безопасности ФСБ, а на организуемых компанией тренингах могут вербовать шпионов, рассказали Atlantic Council анонимные "иностранные специалисты по кибербезопасности, посетившие эти мероприятия".
Positive Technologies: этичный обмен информацией и санкции США
Настоящее Время связалось с авторами доклада, но оказалось, что они обязались пока не комментировать его в прессе. Один из авторов посоветовал изучить анализ американской журналистки Ким Зеттер: та писала, что под криптонимом ENFER авторы скрыли российскую компанию Positive Technologies. Такого же мнения придерживается бывший сотрудник "Лаборатории Касперского", автор подкаста Security Conversations Райан Нарайн.
Косвенным подтверждением этому может служить следующее: ссылаясь на официальную историю компании, Atlantic Council утверждает, что ENFER заключила первые контракты с Минобороны России на третьем году существования. Positive Technologies в своем пресс-ките утверждает, что начала сотрудничать с ведомством, а также со "Сбербанком", "Вымпелкомом" и Магнитогорским металлургическим комбинатом в 2004 году, когда в штате было всего 11 человек, и тоже спустя два года после основания.
Сейчас в Positive Technologies работает более 600 человек, ее офис занимает целый этаж площадью четыре тысячи квадратных метров в стеклянной высотке на западе Москвы. Компания входит в топ-20 крупнейших игроков на российском IT-рынке. Специалисты Positive Technologies выступают на международных конференциях и до недавнего времени помогали устранять уязвимости в продуктах Microsoft и Google.
В апреле 2021 года, через полтора месяца после выхода исследования Atlantic Council, власти США обвинили Positive Technologies в том, что ее "исследования и разработки поддерживали вредоносные кибероперации Службы внешней разведки", а организуемая ею ежегодная конференция по кибербезопасности "использовалась для вербовки в ФСБ и ГРУ".
"За почти двадцатилетнюю историю нашей работы не было ни одного факта использования результатов исследовательской деятельности Positive Technologies вне традиций этичного обмена информацией с профессиональным ИБ-сообществом и прозрачного ведения бизнеса", – отреагировали тогда в компании.
Positive Technologies, чью капитализацию Forbes оценивает в 580 млн долларов, выделяется среди других фигурантов санкционного списка США, многие из которых и не скрывают, что ориентированы в основном на узкий рынок госбезопасности. Компания открывала офисы в США, Великобритании, Италии, Индии, Южной Корее и других странах.
Что в Positive Technologies думают о докладе Atlantic Council, выяснить не удалось – на запрос Настоящего Времени там не ответили.
"Враги интернета" и их дешевые аналоги
Не менее значимый игрок на рынке шпионского ПО – итальянская компания Hacking Team. Ее программа Remote Control System ("Удаленная система контроля") устанавливается на компьютер через фальшивые имейлы с вложениями. Затем она без ведома владельца делает снимки с экрана, подключается к веб-камере и микрофону, перехватывает переписки и пароли. По данным исследователей из Citizen Lab Университета Торонто, продукты Hacking Team пользуются спросом у "авторитарных режимов": Азербайджана, Казахстана, Узбекистана и других. За это "Репортеры без границ" объявили Hacking Team "врагами интернета".
В 2015 году неизвестные хакеры получили доступ к внутренним сетям Hacking Team и передали их содержимое WikiLeaks. Оказалось, что в 2012-2014 годах компания могла поставлять шпионские программы, в частности Remote Control System, связанному с ФСБ России НИИ "Квант". В слитой таблице поставок напротив "Кванта" стояла пометка – "официально не поддерживается". Такая же пометка стояла напротив неизвестного клиента из Судана. В 2018-м организация с названием НИИ "Квант" попала в санкционный список США.
Как и ENFER, упомянутая в докладе компания DarkMatter связана со спецслужбами, но не российскими, а эмиратскими, считают в Atlantic Council. DarkMatter покупает эксплойты и рассылает фишинговые письма: если мишень переходит по ссылке, программа узнает, какой у нее браузер и антивирус и загружает соответствующий "зловред".
Еще одна похожая программа – FinFisher – по утверждению ее создателей из немецкой компании Lench IT Solutions, поставляется только для сбора данных подозреваемых в уголовных преступлениях. Но в Citizen Lab узнали, что программу могли использовать власти более 25 стран – от США и Латвии до Венесуэлы и Туркменистана, в том числе для слежки за диссидентами.
У шпионского ПО есть и дешевые варианты, которые может позволить себе каждый. Так, британский журналист Джозеф Кокс в 2017 году потратил 170 долларов на польскую программу SpyPhone: чтобы активировать ее, понадобился физический доступ к разблокированному устройству. С помощью одного SMS телефон превратился в "портативное устройство для прослушивания": отправлял на сторону фото и сообщения, активировал микрофон и каждые пять минут записывал местоположение владельца.
Российский интернет-эксперт Андрей Солдатов считает, что если российские власти и приобретают шпионское оборудование за рубежом, то для тестирования своих систем на уязвимость. Исключение – оборудование израильской компании Cellebrite, которое активно закупает [1, 2] МВД и Следственный комитет, – но для взлома ему нужно физическое подключение к смартфону. "К российским заявлениям о создании успешного шпионского ПО я бы относился со здоровой долей скепсиса. В свое время каждый второй продукт в этой сфере рекламировался как способный "ломать" Skype, и в общем все это так и остается под вопросом", – говорит эксперт Настоящему Времени.
"Коммерческому шпионскому ПО еще предстоит пройти долгий путь, чтобы его можно было сравнивать с современным кибершпионажем или вредоносными программами, которые создаются в экосистеме киберпреступности под конкретные мишени, – говорит Настоящему Времени болгарский специалист по кибербезопасности Данчо Данчев. – Текущее состояние коммерческих "шпионов" таково, что, их легко отследить и контролировать – не в последнюю очередь благодаря любознательности специалистов в области информационной безопасности".
Чтобы защититься от подобных программ, специалисты советуют соблюдать простые меры безопасности: не открывать файлы от неизвестных отправителей, не использовать устаревшие операционные системы и периодически перезагружать смартфон.
Но стопроцентной гарантии защиты информации не дает ни одно средство.