Первое задокументированное свидетельство использования шпионского ПО Pegasus в контексте войны: Кто и зачем следит за гражданскими в Армении?

За некоторыми гражданскими лицами в Армении велась слежка с использованием шпионской программы Pegasus от израильской компании NSO Group, как выяснила группа международных экспертов по кибербезопасности в ходе совместного расследования.

В числе жертв слежки оказались Защитник прав человека Республики Армения (омбудсмен), два журналиста Армянской службы Радио Свободная Европа/Радио Свобода (РСЕ/РС), представитель ООН, бывший пресс-секретарь МИД Армении (ныне работает НПО) и семь других представителей гражданского общества Армении.

Совместное расследование Access Now, CyberHUB-AM, the Citizen Lab at the Munk School of Global Affairs at the University of Toronto (the Citizen Lab), Amnesty International’s Security Lab и независимого исследователя мобильной безопасности Рубена Мурадяна показало, что это произошедшее может быть связано с военным конфликтом в Нагорном Карабахе (также называемом Республикой Арцах) между Арменией и Азербайджаном. Это первое задокументированное свидетельство использования шпионского ПО Pegasus в контексте международной войны.

Как отметила Наталья Крапива, технический и юридический советник Access Now, обнаруженные случаи прослушивания и слежки — лишь «верхушка айсберга», на самом же деле таргетинг у шпионского ПО был гораздо шире.

Что показало расследование?

Расследование идентифицировало 12 человек, чьи устройства Apple были заражены шпионским ПО Pegasus в разное время в период с октября 2020 года по декабрь 2022 года. Произошло это на фоне войны в Нагорном Карабахе с Азербайджаном в 2020 году и последующих происшествий, в том числе агрессии со стороны Азербайджана в 2021 году. В этот период было зарегистрировано более 30 случаев успешного заражения смартфонов Pegasus.

Вторая группа атак с помощью Pegasus произошла в 2022 году в преддверии крупных эскалаций в сентябре 2022 года, мирных переговоров в Праге и Сочи в октябре 2022 года и продолжающейся блокаде Азербайджаном Лачинского коридора, соединяющего Армению и Арцах, которая началась 12 декабря 2022 года.

Жертвы слежки

Одна из известных жертв слежки с помощью Pegasus — Анна Нагдалян, которая ныне работает в НПО, а в прошлом была пресс-секретарем МИД Армении. Ее телефон также чаще всего взламывался — по крайней мере 27 раз в период с октября 2020 года по июль 2021 года, причем заражения происходят почти каждый месяц, по данным Citizen Lab.

В числе жертв оказались также Астхик Бедевян и Карлен Асланян, журналисты Радио Азатутюн. Лаборатория безопасности Amnesty International подтвердила, что устройства журналистов были заражено Pegasus примерно 11 мая 2021 года и 14 апреля 2021 года, соответственно.

Самвел Фарманян, сооснователь ArmNews TV, тоже стал жертвой взлома: по данным Citizen Lab, устройство Фарманяна, было заражено примерно 30 июня 2022 года.

Согласно выводам Citizen Lab, Кристиннe Григорян занимала должность Защитника прав человека в Республике Армения (омбудсмена), когда ее iPhone был заражен вирусом Pegasus примерно 4 октября 2022 года.

По данным Citizen Lab, iPhone доктора Варужана Гегамяна был заражен в течение нескольких недель, предшествовавших внеочередным парламентским выборам в Армении 3 июня 2021 года. Гегамян — доцент Ереванского государственного университета, тюрколог и успешный лектор по вопросам региональной и внешней политики Азербайджана.

Рубен Меликян — еще один член армянского гражданского общества, чей iPhone был заражен Pegasus в мае 2021 года. Согласно судебно-медицинскому исследованию Citizen Lab, устройство Рубена было заражено примерно 20 мая 2021 года.

Другие жертвы атак с помощью Pegasus пожелали сохранить анонимность.

Кто стоит за атаками?

Разработчик Pegasus NSO Group утверждает, что их ПО продается исключительно правительствам стран. Access Now и партнеры согласны, что эта операция по слежке и прослушиванию — действительно работа государственного заказчика Pegasus.

Access Now, Citizen Lab и Amnesty International окончательно не связывают эти случаи взлома с конкретным правительственным оператором. Поскольку атаки произошли во время азербайджано-армянского конфликта, а жертвы атаки были выбраны явно не случайно, это дает основания предположить, что причиной атаки был именно конфликт между Арменией и Азербайджаном.

Поскольку в числе жертв шпионских атак были также лица, критически настроенные по отношению к действующему правительству Армении, не исключено, что Армения также могла быть заинтересована в слежке за деятельности этих лиц. Однако в настоящее время Access Now не располагает какими-либо техническими доказательствами того, что Армения когда-либо использовала Pegasus.

Тем не менее важно отметить, что правительство Армении считается пользователем другого шпионского продукта — Predator компании Cytrox.

Между тем существуют веские доказательства того, что заказчиком Pegasus является именно Азербайджан. Продолжающееся интернет-сканирование и исследование кеша DNS, проводимое Citizen Lab, выявило как минимум двух подозреваемых операторов Pegasus в Азербайджане, которых они называют «BOZBASH» и «YANAR». По данным Citizen Lab, оператор YANAR Pegasus, по-видимому, нацелен исключительно на внутренний рынок Азербайджана, в то время как оператор BOZBASH работает с целями, в числе которых — широкий круг организаций в Армении.

Внимание международных СМИ

Результаты этого расследования привлекли огромное внимание — в том числе международных СМИ.

О нем написали, в частности, Reuters, Forbes, The Guardian, Techcrunch, Haaretz и другие.