Израильская IT-компания NSO Group выпустила ультрасовременное шпионское программное обеспечение Pegasus, рекламируя его всему миру как средство борьбы с преступностью. Однако OCCRP, журналистская некоммерческая организация Forbidden Stories и правозащитники из Amnesty International выяснили, что закупавшие ПО правительства использовали его для слежки за журналистами, активистами и оппозиционерами, а также их близкими.

Журналисты получили список из 50 тысяч телефонных номеров, в отношении которых использовали приложение. Среди них было как минимум 188 журналистов.

Среди них — многочисленные родственники обозревателя Washington Post Джамаля Хашогги. Его убили и расчленили в консульстве Саудовской Аравии в Стамбуле. Расследование показывает, что невеста Хашогги Хатидже Дженгиз, а также другие его близкие и коллеги стали жертвами программного обеспечения NSO Group. Это происходило как до, так и после убийства Хашогги в 2018 году. В самой компании отрицают, что ПО использовалось в отношении журналиста или его близких.

В числе жертв были также журналисты OCCRP, в том числе азербайджанская журналистка Хадиджа Исмаилова. Независимая экспертиза iPhone Исмаиловой показывает, что с 2019 по 2021 год на устройстве использовался Pegasus. Он попал в устройство через уязвимость в приложении iMessage.

Отсортировав список потенциальных жертв, журналисты определили, что они находятся в более чем 10 странах, среди которых Азербайджан, Бахрейн, Венгрия, Индия, Казахстан, Мексика, Марокко, Руанда, Саудовская Аравия, Того и Объединенные Арабские Эмираты.

Как работает Pegasus и почему от него не защищает шифрование

Как и многие компании, занимающиеся шпионскими программами, NSO Group использует так называемые «уязвимости нулевого дня» — недостатки в программном обеспечении, о которых становится известно еще до его выпуска. Pegasus может незаметно заражать устройства, при этом пользователю даже не нужно переходить по вредоносной ссылке.

Pegasus позволяет получать информацию из мессенджеров, обещающих зашифрованный обмен сообщениями — WhatsApp и Signal. После взлома устройств содержимое переписки становится доступным вместе с другими конфиденциальными данными — фотографиями и звонками. Приложение также может незаметно подключаться к камере и вести запись.

Эксперты по безопасности, с которыми поговорил OCCRP, утверждают, что Pegasus может сделать с устройством больше, чем владелец. И даже функции шифрования не могут ничего от него скрыть.

NSO Group, которая поддерживает тесные связи со службами безопасности Израиля, заявляет, что применяет строгий контроль для предотвращения злоупотреблений. Компания также отрицает, что создавала или могла создать список номеров, в отношении которых применялось приложение.

Как сообщил казахстанский активист Альнур Ильяшев в своем аккаунте в фейбсук, «Международный консорциум журналистов-расследователей «Центр по исследованию коррупции и организованной преступности» (OCCRP) опубликовал часть списка - 5 подтвержденных лиц из около 2'000 мобильных телефонных номеров (https://cdn.occrp.org/projects/project-p/#/countries/KZ), в отношении которых властями Казахстана использовалось шпионское ПО Pegasus. Из 5 указанных объектов слежки троих казахстанцев знаю лично (Axel Zhan, Бигельды Габдуллин и Бахытжан Торегожина), двое других являются гражданами Франции.

Как сообщает OCCRP «закупавшие ПО правительства использовали его для слежки за ЖУРНАЛИСТАМИ, АКТИВИСТАМИ И ОППОЗИЦИОНЕРАМИ, а также ИХ БЛИЗКИМИ» (https://www.occrp.org/ru/home/37-ccblog/ccblog/14861-10). Что прямо нарушает конституционные права граждан, закрепленные в статье 18 Конституции РК:

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
2. Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничения этого права допускаются только в случаях и в порядке, прямо установленных законом.

Ответственным лицам Казахстана следует ответить на это серьезное подозрение/обвинение...

UPD: Данный факт также является нарушением международных обязательств Казахстана в рамках МПГПП:

Статья 17

1. Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.
2. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств, что является основанием для обращения в КООНПЧ после прохождения соответствующих судебных процедур в Казахстане.

Полный перевод расследования на русский язык OCCRP опубликует в ближайшие дни.