Компания Intellexa, производящая шпионское программное обеспечение, имела удалённый доступ к системам наблюдения своих государственных клиентов. Это означает, что сотрудники фирмы могли просматривать личные данные людей, чьи телефоны были взломаны с помощью их шпионской программы Predator. Такие выводы содержатся в новом расследовании Amnesty International.
В четверг Amnesty вместе с коалицией медиапартнёров — израильской газетой Haaretz, греческим изданием Inside Story и швейцарским Inside IT — опубликовала серию отчётов на основе утечки материалов из Intellexa. Речь идёт о внутренних документах компании, маркетинговых материалах и обучающих видео.
Самое поразительное открытие: сотрудники Intellexa, судя по всему, могли удалённо подключаться к системам слежки как минимум части своих клиентов через TeamViewer — обычную программу для удалённого доступа к компьютерам.
Этот доступ виден в утёкшем обучающем видео, где демонстрируются закрытые части системы Predator: панель управления и хранилище с фотографиями, сообщениями и прочими данными, собранными с телефонов жертв. Amnesty опубликовала скриншоты из видео, но не само видео целиком.
Исследователи утверждают, что на записи показаны «живые» попытки заражения реальных целей. Они основывают это на детальной информации как минимум об одной атаке на человека в Казахстане. В видео фигурируют URL для заражения, IP-адрес жертвы и версии программного обеспечения телефона.
Компании, продающие шпионское ПО государственным структурам (вроде NSO Group или ныне не существующей Hacking Team), всегда настаивали: они никогда не имеют доступа ни к данным жертв своих клиентов, ни к самим системам клиентов. Причин тут несколько.
С точки зрения производителей шпионского софта — они не хотят нести юридическую ответственность, если клиенты используют их продукт незаконно. Им удобнее заявлять: мы продали программу, а дальше вся ответственность на покупателе. Государственные же заказчики не горят желанием делиться деталями секретных расследований — именами целей, их местоположением и личными данными — с частной компанией, которая может находиться за рубежом.
Проще говоря, такой удалённый доступ — это совершенно ненормально. «Ни одно государственное агентство на это не согласится», — заявил Паоло Лецци, глава компании Memento Labs, которая тоже занимается шпионским софтом.
Лецци скептически отнёсся к тому, что утёкшее видео показывает доступ к реальной системе действующего клиента. Возможно, предположил он, это демонстрационная среда для обучения. По его словам, некоторые клиенты просили Memento Labs получить доступ к их системам, но компания соглашается, только когда это необходимо для решения технических проблем. И даже тогда «они дают нам доступ через TeamViewer на ограниченное время, мы проводим работу под их наблюдением и выходим из системы».
Но в Amnesty уверены: видео показывает именно доступ к реальным работающим системам Predator.
«Один из участников обучающего созвона спросил, не демо ли это. Инструктор подтвердил, что это живая система клиента», — рассказал Донча О'Кербхайл, глава лаборатории безопасности Amnesty, которая проводила технический анализ утёкших материалов и расследовала несколько случаев заражения Predator.
То, что сотрудники Intellexa видели, за кем следят их клиенты, вызывает серьёзные опасения насчёт безопасности и приватности.
«Эти выводы лишь усиливают тревогу потенциальных жертв слежки. Их самые чувствительные данные оказываются не только у правительства или другого заказчика шпионского ПО, но и рискуют попасть к иностранной компании, которая явно испытывает проблемы с надёжным хранением конфиденциальной информации», — говорится в отчёте.
С Intellexa связаться не удалось. Адвокат основателя компании Таля Дилиана заявил изданию Haaretz, что его клиент «не совершал никаких преступлений и не управлял никакой кибер-системой ни в Греции, ни где-либо ещё».
Дилиан — одна из самых противоречивых фигур в мире государственного шпионского софта. Один из ветеранов индустрии как-то сказал, что Дилиан «двигается как слон в посудной лавке» — намекая, что тот не особо старается скрывать свою деятельность. «В этой конкретной сфере продавцов шпионского ПО нужно быть крайне осторожным и внимательным... но ему было всё равно», — добавил источник.
В 2024 году правительство США ввело санкции против Таля Дилиана и его бизнес-партнёра Сары Александры Файссал Хаму. Минфин США обосновал санкции тем, что шпионское ПО Intellexa использовалось против американцев, включая чиновников, журналистов и экспертов. Санкции запрещают американским компаниям и гражданам любые коммерческие отношения с Дилианом и Хаму.
Это был первый случай, когда американские власти — уже принимавшие меры против разработчика NSO Group — нацелились на конкретного человека в индустрии.
В ответ на вопросы журналистов Дилиан назвал их «полезными идиотами» в «организованной кампании» против него и его компании, которую якобы «подсунули администрации Байдена».