Amnesty International раскрывает попытки взлома сербских журналистов с помощью шпионского ПО
Подозревают использование шпионского ПО Pegasus от NSO Group
В четверг Amnesty International опубликовала новый отчет, в котором описываются попытки взлома двух сербских журналистов, якобы осуществленные с использованием шпионского ПО Pegasus от компании NSO Group.
Оба журналиста из Balkan Investigative Reporting Network (BIRN), расположенной в Сербии, получили подозрительные текстовые сообщения с ссылкой — это было попыткой фишинга, как утверждает некоммерческая организация. В одном из случаев исследователям Amnesty удалось перейти по ссылке в безопасной среде и выяснить, что она ведет на домен, ранее идентифицированный как часть инфраструктуры NSO Group.
«Amnesty International на протяжении многих лет отслеживает использование шпионского ПО Pegasus от NSO Group для атак на активистов и журналистов», — сообщил Донча О’Керхейл, руководитель лаборатории безопасности Amnesty, в интервью TechCrunch. «Это исследование позволило Amnesty идентифицировать вредоносные сайты, используемые для доставки шпионского ПО Pegasus, включая конкретный домен Pegasus, использовавшийся в этой кампании».
По его словам, исследователи, такие как О’Керхейл, которые годами следят за деятельностью NSO, очень хорошо научились распознавать признаки этого шпионского ПО. Иногда все, что необходимо исследователям, — это внимательно посмотреть на домен, участвующий в атаке.
«У NSO Group и ее клиентов возникают трудности с тем, чтобы оставаться в тени», — добавил Джон Скотт-Рейлтон, ведущий исследователь из правозащитной организации Citizen Lab, изучающей злоупотребления шпионским ПО с 2012 года. «У NSO есть базовая проблема: они не так хороши в сокрытии, как думают их клиенты».
Существуют убедительные доказательства, поддерживающие мнение О’Керхейла и Скотт-Рейлтона. В 2016 году Citizen Lab опубликовала первый технический доклад, документирующий атаку с использованием Pegasus против диссидента из Объединенных Арабских Эмиратов. С тех пор, менее чем за 10 лет, исследователи идентифицировали по меньшей мере 130 человек по всему миру, взломанных с использованием шпионского ПО NSO Group, согласно данным, собранным исследователем в области безопасности Руной Сандвик.
Число жертв и целей частично объясняется проектом Pegasus, коллективной журналистской инициативой по расследованию злоупотреблений шпионским ПО NSO Group, основанной на утекшем списке из более чем 50,000 телефонных номеров, предположительно загруженных в систему таргетинга NSO Group.
Однако также было выявлено множество жертв, идентифицированных Amnesty, Citizen Lab и другой некоммерческой организацией Access Now, помогающей защищать гражданское общество от атак шпионского ПО, без учета этого утекшего списка телефонных номеров.
Помимо некоммерческих организаций, шпионское ПО NSO Group продолжает улавливать Apple, которая отправляет уведомления жертвам шпионского ПО по всему миру, что часто побуждает получивших эти уведомления обратиться за помощью в Access Now, Amnesty и Citizen Lab. Эти обнаружения привели к созданию дополнительных технических отчетов, документирующих атаки с использованием Pegasus, а также шпионского ПО других компаний.
Возможно, проблема NSO Group заключается в том, что она продает свои решения странам, которые беспорядочно используют шпионское ПО, в том числе против журналистов и представителей гражданского общества.
«Ошибка OPSEC, которую допускает NSO Group, состоит в продолжении продаж странам, на которые они сами вынуждены нацеливать журналистов и, в итоге, разоблачать себя», — заметил О’Керхейл, используя технический термин для оперативной безопасности.
