Авторы доклада ООН связывают хакерскую атаку на принадлежащий Джеффу Безосу (Jeff Bezos) iPhone X непосредственно с саудовским наследным принцем Мухаммедом бин Салманом (Muhammed bin Salman).

8 ноября 2018 года генеральный директор компании «Амазон» получил неожиданное СМС-сообщение по Ватсап от наследного принца Саудовской Аравии Мухаммеда бин Салмана. Несколькими месяцами ранее, в апреле, эти двое обменялись телефонными номерами во время короткого ужина в Лос-Анджелесе, однако регулярный контакт они не поддерживали, и Безос после этого, в мае, получил только один видеофайл от наследного принца, в котором якобы говорилось о достоинствах экономики Саудовской Аравии. В ноябрьском сообщении также содержалось приложение — это была фотография женщины похожей на Лорен Санчес (Lauren Sanchez), с которой у Безоса были тогда отношения, однако он старался их не афишировать.

Это сообщение, судя по всему, имело язвительный характер, а компания «Американ медиа», издатель газеты «Нэйшенал энджинир», через несколько месяцев опубликовала подробности этих отношений. Однако именно первый контакт в мае стал причиной скандала, в центре которого оказался Мухаммед Бин Салман.

По мнению следователей, этот мультимедийный файл, судя по всему, содержал в себе вредоносную программу. Личный аккаунт наследного принца, по-видимому, был использован для взлома сотового телефона Безоса.

Подобного рода наглая атака на публичную персону — Безос является богатейшим человеком в мире — вызывает по меньшей мере тревогу. Этот случай подчеркивает опасность существования неконтролируемого частного рынка приборов и устройств для проведения цифровой слежки, а также поднимает серьезные вопросы относительно известных в Америке фигур, у которых, как стало известно, имеются отношения с саудовским наследным принцем. Среди них советник Белого дома Джаред Кушнер (Jared Kushner), а также сам президент Дональд Трамп.

«Это сообщение о проведении слежки за Безосом предположительно с использованием программного обеспечения, разработанного, продвигаемого на рынке частной компанией, и переданного правительству другого государства без юридического контроля за его использованием, является — если подтвердятся опубликованные факты — конкретным примером того ущерба, который возникает в результате неограниченного маркетинга, продажи и использования шпионских программ», — подчеркнули в своем заявлении спецдокладчики ООН Дэвид Кей (David Kaye) и Аньес Калламар (Agnes Callamard). Предоставленные ООН детали свидетельствуют о том, что эта вредоносная программа была разработана частными предпринимателями — израильской компанией NSO Group или итальянской Hacking Team. О связи с Мухаммедом впервые сообщила во вторник газета «Гардиан».

Безос стал мишенью для саудитов не из-за компании «Амазон», а из-за того, что он является владельцем газеты «Вашингтон пост», в которой была опубликована серия статей о Саудовской Аравии. Ноябрьское текстовое сообщение от Мухаммеда бин Салмана было направлено через месяц после того, как саудовские официальные лица убили обозревателя газеты «Вашингтон пост» и саудовского диссидента Джамаля Хашогги (Jamal Khashoggi) в помещении расположенного в Стамбуле консульства этого королевства.

Проведенное ООН расследование атаки на Безоса, по крайней мере частично, основано на результатах специального криминалистического анализа, который был проведен по заказу самого Безоса и который был завершен специалистами фирмы FTI Consulting, работающей в области кибербезопасности. Полученные данные не являются окончательными, и, по мнению экспертов фирмы FTI Consulting, они располагаются в диапазоне от конфиденциальных до секретных. Кроме того, спецдокладчики ООН заявили о том, что полученные результаты пока не позволяют установить исполнителей.

«Любая работа компании FTI Consulting с клиентами является секретной. Мы не комментируем, не подтверждаем и не отрицаем реальное участие клиентов или возможное их участие», — подчеркивается в заявлении, переданном редакции журнала Wired.

Саудовское посольство во вторник в Твиттер отвергло выдвинутые обвинения. «Абсурдными являются появившиеся недавно в средствах массовой информации сообщения о том, что Саудовское Королевство якобы стоит за взломом сотового телефона Безоса. Мы призываем к проведению расследования по поводу этих утверждений для того, чтобы стали известны все факты».

По данным авторов доклада ООН, саудовский режим тайным образом начал получать огромное количество данных о Безосе через несколько часов после направления ему зараженного видеофайла в формате Mp4. Специалисты компании FTI Consulting установили, что за шесть месяцев до направления этого видео примерно 430 килобайт данных передавалось ежедневно с сотового телефона Безоса, и это небольшое количество. Спустя несколько часов после получения этого видеофайла количество передаваемых данных выросло, и телефон Безоса передавал в течение нескольких месяцев уже в среднем по 101 мегабайт информации. В докладе ООН говорится о том, что объем передававшихся данных иногда доходил до нескольких гигабайт, что на несколько порядков больше существовавшего до хакерского взлома уровня. Это свидетельствует о том, что тайная передача данных осуществлялась с помощью вредоносной программы.

Спецдокладчики ООН указывают на вредоносную программу «Пегасус» (Pegasus), которая была разработана фирмой NSO Group, дилера в области хакерских инструментов, и которая в последние четыре года была адаптирована для использования с многочисленными версиями операционных систем iOS и Android. Саудовская Аравия впервые купила программу «Пегасус» у фирмы NSO Group в ноябре 2017 года, подчеркивается в докладе ООН.

Спецдокладчики считают, что программа «Галилео» Galileo, созданная группой Hacking Team, тоже могла быть использована. Анализ этих инструментов третьей стороной, а также представителями академического сообщества, показал, что обе эти программы способны предоставить доступ к устройству и к любым хранящемся в нем данным — от СМС-сообщений, телефонных звонков, контактов и электронной почты до приложений, истории посещений в интернете и даже данных о локации.

Представители фирмы NSO Group в своем заявлении опровергли утверждения о том, что ее программные разработки могли быть использованы в ходе этой хакерской атаки. «Как мы однозначно заявили в апреле 2019 года по поводу такого же ложного утверждения, наши технологии не могли быть использованы в подобном случае, — подчеркивалось в заявлении фирмы NSO Group. — Наши технологии не могут быть использованы в отношении американских телефонных номеров. Наши продукты используются только для того, чтобы расследовать теракт и другие серьезные преступления. Любые предположения об причастности NSO являются клеветническими».

По мнению спецдокладчиков ООН, в тот же период времени, когда саудовский режим получил доступ к сотовому телефону Безоса, представители королевства проводили слежку за коллегами Хашогги, а также за другими диссидентами и правозащитниками с использованием вредоносной программы для сотовых телефонов, разработанной фирмой NSO Group. Эти действия вполне соответствуют более широкому набору инструментов, применяемых в борьбе против подобного рода активистов. В ноябре Министерство юстиции предъявило обвинение двум сотрудником компании Твиттер в том, что они, действуя в интересах Саудовской Аравии, получили доступ во внутреннюю систему и похитили хранившиеся там данные.

Одновременно Саудовская Аравия начала онлайновую кампанию по дискредитации Безоса. В ноябре 2018 года самый популярный хэштег в Саудовской Аравии звучал так: «Бойкотируем Amazon». Эта кампания неожиданно была остановлена в апреле 2019 года, а произошло это после того, как работающий на Безоса следователь обвинил саудитов во взломе сотового телефона своего клиента. Эта кампания возобновилась в октябре после посещения Безосом церемонии в память о Хашогги.

Хотя такие частные фирмы как NSO Group нередко представляют себя как компании, занимающиеся криминалистическим анализом, такие инструменты как «Пегасус» часто используются в целях агрессивного взлома. На самом деле, аналитики использовали такого рода инструменты для анализа сотового телефона Безоса после проведенной против него кибератаки. Это работа оказалась непростой, с учетом того высокого в техническом отношении уровня, на котором был произведен взлом. В тот момент, когда с помощью «физического анализатора» израильской компании Cellbrite производился анализ принадлежащего Безосу гаджета, не было обнаружено никаких следов вредоносных программ. Тщательный анализ почти 300 тысяч директорий, поддиректорий и названий файлов также не позволил обнаружить каких-либо следов «джейлблейка», то есть никаких следов взлома операционной системы iOS.

Кроме того, было сложно анализировать видео, направленное с аккаунта наследного принца на предмет наличия там вредоносной программы, поскольку и сам файл, и модуль скачивания были зашифрованы. По мнению спецдокладчиков ООН, собственная система сквозного шифрования компании WhatsApp также создает вызовы. Программные продукты фирмы Cellebrite, применяемые для анализа трафика самого гаджета и данных сетевого журнала явно указывали на тот момент, когда началась активная передача данных.

«Похоже на то, что использованный "имплант" имел функцию самоуничтожения, и его уже не было в сотовом телефоне, когда криминалисты начали свою работу, — говорит Дейв Айтел (Dave Aitel), бывший аналитик Агентства национальной безопасности (АНБ) и главный специалист в области технологий по безопасности фирмы Cyxtera, занимающейся созданием безопасной инфраструктуры. — Судя по всему, можно считать, что в каждом реальном импланте стоит система самоуничтожения. А у американских следователей, вероятно, имеется дополнительная секретная информация, которая подтверждает их выводы».

Пока не ясно, какую еще информацию смогли получить хакеры о Безосе и о бизнесе компании «Амазон». Этот инцидент заставляет вновь проанализировать уже ставший спорным вопрос о частной индустрии по производству кибероружия. В конце октября прошлого года фирма Ватсап и ее владелец компания Фейсбук подали в суд иск против фирмы NSO Group по поводу предположительной атаки на более 1000 своих клиентов — это была первая попытка сдержать бурный рост индустрии по сбору частной информации. В поданном иске говорилось о том, что, по крайней мере, часть инфраструктуры фирмы NSO Group расположена на интернет-сервисах компании «Амазон».

Кроме того, специалисты компании Фейсбук в ноябре залатали уязвимость, «которая могла возникнуть в Ватсап при направлении специально созданного файла в формате Mp4 пользователю этого мессенджера». Пока нет данных о том, использовался ли подобный «жучок» при кибератаке на Безоса, однако следует иметь в виду, что подобные «жучки» существуют даже в таких кажущихся самыми безопасными программах как Ватсап.

Атака, проведенная Саудовской Аравией против одного из самых влиятельных в мире бизнесменов, поднимает вопрос о коммуникации этого королевства с официальными лицами Соединенных Штатов, включая Джареда Кушнера, зятя президента Трампа и его советника по Ближнему Востоку. Как говорят, Кушнер обменивался личными посланиями с Мухаммедом Бин Салманом, и, кроме того, он активно использовал мессенджер Ватсап для разговоров с иностранными лидерами. Кушнер имеет допуск к самой секретной информации, хотя в Белом доме и в разведывательном сообществе страны высказывалась озабоченность по поводу рисков, связанных с иностранным влиянием.

Хорошо известно также, что президент Трамп предпочитает обычные смартфоны, что он не следует советам специалистов Белого дома в области ИТ и кибербезопасности, которые настаивают на использовании только защищенных аппаратов. Тот факт, что такая простая и элегантная атака смогла создать проблемы для Джеффа Безоса, свидетельствует также о том, в какой рискованной ситуации находился Трамп. Бесчисленное количество игроков по всему миру только и мечтали о том, чтобы получить неограниченный доступ к его сотовому телефону, и ему самому оставалось лишь кликнуть на полученное видео или на ссылку.

Хотя этот инцидент повысит внимание к растущим угрозам со стороны частной индустрии по производству кибероружия и незаконного использования ее продуктов, кажется маловероятным, что в отношении таких фирм будут предприняты карательные меры. По словам спецдокладчиков ООН, сами они будут продолжать расследование как по делу Хашогги, так и по поводу активного использования шпионских программ, и, судя по всему, недостатка в дополнительной информации не будет.

Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.