13 сентября 2023, 17:58
Государственные спецслужбы взломали телефон издателя «Медузы». Редакция подозревает ЕС, СНГ и, возможно, Россию
Айфон издателя «Медузы» Галины Тимченко подвергся взлому при помощи шпионского софта Pegasus. Кто именно стоит за атакой — неизвестно. В начале июня об обнаружении подобной уязвимости отчитались в «Лаборатории Касперского» и ФСБ.
Access Now и Citizen Lab при Университете Торонто заявили, что провели расследование и доказали заражение гендиректора «Медузы» Галины Тимченко. Технических деталей там не сообщили. Известно, что заражению подвергся iPhone журналистки. По версии специалистов, для этого использовался хакерское ПО Pegasus от израильской компании NSO Group. Атака произошла через две недели объявления «Медузы» «нежелательной организацией» в РФ.
Согласно публикации, 22 июня Тимченко получила уведомление от Apple. В нём говорилось, что «спонсируемые государством злоумышленники могли атаковать ее iPhone». Вскоре она связалась с Access Now, где подтвердили наличие вируса. Шпионская программа проникла в телефон примерно 10 февраля. На тот момент женщина находилась на мероприятии в ФРГ, хотя номер использовала латвийский.
Сама Тимченко отмечает, что давно приняла решение не хранить в в технике ничего, что она не могла бы опубликовать в интернете. Она отмечает, что интересной или не опубликованной информации на её устройстве не было, а данные об «источниках финансирования» она там не хранила.
«Единственное, что меня действительно беспокоит, это то, что те люди, чьи устройства были заражены Pegasus, также иногда становились объектами физических атак. Так что теперь мне придется оглянуться через плечо. А если это была Россия, где любого гражданина можно преследовать за сотрудничество с “нежелательными организациями”, то мой главный страх – как я могу защитить других людей, наших партнёров? Потому что у хакеров теперь есть весь мой список контактов», — поделилась переживаниями журналистка.
По имеющимся данным, NSO Group работает исключительно с государствами, однако атаки не оставляют достаточного количества «следов» для определения того, кто именно взломал телефон. Access Now и Citizen Lab выделили три группы «подозреваемых» правительств и спецслужб. В первую вошли страны ЕС, которые могли воспользоваться Pegasus: Эстония, Германия или Латвия. Также, по версии специалистов, взлом могли провести «союзные с Россией» государства вроде Азербайджана, Казахстана и Узбекистана. В третью категорию попала Россия.
Исследователи отмечают, что у них нет достаточного количества данных, чтобы обвинить конкретное государство. Некоторые страны из списка ранее не замечали в использовании шпионского ПО против журналистов.
«Нападение на одного из самых респектабельных независимых журналистов и видных критиков Путина в самом сердце ЕС означает одно — группа NSO должна быть немедленно подвергнута санкциям как угроза правам человека, миру и безопасности в Европе, США и вокруг них. NSO Group утверждает, что борется с педофилами и террористами, однако на самом деле [там разработали] идеальный инструмент для подрыва демократии и нападения на независимые СМИ и правозащитников», — сказала Наталья Крапива из Access Now.
Главред «Медузы» Иван Колпаков выступил с отдельным заявлением, в котором отметил риски, угрожающие редакции. По его словам, после начала войны выросла вероятность того, что журналистов попытаются взломать прокремлёвские хакеры или вовсе попробуют убить. Он также сравнил положение своего издания с положением «Дождя», который потерял лицензию на вещание и вынужден был переехать из-за оговорки ведущего и неправильной карты РФ.
«Если эксперты, изучавшие телефон Галины Тимченко, не ошибаются, ситуация выглядит гораздо хуже, чем мы предполагали. Независимые журналисты из России и других стран могут оказаться зажатыми в тиски: с одной стороны — своими правительствами и их чудовищными силовыми аппаратами; с другой стороны — спецслужбами тех стран, где они пытаются найти убежище», — опасается Колпаков.
Все технические детали того, как происходят атаки Pegasus, до конца не известны. По имеющимся данным, у компании есть несколько разных видов атак, которые используют разные уязвимости. В одних случаях жертвам рассылают сообщения с фишинговыми ссылками, в других — просто атакуют телефон, пока цель не взаимодействует с ним. В WhatsApp, например, вирус рассылали через видеозвонки: целью взлома оказалось более 1,4 тысячи человек.
В последние несколько лет стало известно, что NSO Group разработала «zero-click» атаку, для которой и вовсе не требуется какое-либо участие пользователя. По некоторым данным, компания использует уязвимость в 2G-чипах устройств (baseband processor), что позволяет ей удалённо запускать код на заданном устройстве.
Важно отметить, что ранее об обнаружении подобной уязвимости отчитались в «Лаборатории Касперского». Вскоре ФСБ обвинила Apple в сотрудничестве с иностранными спецслужбами. В течение последних нескольких месяцев сотрудникам ряда госкомпаний и госорганов запретили пользоваться айфонами на работе. Неизвестно, предоставили ли российские специалисты по безопасности ФСБ достаточно данных, чтобы та могла проводить атаки, аналогичные NSO Group.
По данным NYT, заказчиком как минимум части шпионских программ NSO Group оказалось ФБР. Год назад в сети появились скриншоты интерфейса программы Pegasus. Сообщалось, что, помимо прочих, технологии использует израильская полиция; причём, как обычно бывает в таких случаях, без разрешения суда. Известно, что силовики также используют информацию от «брокеров данных», чтобы обойти необходимость получать ордер.