Не все угрозы кибербезопасности живут на серверах и в вирусных макросах. Некоторые из них путешествуют прямо с вами в кармане, маскируясь под безобидные фоновые процессы и почти не выдавая своего присутствия. Такая невидимая угроза — шпионское ПО (или проще говоря, легализованная “цифровая прослушка”), разработанное специалистами по кибершпионажу. И если имя Pegasus давно стало нарицательным, то его “брат” для Android под названием Chrysaor, а также Reign, DarkMatter, FinFisher и другие решения, тоже стоят отдельного разговора. Как минимум, чтобы понять, с чем мы имеем дело и как попытаться защититься.
Почему смартфоны оказались в центре внимания
Необязательно быть гением конспирологии, чтобы заметить тенденцию: чем популярнее устройство, тем привлекательнее оно для разведки и злоумышленников. Смартфоны, особенно работающие на Android и iOS, давно вышли за рамки простых средств связи. В них хранятся банковские приложения, корпоративные секреты, пароли, личные фотографии, голосовые заметки, а иногда и здоровенный пласт переписки. Всё это — недооцененная кладезь информации, к которой стремятся получить доступ многие организации. Государственные структуры или компании, специализирующиеся на “цифровом оружии”, всегда ищут законные и не очень способы проникнуть за виртуальный забор вашей приватности.
За последние годы особенно распространился рынок “легитимных” инструментов прослушки, используемых силовыми ведомствами по официальному назначению — для борьбы с терроризмом и преступностью. На практике же выходят скандалы, когда эти программы применяются против журналистов, оппозиционеров или просто неугодных лиц. И всё это, конечно, не только за границей, но и ближе к отечественным реалиям, где также происходят любопытные истории с прослушками.
Семейное древо Pegasus: знакомимся с Chrysaor
Название Pegasus не раз мелькало в громких расследованиях, но вот про Chrysaor обычно вспоминают меньше. А зря: речь идёт о решении от той же NSO Group, работающем на Android. Кто-то называет его “братом” Pegasus, но более точное описание — продукт, который специализируется на мобильных платформах Google. По функционалу он способен на много что:
- Перехват SMS-сообщений;
- Запись телефонных разговоров и окружения;
- Похищение контактов, медиафайлов и геолокации;
- Удалённое включение микрофона и камеры без уведомления пользователя.
Звучит жутковато, но с технической точки зрения никакой магии: в систему внедряется эксплойт через уязвимости в Android (или через непроверенные приложения). Затем Chrysaor получает привилегии суперпользователя, и всё — можно открыть полную хронику вашей цифровой жизни. Формально, как и Pegasus, Chrysaor позиционируется для “законных оперативно-разыскных мероприятий”. Но все понимают, что действительно законна его эксплуатация лишь в отдельных случаях, а во многих ситуациях используется обычная лазейка в правовом поле.
Пострадавшие чаще всего даже не замечают, что случилось. Антивирусы редко реагируют, а система Android не любит “сигналить” пользователю, если её корневые разрешения взяты в оборот. Обнаружить это ПО сложно и спецам: на рутованном смартфоне остаётся минимум следов. Отсюда растёт опасность для журналистов, правозащитников и всех, кто может попасть в “зону повышенного интереса”. И если Pegasus — бренд, который уже оброс скандалами на уровне международных расследований, то Chrysaor пока сохранил тень меньшей узнаваемости, что играет на руку тем, кто им пользуется.
Reign: ещё одно израильское оружие для слежки
Переходим к конкуренту — Reign, создаваемому компанией QuaDream. Снова Израиль, снова репутация высококлассного кибершпионского продукта, почти наравне с Pegasus. По слухам (а точной информации по таким проектам всегда мало) Reign предназначен для отслеживания устройств на iOS и Android, используя набор сложных эксплойтов. В киберсреде его иногда характеризуют как “более нишевое” решение. Мол, QuaDream не так агрессивно выдвигается на рынок, зато предоставляет эксклюзивные возможности для узкого круга клиентов.
Методы взлома, предполагают аналитики, похожи на те, что применяет NSO Group: в ход идут уязвимости типа zero-click, которые не требуют никаких действий от владельца телефона. Достаточно получить специальное сообщение или push-уведомление, чтобы на устройстве запустился эксплойт и открыл путь к ядру системы. Поскольку рынок таких решений ориентирован на госструктуры, цена лицензирования может исчисляться миллионами долларов, а купить их за рубли — задача нетривиальная, учитывая санкции и финансовые ограничения. Для служб, обладающих нужными ресурсами, Reign оказывается востребованным, ведь он даёт возможность незаметно извлечь данные из смартфона жертвы и слать эти данные в удалённую панель. В локальных, российских реалиях всё зависит от политических связей и технических возможностей, но слухи о Reign всё чаще всплывают в экспертных обсуждениях.
DarkMatter: вклад ОАЭ в мировую кибершпионскую гонку
Израиль известен сильными кадрами в области кибербезопасности, а что насчет Объединённых Арабских Эмиратов? У них есть своя разработка — DarkMatter. Эту структуру напрямую связывают с правительственными проектами, направленными на слежку за гражданами и диссидентами. Информации о DarkMatter в публичном доступе немного: журналистские расследования и утечки говорят о том, что компания нанимала бывших сотрудников западных спецслужб. Цель — создать внутренний “отдел кибершпионажа”, специализирующийся на вскрытии мобильных гаджетов, а также на профилировании пользователей.
Примечательно, что DarkMatter позиционировалась как обычная компания по информационной безопасности, но в итоге везде упоминается её таинственное участие в “активном слежении”. В отличие от Pegasus и Chrysaor, инструменты DarkMatter реже попадают под международный скандал, поскольку практически не продаются на открытом рынке и не мелькают в западных госзакупках. Предполагается, что они локально применяются в интересах властей ОАЭ, хотя никто не исключает более широкой географии. Учитывая, как мало мы знаем о реальном функционале этого ПО, логично предположить, что оно не менее опасно, чем израильские аналоги.
Почему этого стоит опасаться? В руках власти такие инструменты быстро перерастают в инструмент подавления инакомыслия. Если у DarkMatter есть эксплойты для Android и iOS, то простому пользователю становится ещё сложнее обеспечить себе приватность. Даже шифрованные мессенджеры не спасают, ведь при полном доступе к устройству любая переписка становится видна в открытом виде. А уж тем более в случае, когда аппарат эксплуатируется удалённо через root-доступ.
FinFisher от Gamma Group: когда шпионское ПО стало “классикой жанра”
FinFisher разрабатывается немецкой компанией Gamma Group и на рынке цифровой разведки уже не новичок. Он существует давно и стабильно обновляется, предлагая возможности для “дистанционного аудита” компьютеров и мобильных устройств по всему миру. Известно, что FinFisher работает не только на мобильных ОС (Android, iOS), но и поддерживает Windows, macOS, Linux. По сути, это многофункциональный шпионский комбайн, который устанавливается в систему маскировкой под безобидное ПО или через фишинговые ссылки.
Основные возможности FinFisher:
- Запись нажатий клавиш (кейлоггер);
- Подключение к микрофону и камере в режиме реального времени;
- Кража паролей и история браузера;
- Перехват Skype-звонков и других VoIP-сервисов;
- Доступ к переписке в почтовых клиентах и мессенджерах.
Что отличает FinFisher от многих конкурентов — обширный опыт выстраивания “правовых” схем поставки силам правопорядка. Разумеется, бывали громкие скандалы, в ходе которых выяснялось, что ПО могло использоваться и против оппозиционных активистов. В российских реалиях он упоминался лишь в редких расследованиях, но, учитывая глобальную клиентуру Gamma Group, исключать его присутствие где-нибудь на нашей почве нельзя. Особенно если учесть, что для местных структур при наличии бюджетов в рублях можно найти “компромиссные” схемы оплаты. Утечки и публикации о FinFisher подтверждают, что его функционал только расширяется, поэтому расслабляться любителям безопасности точно не стоит.
Другие шпионские инструменты: короткий обзор
Список подобных систем не ограничивается четырьмя названиями. Рынок шпионского ПО шире, и на нём много локальных игроков, готовых предложить разработку или доработку эксплойтов под конкретные запросы. Среди частично известных проектов:
- Galileo от Hacking Team: итальянская разработка с возможностью атак на мобильные и десктопные платформы.
- Remote Control System: встречалось в различных документах как ПО для работы с целым пулом устройств, применялось в нескольких странах.
- Skygofree: российский вариант шпионского ПО для Android, о нём писали международные СМИ в контексте атак на местных пользователей.
Все эти инструменты заточены на незаметную работу и глубокое проникновение в систему. Часто используется обход антивирусов и механизм самоуничтожения, который стирает следы, если обнаруживается попытка детектирования.
Что делать простому пользователю?
Первый порыв — запаниковать и выбросить смартфон в ближайшую реку. Но, во-первых, это может быть наказуемо штрафом за загрязнение воды, а во-вторых, не гарантирует полной безопасности. Лучше соблюдать здравые меры предосторожности:
- Следить за обновлениями системы. Многие атаки используют известные, но не закрытые вовремя уязвимости.
- Не устанавливать сомнительные приложения. Иногда даже Google Play пропускает “троянцев”, но уж в сторонних маркетах риск намного выше.
- Ограничивать количество доверенных источников: стараться скачивать софт из официальных репозиториев, хотя и это не даёт 100% гарантии.
- Активно пользоваться шифрованием и VPN-сервисами. Они не спасают, если враг получил root-доступ, но хотя бы усложняют задачу.
- Держать в уме возможность компрометации через физический доступ к устройству. Ставить надёжный пароль или биометрию.
Профессионалы в сфере ИБ рекомендуют проводить периодические аудиты своего устройства, отслеживая подозрительную активность. Но для большинства нетривиально найти программу, способную обнаружить высокотехнологичное шпионское ПО. Энтузиасты могут попробовать инструменты вроде дампа системных процессов или сравнения контрольных сумм ядра, но это уже довольно сложная тема, особенно для неподготовленных пользователей.
Российский контекст: почему шпионское ПО не обходит нас стороной
В России, как и во многих других странах, существует практика закупки или разработки подобных инструментов под нужды силовых ведомств. Тема тут окутана особой секретностью, поэтому точных деталей мало. Известно, что в случае необходимости решения вроде Chrysaor или FinFisher можно достать по “серым схемам”, а расчёт в рублях иногда обходится сложнее из-за санкционных условий и ограничений на трансграничные платежи. Однако при желании все барьеры преодолимы. Собственный рынок шпионских проектов тоже формируется, опираясь на локальные R&D коллективы, которые растут из уязвимостей и “заказных” взломов.
Для широкого круга пользователей это означает, что ваша переписка, геолокация и микрофон могут стать объектом интереса не только по линии гражданской киберпреступности, но и государственного надзора. Ситуация спорная с точки зрения личных прав и свобод. Кто-то считает, что при соблюдении закона и отсутствии «скелетов в шкафу» волноваться незачем. Другие напоминают, что случаи слежки за активистами и независимыми журналистами — не редкость, и технически это сделать всё проще.
Думать, действовать, сохранять бдительность
История с Pegasus, Chrysaor, Reign, DarkMatter, FinFisher и прочими проектами кибер шпионажа — лишь верхушка айсберга. По мере развития технологий мы будем видеть ещё больше инноваций, которые позволяют читать наши сообщения и анализировать цифровые потоки. Вопрос ведь не только в том, кто делает “цифровое оружие”, но и кто им пользуется, и как оно регулируется законодательством. А иногда — совершенно не регулируется, пока не грянет очередной международный скандал.
Реальность такова, что полностью избавиться от риска подцепить шпионское ПО невозможно. Современные угрозы стали слишком изощрёнными. Но базовая гигиена безопасности, осознанное поведение и минимум неаккуратности с неизвестными файлами — уже шаг к тому, чтобы повысить шансы остаться незамеченным на радарах. Для тех, кто особенно беспокоится, существуют профессиональные средства поиска следов руткитов и вредоносных прошивок, но они дороги и недоступны массовому потребителю.
В конце концов, ситуация напоминает постоянные состязания спецслужб и ИБ-экспертов: кто быстрее найдёт и закроет уязвимость , кто умнее обойдёт защиту, кто хитрее внедрит эксплойт, не оставив следов. И пока это “соревнование” продолжается, пользователю остаётся лишь держать руку на пульсе и понимать, что каждая новая функция в смартфоне может обернуться такой же новой дырой в приватности.
Сегодня это Chrysaor и FinFisher, завтра — новые названия, о которых мы даже не слышали. И все они будут появляться, как грибы после дождя, пока правовой и технологический ландшафт не найдет баланс между безопасностью государства и правом человека на личную жизнь. Осталось лишь пожелать всем нам сохранять бдительность и не забывать, что смартфон в кармане — это не просто удобная “звонилка”, а потенциальная платформа для самого что ни на есть тотального слежения.
