Редакция издания «Медуза» (Meduza.io) 13 сентября 2023 года сообщила о взломе смартфона iPhone, принадлежащего издателю и сооснователю проекта Галине Тимченко.
По данным некоммерческой организации Access Now и исследовательской лаборатории The Citizen Lab, телефон Тимченко взломали еще в феврале 2023 года при помощи программы-шпиона Pegasus, созданной израильской компанией NSO Group. Продажа лицензий на Pegasus контролируется правительством Израиля, согласно утверждениям создателей, ее продают лишь госструктурам и спецслужбам. Критики утверждают, что Pegasus используется для слежки за неугодными журналистами и активистами.
В случае с «Медузой», по данным исследователей, смартфон был заражен еще в феврале 2023 года, перед встречей представителей российских независимых СМИ в Берлине, в которой участвовала Тимченко. Представители издания утверждают, что узнали о взломе в июне.
Для взлома устройств Pegasus использует уязвимости в программном обеспечении смартфонов, причем для атаки достаточно знать номер мобильного телефона жертвы. Взломщики получают доступ к фотографиям и видео, списку контактов, могут читать сообщения, вести запись через микрофон и камеру, следить за перемещениями пользователя.
Юрист Access Now Наталья Крапива рассказала Русской службе «Голоса Америки» о том, можно ли избежать атаки Pegasus и что делать, если оно произошло.
«Голос Америки»: Клиенты израильской NSO Group – государственные структуры. Сложно ли установить, какая именно страна стоит за атакой?
Наталья Крапива: Довольно-таки сложно. Главная бизнес-модель таких компаний, как NSO Group и других, которые предоставляют вредоносные ПО – в том, что они это делают секретно, конфиденциально. Они не любят разглашать, кто их клиенты. Сами правительства и спецслужбы тоже не любят разглашать такого рода вещи. Поэтому нам приходится полагаться на технические улики и косвенные улики. Какого-то рода технические данные есть. Например, у Citizen Lab есть видимость того, какие страны являются пользователями, потому что они видят сервера, которые используются клиентами NSO для того, чтобы заражать людей Pegasus. Они видят инфраструктуру и сервера в той или иной стране. Поэтому в случае Латвии, Эстонии, Германии эта инфраструктура присутствует или, по крайней мере, в какой-то момент присутствовала.
«Голос Америки»: Каким образом происходит заражение?
Н.К.: Это зависит от каждого конкретного случая, потому что NSO Group использует разные уязвимости, в зависимости от того, какая уязвимость будет для них открыта. Как правило, NSO использует zero-day exploit (атака «нулевого дня» – использование уязвимости, о которой еще не знает разработчик, и соответственно, не может исправить проблему), которые на тот момент Apple или Google не смогли увидеть, и таким образом это является вектором заражения.
«Голос Америки»: Можно ли самостоятельно определить, что у тебя на телефоне установлен Pegasus, и как защитить себя?
Н.К.: Определить достаточно сложно, в большинстве случаев – невозможно, так как главная часть этого ПО – то, что его не видно. Это так называемый zero click, то есть ни на что не нужно нажимать, никакие сообщения не приходят, а это происходит невидимо, незаметно.
Пользователям iPhone мы рекомендуем устанавливать режим Lockdown mode
И большинство жертв не знают об этом. К счастью, такие компании, как Apple, высылают оповещения (редакция «Медузы» рассказала, что Галине Тимченко в июне пришло оповещение от Apple о том, что телефон могли атаковать хакеры, связанные с неким правительством – прим. «Голоса Америки»). Надеюсь, что больше компаний, включая Google, производителя Android, смогут оповещать своих пользователей. Пользователям iPhone, например, мы рекомендуем устанавливать режим Lockdown mode. Эта функция позволяет защитить телефон от подобного рода атак (но при этом значительно ограничивает работу телефона – прим. «Голоса Америки»), в каких-то случаях даже предупредить об атаках. Также необходимо обновлять постоянно операционную систему, чтобы уязвимости, которые зачастую используются при заражениях, были как бы «залатаны» с каждым новым обновлением, и таким образом будет оставаться меньше векторов для таких компаний, как NSO, для заражения устройства.
«Голос Америки»: После публикации «Медузы» еще несколько живущих в Европе российских журналистов сообщили, что им приходило оповещение от Apple о возможной хакерской атаке. В их числе – гендиректор «Новой газеты Европа» Мария Епифанова, корреспондент «Новой газеты. Балтия» Евгений Павлов и бывший журналист «Настоящего времени» Евгений Эрлих. Можно ли судить, что это была серия атак?
Н.К.: Да, возможно. В нашу службу поддержки обратилось очень много людей. Мы не можем разглашать имена. Но я скажу, что да, у нас есть основания полагать, что Галина была не единственная, и я думаю, что скорее всего в течение следующих дней, недель мы услышим больше людей, у которых подтвердятся заражения.
«Голос Америки»: Вы могли бы раскрыть, сколько человек к вам обратились после публикации?
Н.К.: Несколько десятков точно. Нескольким из них пришли уведомления, и есть высокая вероятность, что их заразили. Также есть много людей, которые просто хотят провериться на всякий случай. Мы не знаем, сколько из этих людей на самом деле были заражены. Это нам предстоит узнать.
«Голос Америки»: Что вы советуете делать тем, кому приходит уведомление на смартфон о возможной атаке хакерами?
Н.К.: Если это журналисты, члены гражданского общества, активисты, правозащитники, мы советуем обратиться в нашу службу поддержки. Телефон, который ассоциируется с этим Apple ID, лучше всего не использовать. Мы рекомендуем по возможности сделать резервную копию устройства, чтобы на всякий случай
Важно сохранить доказательства
сохранить доказательства для дальнейшего тестирования. Не стоит делать factory reset (сброс к заводским настройкам): это может уничтожить доказательства. Важно сохранить доказательства, особенно если в дальнейшем будет интерес, допустим, идти в суд и так далее. Надо обновить телефон, если уже не стоит последняя версия iOS.
«Голос Америки»: Если по итогам тестирования выяснится, что на телефоне стояла программа Pegasus, можно ли кого-то привлечь к ответственности за такую атаку? Много ли прецедентов обращения в суд против NSO?
Н.К.: Довольно большое было количество дел не только против NSO Group, но и правительств, которые подозреваются в атаках. В США есть несколько открытых дел. Самые громкие – это от WhatsApp и Apple, которые судятся с NSO из-за атаки на их сервера, их инфраструктуру, которую NSO использует, чтобы заражать телефоны.
Эти дела пока что остаются в суде: NSO не удалось от них избавиться. Также с NSO судятся журналисты из Сальвадора, мы приняли участие в этом расследовании.
Во Франции до сих пор идёт расследование после Pegasus Project – открытий, которые Amnesty International, Forbidden Stories и другие организации опубликовали. Также мы видели, что в Индии были расследования, в Испании, Польше. Польский Cенат недавно выступил с заключением, что использование Pegasus Польшей было противозаконно.
«Голос Америки»: А в итоге кто-то понес наказание за атаки?
Н.К.: Политически: в Испании были увольнения отдельных политиков из-за скандалов с Pegasus. Но юридически – пока что нет таких дел. В основном все судебные дела, которые ведутся, все еще не закончены. Нам предстоит увидеть, насколько они будут успешными.
Пока что дела, особенно которые ведутся в США, несмотря на все попытки NSO остановить их, продолжаются. В деле WhatsApp против NSO Верховный суд даже сказал, что WhatsApp имеет право судиться с NSO: дело продолжается.
Форум