Изображение: Waldemar. Бесплатно используется по лицензии Unsplash

[Все ссылки в тексте — на английском языке, если не указано иное.]

В новом расследовании раскрываются факты использования шпионской программы «Пегас» в контексте всеобщей войны.

Отчёт, опубликованный 25 мая, — результат совместного расследования группы защиты цифровых прав Access Now, центра исследования киберугроз CyberHUB-AM, канадского центра исследований Citizen Lab при школе глобальных проблем Мунка в университете Торонто (далее – Citizen Lab), Security Lab Amnesty International и независимого исследователя в сфере безопасности мобильной связи Рубена Мурадяна. Согласно отчёту, в период с октября 2020 года  по декабрь 2022 года целями шпионского программного обеспечения стали по меньшей мере 12 граждан Армении. Среди них уполномоченный по правам человека Армении, двое журналистов армянской службы Радио «Свободная Европа» / Радио «Свобода», представитель ООН, бывший спикер Министерства иностранных дел Армении и несколько других представителей армянского гражданского общества.

Согласно собранным и представленным доказательствам, «выбор объектов для слежки связан с конфликтом в Нагорном Карабахе».

🚨 BREAKING: We reveal how NSO Group’s Pegasus spyware is being used in the Azerbaijan-Armenia war — first time recorded in international armed conflict.

There are at least 12 civil society targets incl. journalists, human rights defenders + activists.https://t.co/U6d9PokUvN

— Access Now (@accessnow) May 25, 2023

СРОЧНО! Мы раскрываем, как в войне Азербайджана и Армении используется шпионская программа «Пегас» компании NSO Group — первый задокументированный случай использования шпионского ПО в международном вооружённом конфликте.

Среди гражданского общества как минимум 12 целей, включая журналистов, правозащитников + активистов.

Криминалистическая экспертиза устройств выявила следующие коды взлома, использованные в Армении: PWNYOURHOME, FINDMYPWN, FORCEDENTRY (также называемым Megalodon) и KISMET. Все они были обнаружены в процессе расследования Citizen Lab с 2020 года, но именно благодаря армянским случаям Citizen Lab впервые удалось идентифицировать PWNYOURHOME, ключевой элемент свежего анализа, опубликованного в апреле 2023 года.

По данным недавнего совместного расследования, итоги которого обнародованы 25 мая, время заражения указало на его связь с конфликтом между Арменией и Азербайджаном, а также вероятно, стало «причиной выбора целей»:

The backdrop of the first cluster of civil society Pegasus infections found in Armenia is the bloody 2020 Nagorno-Karabakh war with Azerbaijan, the associated peace talks in October 2020, and the November 9, 2020 ceasefire agreement. At the same time, the Karabakh conflict itself began to intensify again with the Azerbaijan May 12, 2021 offensive and more clashes in July and November 2021. The majority of the Armenia spyware victims were infected during this time period in 2020-2021; between them, there were over 30 successful Pegasus infections

Первый очаг инфицирования гражданского общества программой «Пегас» был зафиксирован на фоне кровопролитной войны Армении с Азербайджаном за Нагорный Карабах в 2020 году, совместных мирных переговоров в октябре 2020 года и соглашения о прекращении огня от 9 ноября 2020 года. В то же время сам конфликт в Нагорном Карабахе снова начал обостряться после наступления Азербайджана 12 мая 2021 года и дальнейших столкновений в июле и ноябре 2021 года. Большинство армянских жертв шпионской программы были заражены в период с 2020 по 2021 год: более 30 успешных заражений «Пегасом».

В общей сложности экспертиза выявила более 40 случаев заражений, а также одну неудачную попытку заражения.

Далее авторы отчёта приводят детали установленных эпизодов и представляют результаты расследования. Пятеро из жертв на момент выхода отчёта пожелали остаться неизвестными.

Преступники

Авторы подчёркивают, что не смогли «доказать связь взломов и заражений „Пегасом“ с конкретным государственным оператором». По данным расследований, опубликованных на сегодняшний день, Армения не значилась в списке клиентов, приобретавших шпионское ПО у компании NSO. В отличие от Азербайджана. Там использование «Пегаса» и других шпионских программ в последние годы неоднократно задокументировано.

По данным Центра по исследованию коррупции и организованной преступности (OCCRP), одного из 17 медиапартнёров, участвующих в расследовании случаев использования «Пегаса», из тысячи телефонных номеров удалось вычислить 245 номеров — заражённых целей. Пятая часть из них принадлежала репортёрам, издателям или владельцам СМИ. Также в этом списке — активисты и члены их семей.

В новом расследовании также отмечено, что:

“The Citizen Lab's ongoing internet scanning and DNS cache probing has identified at least two suspected Pegasus operators in Azerbaijan that they call “BOZBASH” and “YANAR.” According to the Citizen Lab, The YANAR Pegasus operator appears to have exclusively domestic-focused targeting within Azerbaijan, while the BOZBASH operator has targets including a broad range of entities within Armenia.

В результате непрерывного интернета-сканирования и исследования кеша DNS, проведённых Citizen Lab, в Азербайджане выявлено по меньшей мере два оператора, распространяющих «Пегас», которые называются «БОЗБАШ» и «ЯНАР». По данным Citizen Lab, распространитель «Пегаса» «Янар» специализируется исключительно на целях на территории Азербайджана, в то время как у «Бозбаша» — широкий спектр целей в Армении.

Компания NSO Group

Компания NSO Group была основана в 2010 году в Израиле Нивом Карми, Шалевом Хулио и Омри Лави. На своём сайте компания утверждает, что разрабатывает технологию «для предотвращения и расследования случаев терроризма и преступности». Но на деле программа используется против диссидентов, журналистов и активистов по всему миру.

«В NSO Group настаивают, что продают ПО только правительствам и предполагают, что клиентами в этих странах являются службы разведки, правоохранительные структуры или другие официальные учреждения», – заявляют в OCCPR. Расследование Citizen Lab установило, что «Пегас» во многих странах используется против диссидентов по меньшей мере с 2016 года.

В 2019 году компанию серьёзно раскритиковали, обвинив в заражении устройств пользователей вредоносным ПО, взламывавшим WhatsApp. В ответ WhatsApp и её материнская компания Facebook (теперь — Meta, организация, деятельность которой запрещена на территории Российской Федерации) подали на NSO Group в суд. В июле 2020 года федеральный суд США постановил, что производство по делу против NSO Group может быть продолжено, несмотря на аргумент защиты о том, что «сотрудничество компании с правительствами других стран гарантировало ей иммунитет от исков, поданных в суды США согласно Закону США о суверенном иммунитете иностранных государств (FSIA)». В декабре 2020 года к продолжающемуся судебному разбирательству NSO Group и Facebook в качестве сторон  присоединились компании Microsoft, Google, Internet Association, GitHub и LinkedIn. Последнее слушание состоялось в апреле 2021 года, и по данным новостного сайта Politico компания NSO Group «вряд ли одержит победу».

Старший обозреватель Politico по правовым вопросам Джош Герштейн отметил:

Even if the firm’s effort to head off the suit fails, it could continue to fight the case in the trial court, but will likely be forced to turn over documents about its development of Pegasus and make executives available for depositions

Даже если усилия компании помешать судебному процессу не увенчаются успехом, она может продолжить борьбу в суде первой инстанции, однако, вероятно, будет вынуждена обнародовать документы по разработке «Пегаса», а её руководству придётся давать показания.

В апреле этого года девять международных правозащитных организаций обратились с письмом к вице-президенту NSO Group по работе с жалобами Хаиму Гельфанду с просьбой «выделять больше средств на повышение прозрачности данных о продажах своего высокотехнологичного шпионского ПО и направить усилия на защиту прав человека». В письме также опровергались заявления NSO Group «об их неподтверждённом соблюдении прав человека».

Директор Citizen Lab при университете Торонто Рон Диберт считает заявления NSO о том, что компания придерживается стандартов по соблюдению прав человека [pdf] «театром чистой воды».

The spectacle might be a mildly entertaining farce were it not for the very real and gruesome way in which its spyware is abused by the world’s worst autocrats. NSO’s irresponsible actions have proven their words are nothing more than hand-waving distractions from the harsh reality of the unregulated marketplace in which they, and their owners, thrive and profit

Это действо могло бы показаться развлекательным фарсом, если бы не реальные ужасные методы использования гнусного шпионского ПО, из-за которого компанию называют худшим диктатором в мире. Безответственные действия NSO подтвердили, что слова компании — не более чем попытка отмахнуться от жестокой реальности нерегулируемого рынка, где процветают и получают прибыль её владельцы.

Два года назад Дэвид Кэй, в то время занимавший пост специального докладчика ООН по свободе выражения мнений, призвал ввести мораторий на продажу властям шпионского ПО, аналогичного ПО компании NSO, до тех пор, пока за его экспортом не будет установлен эффективный контроль. Несмотря на предупреждения Кэя, продажи разведывательного ПО продолжились без какой-либо прозрачности и контроля.

Недавнее расследование не только привлекло внимание к NSO Group, но и проиллюстрировало важность механизмов контроля, налагаемых на компании-производители шпионского ПО. Авторы нового расследования не останавливаются на этом и заключают, что, несмотря на скандалы, судебные тяжбы и санкции, «NSO Group продолжает игнорировать тот факт, что её продукция используется в нарушение прав человека, и целями становятся граждане, включая журналистов и правозащитников».

Юридический советник по вопросам цифровых технологий в Access Now Наталья Крапива в интервью Global Voices сказала:

“This investigation is key to understanding the full scope of harms of invasive Pegasus spyware and the entire industry which has been operating with little to no oversight for years. We have seen Pegasus used to intimidate the free press, destroy the civic space, silence dissidents, undermine democracy, suppress independence movements, and more. Now we have evidence of Pegasus being used against civil society and humanitarian actors in a major international military conflict between Azerbaijan and Armenia. I am confident that our report will lead to more research and investigations as well as legal cases to bring accountability to the NSO, the spyware industry, and states who use these invasive technologies to attack human rights and humanitarian actors, journalists, and regime critics

«Это расследование — ключ к пониманию масштаба вреда, причиняемого вторгающейся в частную жизнь людей шпионской программой „Пегас“ и целой индустрии, которая годами фунционировала при минимальном надзоре, либо вообще без такового. Мы увидели, как „Пегас“ использовался, чтобы мешать деятельности независимых СМИ, разрушать гражданское пространство, затыкать диссидентов, подрывать основы демократии, подавлять независимые движения и так далее. Теперь у нас есть доказательства применения „Пегаса“ против граждан и гуманитарных организаций в масштабном международном военном конфликте Азербайджана и Армении. Я уверена, что это повлечёт за собой новые расследования, а также новые судебные дела, чтобы привлечь к ответственности NSO, индустрию производства шпионского ПО и государства, использующие эти агрессивные технологии для нарушения прав человека, гуманитарных организаций, журналистов и критиков режима».

На момент написания статьи никаких официальных заявлений по поводу расследования в Азербайджане сделано не было. 25 мая лидеры Армении и Азербайджана встретились в Москве, чтобы обсудить итоговое мирное соглашение [рус].