Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
С помощью шпионской программы Pegasus правительства по всему миру годами следят за сотнями журналистов, активистов, правозащитников и политиков. В Армении Pegasus заразили как минимум 12 человек, следует из совместного расследования Access Now, CyberHUB-AM, Citizen Lab, Amnesty International и независимого исследователя Рубена Мурадяна. Слежка происходила на фоне Второй карабахской войны и политической нестабильности в стране. Это первый известный случай использования Pegasus в условиях военного конфликта.
Мы поговорили с жертвами слежки Pegasus. В материале мы рассказываем краткую историю шпионской программы, основные выводы расследования, а также делимся мерами кибербезопасности.
Как «технологию против терроризма» начали применять против журналистов и правозащитников
«Я хочу сказать только одну вещь: мы создали эту компанию, чтобы спасать жизни. И точка», — так два года назад утверждал предприниматель Шалев Хулио. В 2009 году они вместе со школьным другом Омри Лави вели бизнес по обслуживанию мобильных телефонов в Израиле. Концепция была следующей: в случае неисправностей владельцы смартфонов могли по СМС получить ссылку, через которую оператор компании получал удаленный доступ к устройству и мог установить обновление.
Во время деловой поездки в Европу в том же 2009 году Хулио и Лави встретились с сотрудниками правоохранительных органов. Силовиков заинтересовала технология, которую они хотели использовать для поиска «террористов, педофилов и других преступников». Меньше чем через год друзья вместе с Нивом КармиПокинул компанию через некоторое время после основания., служившим в разведывательной службе «Моссад», основали новую компанию — NSO Group (именно она разработала Pegasus). Согласно описанию на сайте, она занимается разработкой "технологий, помогающих государственным учреждениям обнаруживать и предотвращать терроризм и преступления".
Как выяснилось позже, инструмент слежки далеко не всегда использовался правоохранителями только против преступников. Спустя шесть лет после основания NSO Group правозащитник из ОАЭ Ахмед Мансур получил несколько СМС с подозрительными ссылками. При переходе по ним ему обещали рассказать «новые секреты» о пытках в местных тюрьмах. Вместо того чтобы открыть страницу, он решил переслать ее канадской лаборатории Citizen Lab, занимающейся исследованиями цифровой безопасности и шпионских программ.
В ходе исследования специалисты впервые описали технические особенности программы Pegasus, разработанной NSO Group. C помощью ссылки владельцы программы могли использовать неизвестные ранее уязвимости iPhone, чтобы получить удаленный доступ ко всем данным, звонкам, перепискам, камере, микрофону и геолокатору.
Попытки заразить устройства Ахмеда Мансура шпионской программой предшествовали его аресту в 2017 году. Через год его приговорили к десяти годам тюрьмы за «оскорбление статуса и престижа ОАЭ, а также руководства эмиратов».
Pegasus постоянно находится в поиске новых технических уязвимостей ОСОперационная система., которые можно использовать для заражения. «Мы видели разные вариации программы и знаем, что в течение нескольких лет Apple постоянно закрывает уязвимости, а NSO Group ищет новые. Например, раньше Pegasus умел оставаться в телефоне после перезагрузки устройства. Сейчас после перезагрузки атакующим придется атаковать телефон снова. Раньше Pegasus также могли установить через pdf-файлы, сейчас эту дыру, кажется, тоже закрыли, программа делает это уже другими способами», — рассказывает исследователь цифровых угроз CyberHUB Артур Папаян.
'%3e%3cpath%20d='M1750.71%20741.753C1704.49%201003.85%201298.63%201151.37%20844.192%201071.24C389.753%20991.112%2058.8224%20713.679%20105.038%20451.577C151.254%20189.475%20557.114%2041.9581%201011.55%20122.088C1465.99%20202.218%201796.92%20479.651%201750.71%20741.753Z'%20fill='url(%23paint0_linear_1153_539)'/%3e%3c/g%3e%3cdefs%3e%3cfilter%20id='filter0_f_1153_539'%20x='0.726562'%20y='0.273438'%20width='1854.29'%20height='1192.78'%20filterUnits='userSpaceOnUse'%20color-interpolation-filters='sRGB'%3e%3cfeFlood%20flood-opacity='0'%20result='BackgroundImageFix'/%3e%3cfeBlend%20mode='normal'%20in='SourceGraphic'%20in2='BackgroundImageFix'%20result='shape'/%3e%3cfeGaussianBlur%20stdDeviation='50'%20result='effect1_foregroundBlur_1153_539'/%3e%3c/filter%3e%3clinearGradient%20id='paint0_linear_1153_539'%20x1='390.985'%20y1='200.74'%20x2='1850.21'%20y2='683.967'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23FF39DF'/%3e%3cstop%20offset='1'%20stop-color='%23B53DFF'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Примерно с 2019 года с помощью Pegasus можно было удаленно взломать устройство даже без перехода по ссылке — для этого достаточно было знать номер телефона жертвы. В том же году из-за использования подобных уязвимостей в Верховный суд с требованием запретить работу NSO Group обратился WhatsApp. В 2021 году аналогичный иск также подала компания Apple.
Гораздо меньше на данный момент известно о заражении Pegasus устройств с другими операционными системами. «Известно, что Pegasus заражает и Android, но из-за того что это более открытая система с большим числом устройств, Google не может предупреждать заражения. Я уверен, что там шпионская программа процветает, просто находить ее сложнее», — считает Артур Папаян.
Когда Pegasus впервые заразили граждан Армении
С момента создания Pegasus стал одним из главных инструментов слежки — сейчас он используется по всему миру. Среди жертв шпионской программы — сотни журналистов и активистов из авторитарных стран, а также крупные влиятельные фигуры, например, президент Франции Эммануэль Макрон и бизнесмен Павел Дуров. Продукт NSO Group использует в том числе правительство США, которое заключило контракт всего через пять дней после того, как Белый дом внес компанию в черный список Министерства торговли и объявил угрозой национальной безопасности. При этом в 2019 году Агентство по контролю за оборонным экспортом заблокировало покупку Pegasus Украиной из-за недовольства России, а Эстонии запретило использовать ПОПрограммное обеспечение. против российских абонентов.
Один из основных пользователей Pegasus — правительство Азербайджана. В утечке телефонных номеров, которые могли подвергнуться заражению программой, обнаружили десятки, принадлежащих местным правозащитникам, журналистам и противникам режима Ильхама Алиева. Недавно OCCRPЦентр по исследованию коррупции и организованной преступности. также писал, что в Telegram появляется множество каналов, где публикуют украденные данные с личных устройств оппозиционных активистов. В том числе туда выкладывали фотографии активисток в полуобнаженном виде и аудиозаписи, сделанные во время секса.
В своем расследовании Access Now выявили 12 случаев заражения Pegasus граждан Армении, которые происходили с октября 2020 по декабрь 2022 года. Шпионские атаки начались в разгар Второй карабахской войны, а их наибольшее число пришлось на время политической нестабильности, когда в Армении проходили массовые митинги за отставку Никола Пашиняна и досрочные парламентские выборы, а на границе с Азербайджаном продолжались вооруженные столкновения. Среди жертв Pegasus — два журналиста армянской службы «Радио Свобода», представитель ООН, бывшая пресс-секретарь Министерства иностранных дел Армении, бывшая омбудсмен по правам человека в Армении, активисты и академики.
«Колонизация, брат. Но люди тут спокойно спят, зная, что нас защищает Россия»
В армянском городе Гюмри более 25 лет находится российская военная база. Что про неё думают местные жители и военнослужащие
Несмотря на то что власти Армении могли быть заинтересованы в слежке за оппозиционерами в период выборов, ее причастность к случаям заражения маловероятна, считают авторы расследования. В первую очередь это связано с тем, что армянские спецслужбы используют другое шпионское ПО. В 2021 году Citizen Lab обнаружили в стране пользователей программы Predator.
«В отличие от Армении, Азербайджан приобретает оружие из Израиля (в октябре из-за поставок оружия Азербайджану Армения отозвала своего посла из Израиля, — прим. DOXA). Это сотрудничество мы видели в течение всей войны [в Нагорном Карабахе]. В этом контексте совершенно логично, что Азербайджан покупал бы еще и кибероружие. Помимо этого, мы знаем, что Азербайджан использует Pegasus против собственных журналистов и диссидентов. Армянским спецслужбам было бы нелогично использовать ту же программу, поскольку азербайджанские власти могли бы получить информацию о потенциальных целях. Логичнее было бы приобрести другое ПО, например, Predator, следы которого мы также находили в Армении», — говорит Артур Папаян.
Как война в Нагорном Карабахе привела к слежке
Утром 27 сентября 2020 года Азербайджан заявил об обстрелах со стороны Армении и всего через несколько часов объявил о начале масштабной «контрнаступательной операции» в Нагорном Карабахе. Между проармянскими силами непризнанной Нагорно-Карабахской Республики и армией Азербайджана началась самая масштабная эскалация конфликта с 1990-х годов.
- Противоречия между Арменией и Азербайджаном имеют тысячелетнюю историю. Регион на Южном Кавказе Нагорный Карабах входил в состав первых армянских образований еще до нашей эры. По итогам Первой мировой войны область оказалась под влиянием Азербайджана, а затем обе страны вошли в состав СССР;
- После распада СССР в Нагорном Карабахе начались масштабные вооруженные столкновения. В 1991 году регион провозгласил независимость от Азербайджана. Спустя год в области началась Карабахская война, продолжавшаяся до 1994 года;
- По ее итогам войска непризнанной Нагорно-Карабахской Республики подошли к границе с Арменией, таким образом область перестала быть анклавом.
Примерно на третий день ожесточенных боев правозащитник Рубен Меликян приехал из Еревана в СтепанакертСтепанакерт или Ханкенди — город с населением чуть менее 60 тысяч человек. Столица непризнанной Нагорно-Карабахской Республики.. В 2016–2018 годы Меликян был омбудсменом по правам человека в Нагорно-Карабахской республике и расследовал нарушения в ходе вооруженных столкновений 2016 года. Во время войны 2020 года, по его словам, он помогал новому омбудсмену в документировании нарушений со стороны Азербайджана, а также делился контактами с международными омбудсменами.
1 октября 2020 года президенты Франции, России и США осудили военные действия в Нагорном Карабахе и призвали к немедленному прекращению огня. Позже страны пытались организовать переговоры Армении и Азербайджана. С самого начала войны на официальных встречах присутствовала пресс-секретарь Министерства иностранных дел Армении Анна Нагдалян. Она ежедневно координировала работу с зарубежной аудиторией. По данным расследования, впервые ее устройство заразили Pegasus в первые недели войны, в октябре. Всего телефон Нагдалян заражали Pegasus 27 раз или примерно каждый месяц до июля 2021 года.
10 ноября Армения и Азербайджан при посредничестве России подписали заявление о прекращении огня в Нагорном Карабахе. Согласно документу, Армения должна была вернуть Азербайджану больше территорий, чем это предусматривалось обсуждавшимися ранее планами мирного урегулирования. В тот же день сотни протестующих в Ереване ворвались в здание парламента с требованием отменить договор. В последующие дни в Армении начались массовые протесты с требованием отставки премьер-министра Никола Пашиняна, которые привели к назначению досрочных парламентских выборов в 2021 году.
Заражения во время досрочных парламентских выборов
Досрочные парламентские выборы в Армении назначили на 20 июня 2021 года. Главной особенностью предвыборной кампании стало участие в качестве кандидатов всех бывших президентов страны. Однако настоящая борьба развернулась между исполняющим обязанности премьер-министра Николом Пашиняном и бывшим президентом Робертом Кочаряном, который заявлял о своих дружеских отношениях с Владимиром Путиным.
Досрочные выборы активно освещала армянская служба «Радио Свобода». В то время ведущий Карен Асланян записывал интервью с влиятельными армянскими политиками, обсуждая с ними итоги Второй карабахской войны. Политическая корреспондентка издания Астхик Бедевян работает в армянской службе «Радио Свобода» уже 18 лет. В 2021 году она ежедневно писала репортажи и активно освещала предвыборную кампанию. Как выяснилось позднее, в апреле и мае за обоими журналистами начали следить с помощью Pegasus.
«У меня не было никаких подозрений о слежке до получения уведомления от Apple. После этого я, конечно, поменяла устройство и все пароли. Как журналист я ответственна за сохранение конфиденциальности своих источников, в сложившейся ситуации, не по своей воле, я подставила их под возможный удар. Ситуация усугубляется еще и тем, что, помимо деловых записей, в моем телефоне, естественно, были фотографии моих детей, семьи, личные медицинские данные. Теперь иногда даже думаю в переписках: писать — не писать», — рассказала Астхик DOXA.
«Ты как будто в тюрьме, тебя закрыли от внешнего мира»
Монологи житель_ниц Нагорного Карабаха о блокаде, войне и независимости
Вернувшись в Ереван после работы в Степанакерте, правозащитник Рубен Меликян, по собственным словам, стал менее активен в вопросах Нагорного Карабаха. Во время предвыборной кампании он оставался критиком действующей власти во главе с Николом Пашиняном, в качестве адвоката вел политические уголовные дела и организовал «Комитет по контролю за выборами». «Мы создали организацию, чтобы следить за ходом выборов, граждане прислали очень много сообщений мне и четырем моим коллегам. При этом в опубликованной информации мы не разглашали имена», — вспоминает правозащитник.
В один день коллега Меликяна получил уведомление о заражении Pegasus. Хотя сам правозащитник не получил подобное уведомление, после случая с коллегой он задумался о собственной безопасности: «Мне сказали, что инициатива CitizenLab занимается такими вопросами. После тестирования моего телефона оказалось, что он также был заражен». Как выяснила экспертиза, заражение произошло в районе 20 мая 2021 года, за месяц до внеочередных парламентских выборов.
Примерно в то же время Анна Нагдалян покинула должность пресс-секретаря МИДа, а в ноябре ей пришло уведомление от Apple, где говорилось, что ее телефон мог быть заражен шпионской программой Pegasus:
Конечно, ты соблюдаешь все меры безопасности, внимательно относишься к устройствам, но у тебя никогда не бывает мысли, что на твоем телефоне может быть шпионская программа. Я не могла представить такое на дипломатической работе
Тогда же атаке со стороны Pegasus подвергся телефон профессора Ереванского государственного университета, аналитика-тюрколога Варужана Гегамяна. В преддверии выборов он регулярно проводил открытые лекции с анализом кризисной ситуации в Нагорном Карабахе и прогнозами относительно дальнейшего развития событий.
Одним из крупнейших оппозиционных медиа политического кризиса стал телеканал ArmNews, сооснователем которого был бывший депутат от Республиканской партии Самвел Фарманян. Телеканал активно критиковал правительство Никола Пашиняна и итоги Второй карабахской войны. Уже после внеочередных выборов и закрытия телеканала на телефон Фарманяну пришло уведомление о заражении Pegasus, которое подтвердилось после технического анализа.
«Мы живем в такое время и в такой стране, где, к сожалению, занимающийся политикой человек не может исключать слежку. У меня было такое предположение. При этом мне сложно представить, какое правительство и с какой целью могло стоять за этим. В 2021 году я не принимал участия в выборах, у меня была пассивная позиция. Позже я оставил политику и работал над своей книгой», — говорит Фарманян.
По итогам досрочных парламентских выборов партия Никола Пашиняна «Гражданский договор» сохранила большинство в парламенте. Хотя оппозиционный блок бывшего президента Роберта Кочаряна заявлял о масштабных нарушениях и фальсификациях, наблюдатели Парламентской ассамблеи ОБСЕ оценили выборы положительно.
После окончания Второй карабахской войны конфликт между Арменией и Азербайджаном перешел в стадию столкновений на границе, которые продолжаются до сих пор. В январе 2022 года омбудсменом Армении стала Кристине Григорян. В сентябре того же года на границе с Азербайджаном начались вооруженные столкновения, в ходе которых с армянской стороны погибли по меньшей мере 224 человека. Тогда Григорян занималась расследованием и оглаской появившегося в Интернете видео расстрела (TW: по ссылке описание внесудебной казни) армянских военнослужащих. В октябре ее устройство также подверглось заражению Pegasus.
«Представьте себе, что теряете право на собственную жизнь»
Юристка Access Now Наталья Крапива работает с жертвами, чьи устройства были заражены шпионским ПО. По ее словам, этот опыт оказывает на людей сильное психологическое воздействие: «Жертвы шпионских ПО часто испытывают глубокое чувство вины и стыда из-за того, что они не смогли защитить себя и свои контакты от атаки. Они часто чувствуют себя незащищенными, потому что не знают, какая информация была взята с их устройства и как и когда она будет использована против них самих или их близких. Женщины и представители ЛГБТИК+ часто чувствуют себя особенно уязвимыми, поскольку всегда существует риск того, что самая личная и интимная информация на их устройстве может быть использована против них».
Бывшая пресс-секретарь МИД Армении Анна Нагдалян говорит, что сначала не поверила уведомлению Apple о заражении устройства: «Как публичная персона ты получаешь большое количество спама и фишинговых ссылок для взлома почты. Но когда мой телефон и аккаунты проверили, все подтвердилось. В этот момент ты начинаешь перебирать все в памяти и осознаешь, какая информация есть на твоем телефоне. Я испытала чувство незащищенности. Через шпионские программы потенциально можно получить доступ к информации об уязвимых группах, беженцах».
Жертвы слежки, с которыми мы поговорили, особенно обеспокоены утечкой информации, которую им доверили другие люди. «Я до сих пор пытаюсь перестроиться. Подзащитных прошу избегать в переписке каких-то тем, поскольку мой телефон может быть небезопасен. Всю личную информацию, семейные фотографии я перевел в другие места. Как правозащитник, кроме своей личной информации, я думаю еще и о других людях. Очень трудно осознавать, что переданная мне информация может быть в ведении других людей», — говорит правозащитник Рубен Меликян.
Заражение Pegasus принесло в жизнь пострадавших тревожность и перманентную подозрительность. По словам Анны Нагдалян, после вскрывшегося заражения Pegasus она стала гораздо внимательнее относиться к сообщениям и звонкам, а также регулярно обновлять свои устройства. «Сейчас человек не может обойтись без смартфона. Слежка с его помощью меняет психологическое состояние. Представьте себе, что теряете право на собственную жизнь: чем ты интересуешься, с кем разговариваешь, что ты смотришь, читаешь», — говорит сооснователь ArmNews Самвел Фарманян.
Несмотря на уже известные случаи заражения Pegasus, власти Армении не предпринимают меры по их расследованию. «Неважно, армянские это спецслужбы или азербайджанские. Мы не видели никакого желания и действий с армянской стороны. Для нас это сигнал, что армянские спецслужбы также используют подобное ПО. Но для меня самым важным в этой истории является то, что кибероружие вроде Pegasus, которое вроде существует, чтобы ловить террористов и наркоторговцев, в итоге используется против журналистов и правозащитников», — подчеркивает исследователь цифровых угроз в CyberHUB Артур Папаян.
1. Устанавливать все последние обновления ОС и приложений
Компании-разработчики операционных систем и приложений регулярно ищут уязвимости устройств, которые могут использовать операторы шпионских приложений. Чем новее версия вашей ОС — тем меньше вероятность заражения.
2. Регулярно перезагружать устройство
Согласно совместному докладу Amnesty International и Citizen Lab, Pegasus часто использует уязвимости, которые не позволяют программе закрепиться в системе после перезагрузки. Таким образом, регулярные перезагрузки могут помочь очистить систему от Pegasus.
3. Никогда не кликайте по ссылкам в сообщениях
Несмотря на то что Pegasus способен заразить устройство без непосредственного участия пользователя, часто способ пробраться к данным может быть дешевле с помощью фишинговой-ссылки.
Если вы получили подозрительную ссылку в SMS или мессенджере, откройте ее через персональный компьютер с помощью виртуальных машин. Например, Tails.
4. Соблюдайте базовые правила безопасности
- Защитите свой телефон по меньшей мере шестизначным паролем. Безопаснее всего буквенно-цифровой пароль, сгенерированный из случайных символов.
- Используйте во всех учетных записях сложные пароли из случайных символов, а также двухфакторную аутентификацию.
- Удаляйте неиспользуемые приложения.
- Для сокрытия геолокации и цифрового следа устройства используйте надежный VPN-сервис. Особенно если используете публичные сети Wi-Fi.
- Используйте надежные приложения для коммуникации, например, Signal, Wire, Session и Threema.
5. Если подозреваете слежку — обратитесь к экспертам
В случае подозрений вы можете связаться с такими организациями, как Access Now, Citizen Lab, а также техническим направлением Amnesty International.
Помимо этого, Amnesty International выпустили бесплатный инструмент для анализа устройств на заражение Pegasus. Его можно использовать, следуя подробной инструкции.
6. Старайтесь не хранить важную информацию на телефоне
Если на вашем телефоне хранятся важные данные, вы автоматически можете заинтересовать злоумышленников. Безопасно хранить данные можно на надежных облачных хранилищах (например, Mega) либо на полностью зашифрованных внешних дисках. Старайтесь при возможности обсуждать важные вопросы тет-а-тет, а важные файлы хранить в защищенных местах.
