Amnesty International разом із партнерськими організаціями встановила, що шпигунське ПЗ ізраїльської NSO Group використовувалося для стеження за активіст(к)ами і правозахисниками/цями по всьому світу

Шпигунське програмне забезпечення, розроблене ізраїльською компанією NSO Group, використовувалося для стеження за політиками/инями, активіст(к)ами, журналіст(к)ами і правозахисниками/цями більш ніж із 50 країн, – це вдалося з’ясувати Amnesty International разом із некомерційною організацією Forbidden Stories, що базується у Франції. У співпраці з журналіст(к)ами 17 ЗМІ із 10 країн дослідники/ці лабораторії безпеки Amnesty International і Forbidden Stories провели аналіз витоку даних понад 50 тисяч телефонів, матеріали якого надійшли в розпорядження правозахисної організації. Співпраця правозахисників/ць і журналістів/ок отримала назву «Проєкт «Пегас»» (шпигунське ПЗ також називається Pegasus).

«Проект «Пегас» засвідчує, що шпигунське ПЗ NSO Group стало улюбленою зброєю репресивних урядів, які прагнуть обмежити свободу журналістів/ок, переслідують активістів/ок і придушують інакомислення, при цьому наражаючи на небезпеку незліченні життя», – заявила Аньєс Калламар, генеральна секретарка Amnesty International. – «Викриття спростовують будь-які заяви NSO Group про те, що кібератаки з використанням їхньої ПЗ рідкісні і зводяться до неправомірного використання їхніх технологій. Хоча компанія стверджує, що її шпигунське ПЗ використовується тільки в рамках законних кримінальних розслідувань, зокрема при розслідуванні справ про тероризм, очевидно, що ці технології використовуються з систематичними зловживаннями».

«Очевидно, що дії компанії порушують більш серйозні питання про повну відсутність регулювання обороту шпигунського ПЗ, що зробило можливим безконтрольне переслідування активістів/ок і журналістів/ок. Поки ця компанія й IT-галузь у цілому не продемонструють, що здатні поважати права людини, повинен бути негайно введений мораторій на експорт, продаж, передачу і використання таких технологій кіберстеження», – додала Аньєс Калламар.

У письмовій відповіді Forbidden Stories і її медіа-партнерам NSO Group заявила, що «рішуче відкидає… помилкові твердження» доповіді. Компанія стверджує, що доповідь «Проєкт «Пегас» заснований на «неправильних припущеннях» і «непідтверджених теоріях», і повторює свою тезу про те, що компанія виконує «місію з порятунку життів». Відповідь NSO Group доступна за наступним посиланням.

Хід розслідування

У центрі цього розслідування – шпигунське ПЗ Pegasus від виробника NSO Group, яке при таємній установці на телефони постраждалих дозволяє зловмисникам отримати повний доступ до повідомлень пристрою, електронної пошти, мультимедіа, мікрофону, камери, дзвінків і контактів.

Із 18 липня медіа-партнери Проєкту «Пегас», включно з The Guardian, Le Monde, Süddeutsche Zeitung і The Washington Post, опублікують серію статей, що розкриють подробиці того, як світові лідер(к)и, політики(ні), правозахисники/ці і журналіст(к)и стали потенційними постраждалими віж цього шпигунського ПЗ.

На основі даних, що просочилися, Forbidden Stories і її інформаційні партнери визначили потенційних постраждалих від стеження в 11 країнах: Азербайджані, Бахрейні, Угорщині, Індії, Казахстані, Мексиці, Марокко, Руанді, Саудівській Аравії, Того й Об’єднаних Арабських Еміратах (ОАЕ).

Судячи з усього NSO Group не вжила адекватних заходів, щоб запобігти використанню своїх технологій для незаконного таргетованого стеження за активіст(к)ами і журналіст(к)ами, незважаючи на те, що в компанії або знали, або повинні були знати, що таке стеження відбувалося.

«Найпершим кроком NSO Group має стати негайне закриття клієнтських систем, якщо є достовірні докази їх неправомірного використання. Проект «Пегас» надає більш ніж достатньо таких доказів», – заявила Аньєс Калламар.

Сім’я вбитого саудівського журналіста Джамаля Хашоггі під прицілом

У ході розслідування також з’явилися докази того, що рідні саудівського журналіста Джамаля Хашоггі постраждали від програмного забезпечення Pegasus до і після його вбивства у Стамбулі 2 жовтня 2018 року саудівськими агентами, хоча NSO Group неодноразово стверджувала протилежне.

Лабораторія безпеки Amnesty International встановила, що шпигунське ПЗ Pegasus було успішно встановлено на телефон нареченої Хашоггі Хатідже Дженгіз всього через чотири дні після його вбивства. Його старша дружина, Ханан Елатр, також неодноразово ставала об’єктом стеження з використанням шпигунського ПЗ в період із вересня 2017 року по квітень 2018, як і його син Абдулла, який також став об’єктом стеження разом із іншими членами сім’ї Хашоггі в Саудівській Аравії та ОАЕ.

У своїй заяві NSO Group відповіла на твердження Проєкту «Пегас», заявивши, що її «технологія жодним чином не пов’язана з мерзенним вбивством Джамаля Хашоггі». Компанія заявила що «раніше розслідувала ці твердження відразу після жахливого вбивства, вони, знову ж таки, залишилися без підтвердження».

Журналіст(к)и під прицілом

Наразі розслідування виявило не менше 188 журналістів/ок у 21 країні, які були обрані як потенційнм цілі для стеження з використанням шпигунського ПЗ NSO Group в період із 2016 по червень 2021 року, зокрема в Азербайджані, Угорщині, Індії та Марокко, тобто в тих країнах, де посилилися репресії проти незалежних ЗМІ.

Викриття показують реальну шкоду, заподіяну незаконним стеженням:

  • У Мексиці телефон журналіста Сесіліо Пінеди з’явився у списку для відстеження всього за кілька тижнів до його вбивства 2017 року. Проєкт «Пегас» виявив, що принаймні 25 мексиканських журналістів/ок протягом двох років ставали об’єктами стеження. NSO Group заперечує, що дані, зібрані з телефону Пінеди, навіть якщо він справді був зламаний, якось використовувалися для організації його вбивства.
  • Pegasus використовувався в Азербайджані, де, за даними розслідування, більше 40 журналістів/ок стали об’єктами потенційного стеження. Лабораторія безпеки Amnesty International виявила, що на телефоні Севіндж Вагіфгизи, позаштатної журналістки незалежного Meydan TV, шпигунське ПЗ було встановлено протягом дворічного періоду аж до травня 2021 року.
  • В Індії щонайменше 40 журналістів/ок майже з усіх великих ЗМІ країни були потенційними об’єктами стеження в період з 2017 по 2021 рік. Розслідування показало, що телефони Сіддхартха Варадараджана і М. К. Вену, співзасновників незалежного Інтернет-видання The Wire, були заражені шпигунським ПЗ Pegasus аж до червня 2021 року.
  • Розслідування також виявило журналістів/ок, які працюють на великі міжнародні ЗМІ, включно з Associated Press, CNN, The New York Times і Reuters, як потенційних постраждалих. Однією з найвідоміших у цьому списку була редакторка The Financial Times Рула Халаф.

«Кількість журналістів та журналісток, ідентифікованих як об’єкти стеження, наочно демонструє, що Pegasus використовується як інструмент для залякування критично важливих ЗМІ. Ідеться про маніпулювання громадською дискусією, уникнення підзвітності та придушення будь-яких незгодних голосів», – заявила Аньєс Калламар. – «Ці викриття повинні стати поштовхом для змін. Галузь кіберстеження більше не повинна бути бенефіціаром політики невтручання з боку урядів, які самі зацікавлені у використанні цих технологій для здійснення порушень прав людини».

Викриття інфраструктури Pegasus

Amnesty International публікує повну технічну інформацію про роботу своєї лабораторії безпеки в рамках Проєкту «Пегас». У методологічному звіті лабораторії документується еволюція атак шпигунського ПЗ Pegasus з 2018 року, з докладним описом інфраструктури шпигунського ПЗ, включно з понад 700 доменами, пов’язаними з Pegasus.

«NSO Group стверджує, що її шпигунське ПЗ не піддається виявленню і використовується тільки для законних кримінальних розслідувань. Тепер ми надали незаперечні докази, що це сміховинна брехня», – зазначив Етьєн Майньє, технолог лабораторії безпеки Amnesty International.

При цьому важливо відзначити, що немає доказів того, що клієнти NSO Group також не використовували Pegasus для розслідування терористичних та інших злочинів, окрім того, розслідування показало, що телефони, на які могло бути встановлено шпигунське ПЗ, належали також і підозрюваним у злочинах.

«Широко поширені порушення, які відбуваються за допомогою Pegas, повинні припинитися. Ми сподіваємося, що переконливі докази, які будуть оприлюднені цього тижня, змусять уряди переглянути їх політику щодо неконтрольованої індустрії кіберстеження», – наголосив Етьєн Майньє.

У відповідь на запит ЗМІ, що беруть участь у Проєкті «Пегас», NSO Group заявила, що «категорично заперечує» всі твердження про порушення, і заявила, що «багато» з цих тверджень «є непідтвердженими теоріями, які викликають серйозні сумніви в надійності ваших джерел, а також тієї інформації, що лягла в основу вашої історії». NSO Group не підтвердила і не спростувала, що названі в розслідуванні уряди є клієнтами NSO Group, хоча і повідомила, що «Проект «Пегас» зробив «неправильні припущення» щодо цього. Незважаючи на загальне заперечення тверджень, NSO Group заявила, що «продовжить розслідування всіх достовірних заяв про неправомірне використання і вживатиме відповідні заходи на основі результатів цих розслідувань».