Шпионские программы на службе правительства Армении?
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ ООО "МЕМО", ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА ООО "МЕМО".
Пользователи Apple в Армении получают уведомления о вероятном взломе. Что это?
Примерно 10 дней назад многие люди в Армении получили сообщения о том, что «Apple считает, что айфоны, связанные с их аккаунтами в Apple ID могут быть скомпрометированы атаками, связанными с государством. Эти атаки нацелены на юзеров персонально и организованы из-за их рода деятельности. Такие атаки могут удаленно получать все частные данные, включать камеру и микрофон, перехватывать звонки и т.д».
Такие сообщения получили только пользователи Apple, а их получение было связано с тем, что компания обновила свою операционную систему до версии 16.2, и теперь для нее стали видимыми атаки, которые прежде проходили незаметно. В новую версию системы включены обновления по безопасности, посредством которых операционная система их определяет, и реагирует уведомлением.
Возникает вопрос: почему только Apple? Хотя среди более известных людей Apple больше распространена, чем в среднем, Андроид в любом случае доминирует; но таких уведомлений не присылает. Во-первых, возможно, уязвимость была именно в системе iOS, и через нее взламывали аккаунты (к примеру, через утилиту imessage), причем если учесть, что каждый интересующий пользователь контактирует и с другими пользователями, в действительности взлом Apple будет вполне достаточным для получения всей нужной информацией. Но, учитывая, что взлом производился и через WhatsApp, а также ряд других программ и уязвимостей, вряд ли можно говорить о том, что Андроид неуязвим. Скорее всего, Андроид тоже блокирует такие уязвимости, но позже, и не извещает юзеров об этом. Кроме того, телефоны на ОС Андроид получают обновления в среднем в течение 2-3 лет, а телефоны на Apple – до 7 лет, так что в любом случае Андроид в этом отношении уступает. Тем более, что если дать себе труд углубиться в вопрос, становится понятно, что в целом Андроид очень слабозащищенная система, хотя и есть попытки улучшить ее защиту.
Чем и как взламывают пользователей?
Итак, судя по всему, десятки (возможно, ближе к сотне) юзеров в Армении получили уведомление о том есть попытка взлома их аккаунтов. Люди, получившие уведомление во второй половине декабря, чаще всего были сотрудниками государственных ведомств среднего звена, то есть, главы отделов и департаментов или их заместители, и чаще всего эти сообщения распространялись лично, без публичных заявлений. Это неудивительно, поскольку сотрудники госсектора – последние люди, которые хотели бы публичной огласки подобных фактов.
Поскольку подобными сообщениями в Армении занимаются в основном специалисты по информационной безопасности такие как Рубен Мурадян и коллеги из группы Cyberhub.am Самвел Мартиросян и Артур Папян, именно они получают такие сообщения и в целом владеют этой информацией. Рубена Мурадяна отдельно благодарю за постоянное внимание к этой теме и оперативные публикации, которые в том числе использовались для написания этого текста. Согласно ему, шпионские ПО отличаются от компьютерных вирусов тем, что они нацелены не на широкую аудиторию и случайных людей, а на конкретных лиц, и таким образом являются кибероружием.
Армянские специалисты по информационной безопасности, фото Hetq
В атаках против пользователей в основном подозревается шпионское ПО “Pegasus”, созданное компанией NSO Group, связанной с правительством Израиля. Канадская группа “Citizen Lab”, борющаяся с подобными атаками, зафиксировала также использование аналогичного шпионского ПО “Predator”, созданного компанией Cytrox, пользователями которого, наряду с Арменией, названы Сербия, Саудовская Аравия, Оман, Мадагаскар, Индонезия, Греция и Египет. Выводы Citizen Lab впоследствии подтвердила также Threat Analysis Group, в том числе по Армении. Центр анализа угроз (MSTIC) зафиксировал использование шпионского ПО Sourgum компании Candiru в Узбекистане, ОАЭ, Саудовской Аравии, Израиле, Иране, Ливане, Йемене, Испании (Каталонии), Великобритании, Турции, Сингапуре и Армении. В Армении использовались ссылки на фейковый сайт, похожий на государственное новостное агентство Armenpress.
Эти ПО продаются по лицензии только государствам для использования собственными государственными структурами. Легенда гласит, что целью являются уголовные преступники, наркоторговцы, организаторы траффикинга и люди, организующие крупномасштабное отмывание финансовых средств.
Вывеска на офисе NSO Group
Однако на практике регулярно выясняется, что целью являются политики, журналисты, бизнесмены, правозащитники и оппозиционеры, а количественно все рекорды побила, судя по публикациям в СМИ, Мексика, где даже смена власти не повлияла на продолжающуюся тенденцию взлома журналистов. ПО используют Азербайджан, Польша, Украина, Саудовская Аравия, ЮАР, ОАЭ и др. Одной из жертв атак стал, к примеру, президент Франции Эммануэль Макрон, а также лидеры Ирака, ЮАР, Пакистана, Египта и Марокко. Известное на весь мир убийство Джамала Хашогги также было связано с предварительной слежкой за ним посредством Pegasus, хотя сама фирма отказалась комментировать эти сообщения. NSO Group также заявляет, что не предоставляет программу России, США и Израилю. Эдвард Сноуден призвал к полному запрету использования и продаж подобных программ.
По сообщениям СМИ, в Армении еще со времен прошлых властей действуют также инструменты электронной слежки, связанные с Россией (СОРМ) и Китаем (Smart City solution/Huawei), переговоры с Huawei начались еще в 2017 году, а были финализированы, судя по всему, к началу 2019. Эти системы нацелены на анализ трафика и идентификацию людей по лицам.
Нынешнее обновление – не первый случай, когда целые группы людей объявляют о подобной слежке. Например, в начале ноября такие сообщения получили эксперты и представители оппозиции. Но первые массовые сообщения об этом начали появляться в ноябре 2021 года, после очередного обновления ОС Apple. Тогда среди получивших сообщения, были глава оппозиционной фракции, бывший руководитель СНБ Артур Ванецян, а также министр высоких технологий, назначенный впоследствии президентом Ваагн Хачатрян. Так что объектами атак становились как представители оппозиции, так и представители власти. Ванецян подчеркнул, что его прослушивал именно Pegasus, причем прослушка касалась не только его лично, но и членов семьи. Одновременно с Ванецяном, были взломаны и другие лица, владеющие информацией о внешней политике Армении и занимающиеся ей, а также носители государственной тайны, всего порядка 10 человек.
Как работают шпионские программы и кто взломал пользователей из Армении?
Возникает несколько вопросов относительно этой информации. Во-первых, были ли успешными попытки взлома пользователей или нет? К сожалению, на это вопрос утвердительный – практически все случаи «писем счастья» от Apple в итоге подтверждали атаку – от 90% и выше. Нередко оказывалось, что взлом произошел за несколько месяцев или, скажем, полтора-два года – до обнаружения. Специалистам по информационной безопасности известно о более чем ста случаях такого взлома, но, вероятно, не все жертвы атак обращались к ним, а кроме того, не все могут об этом знать; это касается, конечно и юзеров Apple, но в куда большей мере – пользователей Android, которых в 2.3 раза больше, чем пользователей Apple iOS. Тем более, что Predator атакует скорее как раз Андроид, а также незащищенные телеграм-каналы. А на последнем мероприятии Pwn2Own Toronto 2022, смартфоны Самсунг были взломаны в первый же день. При этом, это была серия S22 с последними обновлениями. А что насчет взлома Windows и MacOS? Вопросы, вопросы…
Еще один вопрос – кто является пользователем этого ПО и шпионит за гражданами Армении? Сами ли это власти Армении или это все же власти Азербайджана? NSO Group утверждает, что не позволяет государствам взламывать жителей других стран, а здесь надо сказать, что взломы реализует непосредственно NSO Group собственными ресурсами, так что они владеют этой информацией. Тогда вопрос внешнего взлома отпадает. Но верить ли NSO Group – каждому решать самому: и Израиль как государство, и израильские компании, были замечены в порочащих связях с бакинской диктатурой, в том числе в более широких, чем то, что было когда-либо публично объявлено. Непосредственно перед агрессией 2020 года, из Азербайджана было взломано множество армянских баз данных, и то что было слито в сеть, чаще всего было связано с ковидом, что следует рассматривать как демонстрацию возможностей, и, вероятно, были взломаны и другие базы данных, например, связанные с документооборотом всей государственной системы, а также интернет-почта отдельных депутатов и государственных чиновников. Причем, уровень защиты армянских государственных ведомств и особенно – их руководителей и депутатов, является столь низким, что позволяет Азербайджану безнаказанно действовать уже на протяжении 15-20 лет. В последние месяцы этим вопросом, вроде как занялись всерьез и защиту несколько прикрутили, однако в том, что Азербайджан атаковал Армению сомнений нет – в прошлом регулярно взлому подвергались и отдельные сайты, и сервера государственных служб, после чего на главную страницу помещались азербайджанские пропагандистские лозунги или угрозы. Чаще всего такое происходило в 2014-2020 гг.
Однако, возвращаясь к Pegasus-у, говорить о том, что эти атаки направлены Азербайджаном, можно лишь с серьезной долей сомнений. Азербайджан и так имеет кибер-армию и активно ее использует, Pegasus же совсем другой случай и использует «уязвимости нулевого дня», то есть те, что исходно существуют в ОС, но не известны ее создателям и случайно стали известны хакерам; NSO Group занимается скупкой таких уязвимостей по всем каналам. Особенностью Pegasus-а является также то, что для взлома аккаунта (либо устройства), уже не нужно, чтобы пользователь открыл какую-то ссылку или произвел какое-либо действие – скрипт все делает за пользователя. Apple еще год назад подала в суд на NSO Group, с целью пресечь распространения этого ПО, но как мы видим, пока что успехов нет. Сегодня взлом аккаунтов и устройств частных лиц поставлен на поток, и если в масштабах отдельной страны это, возможно, сотни людей, то в масштабах мира, это уже десятки тысяч, и внимание к таким компаниям как NSO Group, Candiru, а также Cytrox, растет. Первые две из них включены в черный список американского департамента торговли, запрещая американским компаниям сотрудничать с этими хакерскими конторами.
Что же касается вероятности того, что взлом был со стороны армянского правительства, то более-менее обоснованные предположения можно строить лишь на основе тайминга взломов, а он известен во многих случаях. Как оказывается, нередко случаи взлома были привязаны к парламентским выборам 2021 года в Армении и осуществлялись в июне 2021 года, что, очевидно, косвенно указывает именно на армянские власти. И если по Pegasus-у еще нет 100%-ной уверенности, а лишь совокупность свидетельств, то по Predator-у уже сомнений нет, так что вопрос состоит лишь в том, все ли известные атаки против армянских пользователей были организованы правительством Пашиняна или лишь их часть. Сама NSO Group не подтвердила и не опровергла того, что сотрудничает с правительством Армении, уточнив лишь, что после получения доступа к данным, она сама их не видит, и они находятся полностью в ведении заказчика.
По заявлению NSO Group, они не разглашают своих действующих и бывших заказчиков. Это неудивительно, поскольку общее потенциальное число заказчиков равно числу государств, так что им необходимо очень аккуратно относиться к действиям в их отношении. Потому же маловероятно, что Pegasus будет использоваться для взлома пользователей и лидеров других стран – это сразу приведет к потере доверия у других заказчиков. Такое предположение озвучил Артур Папян.
Я же добавлю, что если бы такое происходило, то армянские государственные ведомства и специальные службы должны были носом землю рыть, чтобы прекратить эти проникновения и сами должны были стать инициаторами шумихи по поводу Pegasus-а в Армении. Однако СНБ Армении ограничилась лишь тем, что «не имеет фактов о прослушке должностных лиц и оппозиционеров с помощью Pegasus-a и других шпионских программ». Прокуратура Армении ответила на запрос интернет-СМИ Hetq.am, отметив, что «нет данных о приобретении Службой национальной безопасности программного обеспечения Pegasus». Прокуратура отметила также, что данные и публикации о прослушке отправлены в СНБ для проверки информации. Однако результатов проверки так и не было опубликовано.
P. S. Это не единственные авторитарные тенденции в Армении. Подробнее я их рассмотрю в следующих публикациях. А до того, поделюсь интересным фактом. В последний год правления Саакашвили, компания ESET (создатели NOD Antivirus) зафиксировала троян, распространяющийся с сервера правительства Грузии, но там распространение было массовым, а не направленным на отдельных лиц.