Утром 10 августа Ахмед Мансур, 46-летний правозащитник из ОАЭ, получил странное СМС с неопознанного номера: «Новые секреты о пытках в тюрьмах Эмирата». К записи прилагалась ссылка.

Мансур, уже побывав жертвой режимных хакеров, по линку, конечно же, кликать не стал. Вместо этого активист перенаправил СМС Биллу Марцаку, исследователю из Citizen Lab — правозащитного центра при Университете Торонто.

Опасения подтвердились: про изуверства в тюрьмах по ссылке не было ни слова — вместо этого телефон подцепил вирус, который ударил сразу по трём неопознанным слабостям iOS. О ситуации подробно написало издание Motherboard

«Пегас»: Как полностью взломать айфон с одной ссылки . Изображение № 1.

 

Что это за вирус? 

«Мы поняли, что имеем дело с вирусом, который никто никогда не видел в действии. Это буквально полный взлом айфона по одному клику, — рассказывает Motherboard Майк Мюррей, представитель исследовательской компании Lookout, — сложнейший пример кибершпионажа, с которым мы когда-либо сталкивались». В другом исследовательском центре — Citizen Lab — подтвердили, что таких вирусов они не встречали.

«Фактически вирус крадёт всю информацию с вашего телефона, перехватывает все ваши звонки, каждое СМС, каждый имейл, каждый видеозвонок по FaceTime. А заодно выкачивает всё из приложений, сообщения из мессенджеров Facebook, Telegram, WhatsApp, Viber. Всё что угодно», — продолжает Мюррей.

Вирус удалённо снимает ограничение на доступ к файловой системе — такой софт может стоить около миллиона долларов. Исследователи предупредили Apple о трёх ранее не известных багах в системе, и на данный момент компания уже исправила недоработки. Выпуск обновления занял десять дней.

 

 

Кто этим занимается?

Расследование Motherboard привело к NSO Group — почти неизвестной израильской компании, которую Мюррей назвал «чем-то вроде поставщика кибероружия».

NSO основали в 2010 году. Организация поставляет сложные хакерские программы правительствам разных, как правило, авторитарных стран. Причём никаких официальных подтверждений деятельности NSO нет — у компании даже нет сайта, а СМИ она долгое время игнорировала. «Мы прямо как привидение», — рассказывал сооснователь компании Омри Лави изданию Defense News в 2013 году. Позже случилась утечка информации — выяснилось, что в 2014 году американская венчурная компания вложила в NSO 120 миллионов долларов. В том же году про компанию писал The Wall Street Journal, заявив, что её вирусы продавались по всему миру и заинтересовали даже ЦРУ. 

Citizen Lab утверждает, что сверхэффективный вирус называется Pegasus и разработан именно NSO Group. Обнаружить его они смогли, проследив за местной хакерской группировкой Stealth Falcon, имеющей связи с властями ОАЭ. В самой компании-производителе Motherboard сказали, что подтвердить ничего не могут, однако представитель NSO Замир Дахбаш публично заявил, что их миссия — «сделать мир более безопасным, поставляя правительствам разных стран технологии, которые помогают им в борьбе с терроризмом».

«Просто выпуская патчи, мы не выведем NSO из игры», — предупреждает Мюррей, намекая на то, что у поставщика софта ещё есть козыри в рукаве, несмотря на (довольно замедленную) реакцию Apple.  

 

Кого обычно взламывают?

Типичные клиенты компаний вроде NSO и более известных Hacking Team и FinFisher — правительства стран с авторитарным режимом, которые не стесняются наводить порядок с помощью массовой слежки. «Это указывает на значимость голосов журналистов и активистов, ведь из-за них закупают настолько дорогой софт», — говорит представитель Citizen Lab. 

Прямых свидетельств использования именно Pegasus пока никто не обнаружил. Однако похожие домены оказались замешаны в атаках на кенийских активистов и мексиканского журналиста Рафаэля Кабреру. «Уж очень они хотели, чтоб я кликнул на ссылку», — вспоминает Рафаэль. Ему присылали якобы информацию о коррупции во власти, штраф на 500 долларов и даже хоум-видео с его женой.

«Люди, которым рассылают такие СМС — диссиденты, активисты, — это люди, которые в некотором смысле находятся на передовой. Угрозы, которые они получают сейчас, уже завтра начнём получать и мы все», — подытоживает исследователь из Citizen Lab.