В мире кибербезопасности существуют две категории людей: те, кто охотится за секретами, и те, кто их случайно публикует у себя на странице в соцсети. На прошлой неделе израильская компания Paragon Solutions, разработчик нашумевшего шпионского ПО Graphite, продемонстрировала миру классический пример того, как одно неосторожное фото может перечеркнуть годы анонимной работы.
Инцидент произошел в LinkedIn. На корпоративном мероприятии Paragon была сделана фотография сотрудницы на фоне большого экрана. На первый взгляд — обычный офисный снимок. Вот только на экране за спиной девушки красовался реальный интерфейс панели управления (дашборда) программы Graphite. Пост быстро удалили, но интернет помнит всё: скриншоты разлетелись по OSINT-сообществам и специализированным пабликам по кибербезопасности.
Этой сотрудницей оказалась Реут Ямен (Reut Yamen), занимающая пост генерального советника (General Counsel) и главного специалиста по комплаенс (Chief Compliance Officer) — человека, который как раз и должен следить за соблюдением правил и неразглашением информации.
*Что именно попало в кадр?*
Удалось рассмотреть немало. На снимке были видны рабочие элементы дашборда Graphite: панель перехвата данных, журналы сессий, а также подтверждение того, что ПО способно перехватывать трафик даже из зашифрованных мессенджеров. Но самой пикантной деталью стала конкретная цель наблюдения — в англоязычных пересказах фигурирует пример с чешским абонентом и подписью «Valentina».
Англоязычные источники уже окрестили произошедшее термином «epic OPSEC fail». В разборе на платформе Substack под заголовком «The Israeli Spyware Firm That Accidentally Just Exposed Itself» отмечается, что Paragon ненадолго «подсветила» не только структуру своего продукта, но и, возможно, конкретные методы работы, что дает исследователям бесценный материал для атрибуции инфраструктуры.
*Контекст: что такое Paragon и Graphite?*
Paragon Solutions — израильская фирма, основанная в 2019 году. Её костяк составляют ветераны спецслужб, включая выходцев из легендарного «подразделения 8200», а среди инвесторов числится экс-премьер-министр Израиля Эхуд Барак. Компания продает свой продукт Graphite исключительно государственным заказчикам, позиционируя его как инструмент для скрытого доступа к смартфонам.
Graphite относится к классу «mercenary spyware» (платное шпионское ПО). В отличие от обычных троянов, он использует zero-click-эксплойты, то есть жертве даже не нужно нажимать на ссылку или открывать файл — заражение происходит в фоне. Попав в телефон, программа получает доступ ко всему: переписке в WhatsApp и Signal, файлам, геолокации, микрофону и камере, превращая смартфон в карманное подслушивающее устройство.
По данным Citizen Lab, Amnesty International и профильных аналитиков, инфраструктура Graphite уже была замечена в ряде стран Европы, Израиля и Канады, а сама компания фигурирует в расследованиях о слежке за журналистами и правозащитниками.
*Почему эта фотография — подарок для исследователей?*
Для сообщества OSINT (разведки по открытым данным) такие снимки — на вес золота. Они позволяют сверить технические детали, понять логику интерфейса и, возможно, найти цифровые отпечатки, которые помогут в будущем идентифицировать работу Graphite в дикой природе. Это редкий случай, когда не исследователь ловит программу на устройстве активиста, а сам вендор публично демонстрирует свой «пульт управления».
Ирония ситуации добавляет тот факт, что допустила утечку не просто маркетолог или стажёр, а главный юрист компании — человек, по должности обязанный страховать организацию от подобных репутационных и операционных рисков.