Международная организация "Репортеры без границ" опубликовала обращение к властям Германии после материала российского издания "Медуза" об обнаружении шпионской программы Pegasus в телефоне издателя Галины Тимченко. "Репортеры без границ" указывают, что заражение телефона Тимченко произошло в тот период, когда организация проводила в Берлине встречи с российскими журналистами и медиаменеджерами, на которых обсуждались конфиденциальные вопросы.
Накануне о возможной хакерской атаке заявили еще три российских журналиста: гендиректор "Новой газеты Европа" Мария Епифанова, корреспондент "Новой газеты Балтия" Евгений Павлов и журналист Евгений Эрлих, который в качестве фрилансера сотрудничал в том числе и с телеканалом "Настоящее время". Как и Тимченко, все они живут в Латвии и пользуются латвийскими сим-картами.
Атаку на телефон Галины Тимченко с помощью Pegasus смогли подтвердить специалисты из некоммерческой организации Access Now. Остальные случаи пока не подтверждены. Программу разработали бывшие сотрудники израильских спецслужб. Компания-разработчик NSO Group продает свои программы не в частные руки, а правительствам разных стран. Первоначальной идеей программы Pegasus была борьба с терроризмом.
Как программа попадает на телефон и можно ли от нее защититься – Настоящему Времени объяснил IT-специалист, директор "Общества защиты интернета" Михаил Климарев.
– Могут ли киберспециалисты определить, кто мог установить Pegasus на телефон?
– Я думаю, нет. Дело в том, что это довольно сложная серьезная программа, которая, когда вы перезагружаете телефон, просто пропадает из памяти. Она хранится только в оперативной памяти и никуда не сохраняется, поэтому найти ее довольно трудно. Единственные аппараты, где есть какие-то доказательства того, что этот вирус существует, – это айфоны. На андроидах до сих пор его еще никто не обнаружил. Мы даже не знаем, существует ли Pegasus для андроида.
Это действительно очень сложно доказать. Эта программа – шедевр, об изобретении которого люди потом, наверное, пожалеют.
– Вы говорите, что если перезапустить телефон, программа пропадает. То есть телефон от нее очищается?
– Как обычно происходит заражение? Вам приходит какая-то ссылка – вначале Pegasus именно так и работал – и было необходимо какое-то действие от пользователя, например, он должен был нажать на ссылку, запустить какую-то программу. Потом они нашли уязвимость "нулевого дня". Для того, чтобы запустить эту программу, не нужно вообще никакого действия от пользователя – это происходит абсолютно незаметно. Pegasus загружается в память телефона, но не на диск, а хранится только в оперативной памяти. Поэтому когда вы выключите телефон, эта программа пропадет. В длинном сообщении от Apple и был такой совет: срочно перезагрузите телефон.
– Pegasus привязывается к SIM-карте? То есть с SIM-картой его можно перенести на другой телефон?
– Нет. Там используется не SIM-карта. Как вектор атаки там используется, например, телефонный номер: это сообщение отправляется вам по WhatsApp или по Signal, или по iMessage. Еще, по-моему, было такое, что отправлялось по электронной почте. Активистам, у кого есть риски оказаться под такой атакой, я рекомендую срочно поменять номера телефонов и никому их не сообщать, потому что это такой вектор атаки именно на вас.
– Вы говорите, что до сих пор не было известно случаев заражения телефонов на андроиде, но это же не значит, что их не было. Компания Samsung не отправит, как Apple, пользователям своих телефонов сообщение о том, что заражен телефон. Вы можете порекомендовать, каким телефоном лучше пользоваться в целях безопасности: с системой iOS или с системой Android?
– Сложно сказать. С одной стороны, здесь может быть ошибка выжившего. Мы нашли действующее программное обеспечение под айфон. И, казалось бы, оно существует только под айфон. С другой стороны, мы реально не знаем, существует ли оно под андроид, потому что его найти очень сложно.
Причина простая: там очень много всяких производителей, которые делают свои системные загрузчики. Они как-то переделывают операционную систему под свои аппараты. Их просто очень много разных. Наверное, и вирус создавать под разные аппараты будет тяжело, с одной стороны. С другой стороны, под какие-то популярные модели, наверное, тоже можно. Скорее всего, андроид в этом отношении будет чуточку безопаснее, чем айфон.
– Насколько дорогостоящая эта программа? Верно ли, что конкретное заражение конкретного абонента нужно оплачивать отдельно, чтобы проникнуть именно в его телефон?
– Я не знаю, какие договора заключают какие-то частные компании. Но то, что было опубликовано, я помню, звучали цифры от миллиона долларов за то, чтобы вообще получить доступ к этой технологии. И потом за каждое зараженное устройство NSO Group брали еще дополнительно порядка 30 тысяч долларов. Представьте себе, что речь идет о таких цифрах. Для государства, конечно, это не очень большие деньги. Но для частных компаний, наверное, это дорого.
Кроме того, неизвестно, продавали ли россиянам эту программу. Не было, по крайней мере, таких сведений. И они об этом тоже не заявляли. С другой стороны, NSO Group, которая разработала этот софт, – я бы очень не доверял их заявлениям о том, что они продавали или не продавали, что они торгуют этим ПО только с государствами. Хорошие люди таких программ не делают. Они вполне могли продавать это и частным лицам. Для российских олигархов миллион туда, миллион сюда – это небольшие деньги.
– Другими словами, вы говорите, что в этом может быть замешана и Россия?
– Мы не знаем. Кто угодно может быть замешан. Каких-то доказательств не существует, их очень трудно найти.
– Вы говорите, что нужно поменять SIM-карту, если пользователь считает, что телефон подвержен заражению. Какие еще есть способы заметить эту вирусную программу?
– Внимательно относиться к сообщениям от Apple, если у вас айфон, постоянно обновлять программное обеспечение. Недавно вышел патч, который закрывает дырку для Pegasus.
– То есть сейчас все айфоны с последним обновлением защищены от Pegasus?
– Мы не знаем. Может быть, там используется еще какая-то уязвимость.
