Ізраїльська компанія NSO Group судом була визнана винною у використанні вразливостей месенджеру WhatsApp для встановлення шпигунського софту Pegasus. Позов проти NSO Group виграла корпорація Meta, яка є власником WhatsApp. Майже 10 років тому Pegasus потрапив у гучний міжнародний скандал навколо стеження за людьми через їх гаджети. Слідкували зовсім не за пересічними громадянами – жертвами програми-шпигуна були президенти, високопосадовці, убиті журналісти та громадські активісти у різних країнах світу. Хоча від початку місією Pegasus була боротьба із злочинністю. 

У нашому матеріалі розбираємось у деталях судового процесу проти NSO Group, занурюємось в історію створення Pegasus і позицію творців ПЗ щодо масового слідкування, а також розповідаємо, за ким стежили через шкідливий софт. 

 

Meta vs NSO Group: деталі судового процесу

Судовий процес WhatsApp проти NSO тягнувся понад 5 років. WhatsApp подав позов проти NSO у далекому 2019, звинувативши компанію у несанкціонованому доступі до серверів WhatsApp для встановлення програмного забезпечення Pegasus на мобільні пристрої жертв. Унаслідок взламу мессенджера через Pegasus за майже 1,5 тисячі осіб слідкували. 
NSO ж стверджувала, що Pegasus допомагає правоохоронним органам та спецслужбам боротися зі злочинністю та захищати національну безпеку, а її технології призначені для затримання терористів та злочинців. З цим не погодився очільник WhatsApp Вілл Каткарт, після подачі позову до суду у 2019 він написав:

“Сьогодні WhatsApp виступає проти небезпечного використання шпигунського програмного забезпечення. NSO Group стверджує, що вони відповідально служать урядам, але ми виявили, що понад 100 правозахисників і журналістів стали жертвами нападу в травні минулого року. Це зловживання має бути припинено”

Окружний федеральний суд у Каліфорнії 20 грудня 2024 року постановив, що ізраїльська NSO Group порушила федеральний закон США про комп’ютерне шахрайство та зловживання, а також порушила умови обслуговування WhatsApp. Суд визнав NSO відповідальною за злом і порушення контракту. Суд також присудив обвинуваченій стороні виплатити компенсацію, але її розмір визначать окремо у березні 2025 року. 

У своєму рішенні суд вказав, що NSO Group систематично відмовлялась надати WhatsApp вихідний код свого софта-шпигуна. Натомість NSO Group пропонувала надати код до перевірки громадянину Ізраїлю в Ізраїлі – цю пропозицію суд визнав не практичною. 

Глава WhatsApp Вілл Каткарт назвав рішення суду перемогою у захисті конфіденційності, наголосивши, що шпигунські компанії не зможуть ховатися за юридичною недоторканністю та повинні нести відповідальність за свої дії.

“Це рішення є величезною перемогою для конфіденційності. Ми витратили п’ять років на виклад своїх доводів, оскільки твердо віримо, що компанії, які займаються шпигунським ПЗ, не зможуть сховатися за імунітетом або уникнути відповідальності за свої незаконні дії. Компанії, які займаються стеженням, мають бути попереджені про те, що незаконне шпигунство не будуть терпіти. Ми пишаємося тим, що виступили проти NSO і вдячні багатьом організаціям, які підтримали цю справу. WhatsApp ніколи не перестане працювати над захистом приватного спілкування людей”

Експерти з кібербезпеки також привітали рішення суду. Старший науковий співробітник канадської інтернет-наглядової організації Citizen Lab Джон Скотт-Рейлтон, назвав це рішення знаковим рішенням із «величезними наслідками для індустрії шпигунського програмного забезпечення». Саме Citizen Lab вперше виявила шпигунське програмне забезпечення Pegasus від NSO у 2016 році. 

“Вся індустрія прикривається твердженням, що що б їхні клієнти не робили зі своїми хакерськими інструментами, це не їхня відповідальність. Сьогоднішнє рішення чітко вказує на те, що NSO Group насправді несе відповідальність за порушення численних законів”

Цей випадок став важливим сигналом для всієї індустрії про необхідність дотримання законів та поваги права на конфіденційність. Крім того рішення суду може створити значний юридичний прецедент для інших компаній, які займаються стеженням. 

 

Що відомо про NSO Group та її шкідливий софт Pegasus 

NSO Group – ізраїльська компанія, базується в Герцлії в Ізраїлі та працює в ІТ-секторі з 2010 року. Pegasus, ймовірно, був створений у 2011 році та є основним продуктом компанії. 

Це шпигунське програмне забезпечення, призначене для прихованого та віддаленого встановлення на пристрої iOS та Android, яке дозволяє стежити після встановлення на гаджети. Після встановлення програма може зчитувати всю інформацію про власника пристрою: розмови, повідомлення, фотографії, геолокацію, має доступ до камери та мікрофону, всю інформацію з застосунків тощо. І навіть може записувати аудіо та відео в реальному часі.

На сайті NSO Group вказано: «Ми працюємо, щоб рятувати життя та створювати кращий, безпечніший світ». А також те, що NSO Group допомагає своїм клієнтам «впоратися з викликами шифрування». 

І хоч NSO Group стверджує, що Pegasus задумувався, як продукт для боротьби зі злочинністю та тероризмом, уряди, які купували програмне забезпечення, використовували його для стеження за журналістами, політичними опонентами, правозахисниками і адвокатами. 

Ймовірно, спершу Pegasus розроблявся для спецслужб Ізраїлю, щоб боротись із терактами та зловмисниками. І результати дійсно не заставили себе чекати – кількість терактів в Ізраїлі скоротилася у рази після того, як спецслужби Ізраїлю отримали доступ до софта.  У 2011 році прем’єр-міністр Ізраїлю Біньямін Нетаньяху погодив продаж софту на зовнішні ринки. Pegasus виступав важелем на боці Ізраїлю у різноманітних переговорах. І лише з дозволу Міноборони Ізраїлю програму можна було продавати конкретним клієнтам.

Співзасновник і генеральний директор NSO Group Шалев Хуліо в одному із інтерв’ю проговорився, що у 2009 році до нього та іншого співзасновника компанії Омрі Лаві звернулося європейське розвідувальне агентство, яке потребувало допомоги. В той період часу Шалев і Омрі створили компанію, яка допомагала мобільним операторам віддалено усувати неполадки в телефонах клієнтів. І ймовірно, саме з цього періоду слід відслідковувати початок історії шпигунського ПЗ. 

 

Унікальність Pegasus породила високий попит

NSO Group змогла запропонувати своїм клієнтам унікальні опції. Адже з розвитком технологій та вимог до конфіденційності все більше месенджерів та застосунків для спілкування почали використовувати наскрізне шифрування для захисту повідомлень під час їх передачі між пристроями. 

Особливо ця тенденція прискорилася після зливу Едварда Сноудена в 2013 році  про те, що американські спецслужби ведуть масове стеження за людьми. І застосунки з наскрізним шифруванням почали з’являтись практично повсюдно. Тож взлом самих пристроїв став ледь не єдиним способом дистанційного стеження і перехоплення комунікацій. 

У документі NSO Group з детальним описом особливостей системи Pegasus, який випадково потрапив до мережі, було вказано, що “Шифрування … та інші методи приховування комунікацій вже не актуальні, коли на пристрої встановлено агента”.

 

Як викрили Pegasus, способи встановлення, взлам WhatsApp 

Тривалий час головним способом встановлення Pegasus на чийсь гаджет був фішинг та соціальна інженерія. Користувачів обманом змушували клікнути на шкідливе посилання. Маніпуляції використовувались дуже витончені – комусь пропонували подивитись компрометуючі фото, хтось отримав прохання знайти зниклу доньку, тощо. 

Експлойт Pegasus для iOS виявили лише через роки після запуску продукту – в серпні 2016 року. У викритті допомогли знання з кібербезпеки і фішингу жертви. Тоді еміратський правозахисник Ахмед Мансур отримав текстове повідомлення, в якому обіцяли надати інформацію тортури у в’язницях ОАЕ за фішинговим посиланням. Це посилання правозахисник відправив до Citizen Lab Університету Торонто, яка у співпраці з Lookout провела розслідування, виявивши, що якби Мансур перейшов за посиланням, то його телефон був би зламаний і на нього було б встановлено шкідливий софт для стеження. 

Дослідники виявили, що шкідливе програмне забезпечення могло зробити джейлбрейк iPhone при відкритті шкідливої URL-адреси. Також вони помітили в коді згадки NSO Group і Pegasus. Ймовірно, програма використовувалась роками перед викриттям.

Згодом Pegasus зміг проникати в гаджети жертв і без використання фішингу, навіть без жодної взаємодії з боку користувача – через популярний мессенджер WhatsApp. Простий дзвінок у месенджері на пристрій жертви міг встановити шпигунське програмне забезпечення. При чому потерпілому навіть не потрібно було відповідати на дзвінок. Нагадаємо, що в той час у 2018 році кількість користувачів WhatsApp сягнула 1,3 млрд – колосальна база для стеження. 

Адміністрація Джо Байдена внесла NSO Group у чорний список (Entity list) лише у 2021 році та заборонила державним установам США купувати її продукцію. Entity list – це список обмежень на торгівлю, опублікований Бюро промисловості та безпеки (BIS) Міністерства торгівлі США. На організації зі списку поширюються вимоги США щодо ліцензування експорту або передачі певних товарів, таких як деякі американські технології. Однак американським фізичним особам або приватним компаніям не заборонено купувати товари у компанії зі списку організацій. 

 

Позиція NSO Group: чи знали вони про масові стеження

Співзасновник і генеральний директор NSO Group Шалев Хуліо у різноманітних інтерв’ю після викриття масового стеження у 2016 році, стверджував, що дискусії і розмови навколо дій компанії були б іншими, якби він міг розкрити громадськості досягнення його софту.

“Я можу сказати з усією скромністю, що тисячі людей у Європі зобов’язані своїм життям сотням співробітників нашої компанії”, – повідомляв Шалев Хуліо ізраїльському виданню Ynetnews у 2019 році. 

На питання німецької газети Die Zeit, співзасновник NSO Group зазначив, що саме від клієнтів, які купують софт компанії, залежить те, хто є ціллю або жертвою стеження. І хоч він визнав, що розвідка може бути морально неоднозначною справою, але “це те, що необхідно, аби ловити поганих хлопців”. 

“Якби я знав, що через нашу компанію права людини порушуються драматично, я б пішов. Я не вважав, що компанія порушує права людини. Ми заснували NSO, щоб допомагати правоохоронним та розвідувальним органам”

На фоні судового процесу NSO Group e 2021 році випустила «звіт про прозорість та підзвітність», де стверджується, що компанія відхилила можливості продажу на суму понад 300 мільйонів доларів США, зокрема, і в результаті процесів перевірки прав людини. 

За ким стежили через Pegasus

До 2018 року Citizen Lab задокументувала, що програмне забезпечення NSO Group потенційно могло використовуватись в 45 країнах. А останній звіт NSO Group про прозорість, вказує, що компанія має 60 клієнтів по всьому світу. Стежили за правозахисниками, політиками, активістами, адвокатами, журналістами – усього понад 50 тисяч телефонних номерів. 

Звісно, програма дійсно також використовувалась для стеження і знешкодження зловмисників і терористів. Наприклад, в 2011 році Мексика використала софт, щоб упіймати наркобарона Ель Чапо. Європейські країни застосовували Pegasus для запобігання терактам, торгівлі людьми, боротьби з організованою злочинністю. 

“Наша мета – допомогти державам захистити своїх громадян і рятувати життя. Наші передові пошуково-рятувальні продукти допомагають тим, хто першим реагує, швидко визначити хто зник безвісти та знайти цих людей, і допоміг врятувати життя в багатьох катастрофічних ситуаціях включно з обвалом дамби в Бразилії в 2019 році, землетрусом у Непалі в 2015 році, землетрусом у Мексиці в 2017 році та обвал автостоянки в Тель-Авіві в 2016 році. Наші інструменти аналізу даних допомагають правоохоронним органам обсяги даних і виявити шаблони, які дозволяють органам влади швидко ідентифікувати підозрюваних”

Однак уряди використовувати Pegasus і для збереження та укріплення своєї влади, стеження за політичними опонентами, журналістами та активістами. Мексика, яка, ймовірно, першою придбала Pegasus, використовувала цю програму проти журналістів і правозахисників, та навіть дієтологів і політиків. ОАЕ зламувала телефони активістів, збирала компромати і запроторювала до в’язниці. В Саудівській Аравії за допомогою Pegasus шантажували жінок-активісток. Програмне забезпечення NSO Group використовувалося проти співробітника міжнародної правозахисної організації Amnesty International який займався правами людини у Саудівській Аравії. Колишній президент Панами Рікардо Мартінеллі був звинувачений в застосуванні Pegasus для незаконного прослуховування та стеження за своїми політичними опонентами. 

Одна із найгучніших подій, яка пов’язана із Pegasus – вбивство журналіста і письменника Джамаля Хашоггі із Саудівської Аравії у жовтні 2018 року. Відомо, що влада Саудівської Аравії зламала телефон Хашоггі та заманила його до посольства в Стамбулі, де і вбила журналіста. 

Вдова вбитого саудівського журналіста Джамаля Хашоггі  Ханан Елатр Хашоггі у 2023 році подала позов проти NSO Group, стверджуючи, що, розмістивши шпигунське програмне забезпечення Pegasus на її телефоні, компанія змусила її припинити роботу, побоюючись за безпеку своєї сім’ї.  Елатр Хашоггі працювала стюардесою та була затримана в аеропорту Дубая у квітні 2018 року, де їй зав’язали очі, одягли наручники та доставили до камери для допитів і кілька годин допитували про Джамаля Хашоггі. Дослідники визначили, що під час допиту на її пристрій, ймовірно, було встановлено шпигунське програмне забезпечення. А за кілька місяців вбили її чоловіка.

Згідно з розслідуванням Forbidden Stories і Amnesty International, у списку стеження Pegasus було понад 50 тисяч телефонних номерів. За даними ЗМІ, серед жертв потенційного стеження могли бути такі відомі політичні і державні діячі як президент Франції Емманюель Макрон (він на всяк випадок змінив номер телефону), колишній президент Іраку Бархам Саліх, президент ПАР Сиріл Рамафоса, прем’єр-міністр Пакистану Імран Хан, прем’єр-міністр Єгипту  Мустафа Мадбулі, прем’єр-міністр Марокко, Саад Еддін Ель-Отмані, король Марокко Мохаммед VI.

А також колишні глави урядів: прем’єр-міністр Ємену Ахмед Обейд бен Дагр, прем’єр-міністр Лівану  Саад Харірі, прем’єр-міністр Уганди  Рухакана Ругунда, прем’єр-міністр Франції  Едуар Філіпп, прем’єр-міністр Казахстану Бакитжан Сагінтаєв, прем’єр-міністр Алжиру  Нуреддин Бедуї прем’єр-міністр Бельгії  Шарль Мішель. Відомі громадські діячі: мексиканський репортер Сесілія Пінеда Бірто, вбитий у 2017 році; Близький друг Хашоггі, Вадах Ханфар, колишній генеральний директор катарської мережі “Аль-Джазіра”; Рула Халаф, редактор газети Financial Times; лідер індійської опозиції Рахул Ганді; Фатіма Мовламлі, азербайджанська активістка, інтимні фотографії якої просочилися у мережу у 2019 році; Паранджой Гуха Такурта, журналіст; Сват Чатурведі, індійський журналіст-розслідувач, який у 2016 році опублікував викриття онлайн-дезінформації правлячої партії. 

Загалом відомо, що завдяки Пегасу стежили за людьми в Афганістані, Азербайджані, Бахрейні, Бутані, Китаї, Конго, Єгипті, Угорщині, Індії, Ірані, Казахстані, Кувейті, Малі, Мексиці, Непалі, Катарі, Руанді, Саудівській Аравії, Того, Туреччині, Об’єднаних Арабських Еміратах, Великій Британії та США. Відомо, що шпигунське ПЗ Pegasus з високою ймовірністю використовували Азербайджан, ОАЕ, Індія, Казахстан, Мексика, Бахрейн, Марокко, Саудівська Аравія, Угорщина та Руанда.