Amnesty International: в Марокко смартфон журналиста был взломан спецслужбами всего лишь после визита на сайт

    Смартфон марокканского журналиста и правозащитника Омара Ради был взломан в сентябре 2019 года, предположительно, местными спецслужбами, сообщает правозащитная группа Amnesty International. По данным организации, доступ к данным правоохранители смогли получить с помощью софта, разработанного компанией NSO Group. 

    Израильская NSO Group, основанная в 2010 году, разрабатывает шпионское программное обеспечение под названием Pegasus, которое даёт возможность получить полный доступ к смартфону жертвы. Как заявляли создатели программы, она нацелена для борьбы с терроризмом и другими преступлениями и продаётся только правительственным правоохранительным и разведывательным органам. В прошлом году компания изменила свою политику: теперь клиенты смогут использовать инструменты NSO Group только для предотвращения и расследования преступлений, но не для нарушения прав человека. 

    Как говорится в отчёте Amnesty International, спустя всего три дня после объявления об изменении политики компании, 13 сентября, смартфон Омара Ради был взломан. Специалисты организации обнаружили на устройстве журналиста, занимающегося коррупционными расследованиями в Марокко, следы кибератаки. По их словам, в ходе взлома использовались вредоносные домены из инфраструктуры NSO Group, а подобные следы ранее находили после атак на других марокканских правозащитников. 

    Атакующие перехватили сеанс браузера на смартфоне журналиста и переадресовали его на вредоносную веб-страницу — оттуда на устройство загрузилось вредоносное ПО Pegasus. Взломщики воспользовались доступом к оператору связи, клиентом которого был Ради. Атака network injection, которой подвергся журналист, продолжалась вплоть до января 2020 года, то есть сильно позже момента, когда израильская компания приняла новую политику. 

    Причиной для взлома и преследования Омара Ради могли стать его публикации, критикующие действующую власть, включая Короля Марокко Мухаммеда VI, пишет Amnesty International. По словам правозащитников, местные власти были неоднократно уличены в преследовании инакомыслия, причём под их санкции попадали не только журналисты, но и музыканты и Youtube-блогеры. С ноября прошлого года Amnesty зафиксировала как минимум десять случаев, когда политические активисты в Марокко были незаконно привлечены к ответственности — все они обвинялись в «оскорблении государственных чиновников или учреждений, короля или монархии, что является преступлением в соответствии с Уголовным кодексом Марокко», сообщают правозащитники.

    В декабре 2019 года Омара Ради арестовали за твит, который он опубликовал за семь месяцев до этого — в нём журналист критиковал судебную систему Марокко за излишне строгий приговор участникам протеста из движения за социальную справедливость «Хирак Эль-Риф». Через несколько дней после ареста его освободили, однако 17 марта суд в Касабланке приговорил журналиста к четырём месяцам условного заключения и оштрафовал на 500 дирхамов ($52). 

    Власти Марокко не впервые подозреваются в использовании инструментов NSO Group для кибератаки на правозащитников. В октябре прошлого года Amnesty International уже сообщала о взломе смартфонов учёного Маати Монджиба и адвоката по правам человека Абдессадака Эль Бушаттауи. При этом схема кибератаки была похожа на случай Омара Ради — активисты получили SMS-сообщения со ссылками, после клика по которым на устройство втайне скачивалось ПО Pegasus. По мнению правозащитников, за всеми этими случаями могут стоять марокканские спецслужбы, поскольку NSO Group сотрудничает только с правительственными разведывательными и правоохранительными органами.


    См. также: 

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      +4

      Перехватили сеанс браузера — в это я ещё с натяжкой готов поверить. Но установить стороннее ПО на устройство без явного разрешения пользователя? Как, Холмс?

        +3
        Атакующие перехватили сеанс браузера на смартфоне журналиста и переадресовали его на вредоносную веб-страницу — оттуда на устройство загрузилось вредоносное ПО Pegasus. Взломщики воспользовались доступом к оператору связи, клиентом которого был Ради. Атака network injection, которой подвергся журналист, продолжалась вплоть до января 2020 года, то есть сильно позже момента, когда израильская компания приняла новую политику.

        Не вижу трудностей. Хотел журналист скачать какую-то apk себе мимо маркета. Может даже для анонимности. Зашёл на сайт без https, и получил эту же приложуху, но запакованную вместе с сюрпризом. Схема не выглядит сильно сложнее вставки рекламы от оператора в http траф

          +3
          Врятли это просто apk. Если у него был iPhone то вероятнее всего дело в каком то WebKit-эксплоите (для примера — webkit-эксплоиты в свое время использовались для взлома PS4 или Nintendo Switch)
            +1
            Тоже думаю, что атакующие использовали уязвимость нулевого дня, особенно, что пару лет назад уже были подобные попытки использования Pegasus (и скорее всего это только вершина айсберга).

            Правда, не думаю, что это обязательно iPhone, ведь «Pegasus способен взломать самые популярные на рынке смартфоны на базе операционных систем BlackBerry, Android, iOS и Symbian».
          +2
          Так это же насквозь закрытый андроид, а не linux. Да ещё и браузер, наверное, chrome ванильный гугловский. Там запросто может быть недокументированная js-функция вида nsa_break_in (master_password, payload).
            +6
            Все довольно просто, WebKit всю жизнь был дырявым как решето и в нем постоянно находят RCE-баги, вот из недавнего(март 2020):
            support.apple.com/en-us/HT211102

            То есть достаточно лишь посетить URL и exploit сработает. На этом и основаны методы jailbreak через Safari, например:
            www.idownloadblog.com/2019/02/22/luca-todesco-has-released-a-webkit-rce-exploit-that-works-on-ios-12-1-4-and-earlier

            Это говорит о том, что подобные RCE весьма неприятные, позволяют убежать из песочницы Safari и получить доступ высшего уровня. А там уже с телефоном можно делать весьма интересные вещи.
            +7

            Какая ОС-то была? С трудом представляю, скрытую загрузку и установку ПО в чистом андроиде или иос. Будет смешно, если он сам ткнул, загрузил и нажал "установить этот бедный еврейский вирус".

              +4

              Загуглите для примера «whatsapp exploit nso group» (история как раз конца прошлого года тоже) — никаких телодвижений со стороны пользователя, одна «сорвавшаяся» попытка входящего Whatsapp-звонка, и в вашем телефоне уже исполняется чужой код (который и эту самую попытку звонка подчистить может). Кто гарантирует что в куда более сложном коде браузера уже вычистили абсолютно все подобные баги?

                –1
                В оригинале новости сказано, что у него iPhone
                +3

                Слишком много технических подробностей, которые дают лишь новые вопросы… Проходить по ссылкам из SMS — это верх профессионализма, конечно. Это как по e-mail узнавать о наследстве некого дальнего родственника и оплачивать отправку вам документов на перевод наследства :)

                  +4

                  Подождите. Это получается я зря перевел 0.1 биткойн на налоговые сборы для оформления наследства?!

                    +2

                    Он же оппозиционный журналист, мог получить ссылку типа "фотографии власти убивают.apk".
                    Если уж телефон Безоса удалённо взломали...

                      0
                      Проходить по ссылкам из SMS
                      Если злоумышленникам удалось перехватить трафик смартфона, они могут подсунуть жертве нужный эксплойт без её ведома. В принципе, это не представляет особых трудностей, если в этом замешено государство или провайдер. Хотя это не обязательно, ведь можно просто взломать какой-нибудь форум или блог, где жертва активно общается.
                      +2

                      Заголовок случайно такой получился или как? Зашел почитать, как кого-то начали преследовать спецслужбы только за то, что он зашел на сайт, а тут...

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое