Израильские киберфирмы создали новый шпионский инструмент, от которого нет защиты

Израильские киберфирмы создали новый шпионский инструмент, от которого нет защиты

Технологические компании и рекламодатели знают, где мы находимся, что покупаем, какие приложения скачиваем и как их используем, знают историю поиска и прошлых покупок. Есть только одна вещь, к которой рекламодатели не имеют или не должны иметь доступа: личность. Мир рекламы и данных, лежащих в ее основе, должен быть анонимным.

Друг отправил вам сообщение, вернувшись из отпуска, а позже на вашем экране появляется реклама отеля, и подобные объявления преследуют вас несколько дней подряд? Мало кто представляет, почему это происходит.

Когда вы открываете приложение или сайт, то за секунду до открытия нужной страницы происходит автоматический процесс торгов между тысячами рекламодателей. Они торгуются за то, чтобы разместить свою рекламу конкретно у вас в конкретный момент. Чем точнее информация о потребителе у рекламодателей, тем больше шансов, что потребитель воспользуется рекламой, и, соответственно, цена за объявление увеличивается.

Однако некоторые умеют пользоваться этой секундой для выполнения иной задачи: послать невинное на первый взгляд объявление, содержащее продвинутую шпионскую программу. Раньше считалось, что такими возможностями обладают только государственные разведки. Но кто-то обходит защитные механизмы Apple, Google и Microsoft и устанавливает современные шпионские программы на наши устройства.

Расследование, проведенное газетой «ХаАрец», показало, что в тени пандемии COVID-19 одновременно с разработкой и внедрением инструментов для отслеживания распространения вируса в Израиле возникла новая индустрия кибершпионажа. Небольшая группа компаний создала технологию, использующую рекламу для внедрения шпионских программ. Пока миллионы рекламных объявлений борются за приоритетное право попасть на наши экраны, израильские фирмы тайно продают технологии, превращающие эти объявления в инструменты наблюдения или оружие, способное проникать в компьютеры и телефоны.

Одна из таких компаний – Insanet. О ее существовании мы сообщаем впервые. Ее сотрудникам удалось получить разрешение министерства обороны Израиля, и она уже продала свои разработки одной недемократической стране.

Другая израильская фирма, Rayzone, разработавшая аналогичный продукт, в этом году получила принципиальное разрешение на его продажу клиентам в западных странах, хотя на практике этого пока не произошло.

В настоящее время нет никаких средств защиты от этих технологий, и неясно, можно ли их блокировать. За прошлые годы Apple и Google заблокировали сотни атак, в результате которых шпионские программы типа Pegasus могли проникнуть в частные девайсы. На этой неделе цифровой кошелек Apple был использован для отправки на айфоны сообщения, содержащего изображение с вредоносным кодом. Конкретную брешь в системе безопасности заблокировали. При этом даже самые умные и совершенные системы защиты Apple, Google и Microsoft в настоящее время не способны полностью предотвратить такой вид заражения – хотя до сего дня их рекламные системы с бесчисленным множеством защитных механизмов считались полностью безопасными.

Реклама превратилась в орудие войны на цифровом поле боя. Информация, собранная в коммерческих целях, используется в разведывательных и при помощи израильских предпринимателей может стать оружием, используемым против частных лиц.

Сегодня реклама, которую мы видим в смартфоне, не случайна: с ее помощью возможно, например, определить нашу геолокацию вплоть до нескольких метров, и сопоставить эту информацию с историей наших поисков. Цифровая реклама превратилась в гигантскую экономику с сотнями миллионов долларов и десятками тысяч видов услуг по сбору, анализу и оптимизации данных для таргетинга. Под общим названием AdTech также сформировалась вторичная экономика, связанная с цифровой рекламой на мобильных устройствах и в приложениях, где рекламодатели конкурируют за наше экранное время в режиме автоматических торгов, основанных на наших данных. Мы – товар. А рекламные биржи, называемые DSP, или платформами спроса, и стоящие за ними рынки рекламных данных – место продажи этого товара.

А еще несколько лет назад обнаружилось, что данные, собранные для рекламных и коммерческих нужд, можно использовать по-другому. Эта малоизвестная область называется AdInt – рекламная разведка.

«В определенном смысле Google и Apple создали рынок шпионажа, – объясняет один из специалистов в области AdInt, имея в виду, что операционные системы этих двух компаний стоят на большинстве смартфонов. – Они просто надеялись, что люди не поймут, как информация, собранная рекламодателями, может стать золотом для разведки. Apple и Google – тоже своего рода шпионские фирмы. Просто есть те, кто умеет это использовать».

Рекламная информация должна быть анонимной. Каждый смартфон имеет уникальный рекламный идентификационный номер, который якобы невозможно сопоставить с номером телефона или именем. Цель – предотвратить использование рекламных данных для шпионажа за людьми и не позволить рекламодателям использовать наши частные данные. Закон Европейского союза о защите цифровой информации, известный как General Data Protection Regulation (GDPR), прямо запрещает это.

Даже информация, соответствующая законам о конфиденциальности, может быть чрезвычайно ценной. Так, с помощью рекламных технологий можно пометить все мобильные телефоны людей, проходящих через определенный аэропорт в определенное время. Сначала собираются все ID устройств в аэропорту: каждый раз, когда открываешь в телефоне приложение, показывающее рекламу, телефон передает твою геолокацию рекламодателям, чтобы повысить эффективность рекламы. Рекламодатели могут не знать имен, но определят часть целевой аудитории, которую можно постоянно бомбардировать рекламой и по рекламе – отследить перемещения этих людей.

Новая индустрия массового AdInt возникла в тени коронавируса. Компания, основанная Эриком Бануном, одним из пионеров наступательных кибертехнологий в Израиле, предложила Службе общей безопасности Израиля (ШАБАК) услуги по наблюдению и мониторингу. Гур Мегидо в TheMarker пишет: идея в том, чтобы с разведывательными целями перелопачивать информацию о пользователях в крупных рекламных сетях.

Компания называется Intelos, а ее продукт – AdHoc. Он предназначен как для правоохранительных органов, так и для бизнес-клиентов. Продукция компании не относится к сфере безопасности и потому не подлежит регулированию.

В настоящее время минобороны не контролирует анонимное геонаблюдение посредством рекламы. Однако эти технологии можно использовать и в целях безопасности, даже не зная персональных данных. Например, можно сориентировать рекламную кампанию на ученых-ядерщиков иранского происхождения в возрасте от 35 до 65 лет, прошедших через аэропорт Тегерана за последний год. Когда эти люди получат первые рекламные объявления, технология позволит точно определить, куда и когда они путешествовали.

Согласно документам, полученным «ХаАрец», израильская компания Cobwebs, специализирующаяся на разведке с использованием открытых источников, предлагает технологию, позволяющую определять местоположение мобильного устройства. Пример Ирана подчеркивает уникальную разведывательную ценность AdInt: большинство видов цифровой разведки и кибернетических наступлений основаны на прямом доступе к информации, сетям и инфраструктурам – данным, предположительно, доступным только государству, но AdInt собирает их из коммерческих источников.

Например, чтобы определить местоположение человека, не нужно ничего, кроме информации, доступной через биржу сотовой рекламы. По словам источников в отрасли, секрет в перекрестном сопоставлении большого количества источников информации. Даже сам факт участия в торгах может предоставить рекламодателю геолокацию.

«Чтобы иметь реальный AdInt, необходима огромная рекламная инфраструктура, – говорит источник в отрасли. – Вы должны быть как-то связаны с различными рекламными системами, чтобы отслеживать людей или использовать рекламные профили для заражения (чего совсем не хотят Apple и Google)». Поэтому компании, работающие в этой области, как правило, содержат собственную рекламную фирму или сотрудничают с такой, что обеспечивает и прикрытие их разведывательной деятельности, и доступ к информации.

Существует целый ряд израильских фирм, предлагающих клиентам подобную разведку. Одна из таких компаний – Rayzone, которая считается пионером в этой области и фактически придумала термин AdInt. Ее продукт под названием Echo не контролируется государством, поскольку тоже использует информацию, считающуюся открытой. Echo продается частным структурам, но некая государственная израильская организация также заинтересовалась его приобретением – для слежки за палестинцами в Израиле.

Есть и компания Bsightful, которую сопоставляет данные просмотра сайтов и других интернет-источников коммерческой информации. Bsightful купила другая киберкомпания с аналогичными возможностями – Cognyte, но уже для государств и вооруженных сил.

Некоторые компании идут еще дальше, создавая инструменты, использующие рекламу для проникновения в телефоны и компьютеры. Составляется рекламный профиль целевой аудитории. Потом начинается рекламная кампания, адаптированная под эту аудиторию, распространяется реклама, что позволяет вести геослежение. Далее в кампанию помещается шпионское или вредоносное ПО. С помощью рекламодателя или рекламной инфраструктуры зараженное объявление загружается на рекламную биржу, и начинаются торги – до тех пор пока объект не получит объявлени, и вредоносный код не проникнет на его устройство.

По словам источников в отрасли, им с самого начала было ясно, что эта технология быстро станет опасной. «AdInt – вполне легальная область, пока она остается в рамках общего слежения, – говорит один из таких источников. – Те, кто превращает ее в оружие, играют с огнем. Достаточно одного случая злоупотребления, чтобы все заполыхало».



Государственные игроки и технологические гиганты уже давно ведут игру в кошки-мышки. Когда все перешли на мобильную связь, спецслужбы потеряли возможность подслушивать людей по стационарным телефонам. Мобильные устройства стали более умными и, что важнее, более зашифрованными.

Apple, Google и Meta обычно сотрудничают с органами безопасности, особенно в США и Евросоюзе, но не предоставляют госслужбам полного доступа к частным звонкам и устройствам. Технически – сквозное шифрование работает и его невозможно взломать. Политически – крупные технологические компании не хотят позволять государствам использовать наши телефоны, даже если это законно, поскольку уже были случаи слежки за журналистами, оппозиционерами и правозащитниками.

Однако спецслужбы всего мира жаждут доступа к нашим устройствам, и индустрия наступательных кибертехнологий уже давно предлагает решения именно для стран, не способных разработать их самостоятельно. Все началось более десяти лет назад со взлома и слежки через сотовые сети, продолжилось проникновением через беспроводной интернет (Wi-Fi) и перешло в браузеры, приложения для смартфонов и зараженные вредоносным ПО текстовые сообщения.

Наиболее продвинутые технологии разработаны израильскими фирмами NSO и Candiru. С помощью их шпионских программ, наиболее известная из которых Pegasus, такие устройства, как iPhone, можно заразить без ведома владельца.

Шпионские программы типа Pegasus взламывают смартфоны, используя уязвимость операционной системы iPhone. Но в новой технологии речь идет не о попытке взломать устройство тайком, а о проникновении через парадный вход, открытый благодаря рекламе, на которой держится вся интернет-экономика.

Де-факто эта технология создает новый «вектор» входа в устройство для разработчиков шпионских программ или для клиентов таких компаний, как NSO. Если Pegasus – ядерная бомба цифровой эпохи, то новые возможности сравнимы с управляемой ракетой, на которой установлена цифровая ядерная боеголовка.

За последние пять лет в кибериндустрии развернулась гонка вооружений, в которой приняли участие такие компании, как Candiru, Paragon, Nemesis, Quadream и сама NSO. По данным источников, NSO также создала наступательный продукт Truman, использующий рекламу. Однако, как и большинство конкурентов, NSO не смогла получить разрешение на продажу этого ПО. Преуспела только компания Insanet.

В 2019 году ветераны киберпредпринимательства, среди которых Ариэль Айзен, Рой Лемкин и бывший глава Совета национальной безопасности Дани Ардити, пришли к созданию Insanet с необходимыми инвестициями. Эти трое имеют связи со спецслужбами в Израиле и других странах. Помимо асов в команде – молодые люди с опытом работы в израильских военных киберподразделениях. До Insanet они основали компанию рекламных технологий. Insanet разработала Sherlock – инструмент, использующий рекламную систему для взлома компьютеров и сотовых устройств. Для продвижения продукта на рынок не исключалось сотрудничество с другими фирмами, занимающимися наступательными операциями. В маркетинговом документе Candiru от 2019 года, раскрытом в 2020 году Амитаем Зивом в TheMarker, потенциальному клиенту предлагали Sherlock вместе со шпионским ПО компании для ПК. Из документа следовало, что цена вопроса – 6 миллионов евро.

Sherlock может взламывать компьютеры на базе Windows, а также iPhone и Android. До сих пор Candiru специализировалась на ПК, NSO могла взламывать iPhone, а ее конкуренты специализировались на Android. Но с помощью этой системы, как следует из документации, можно эффективно взломать любое устройство.

«Это очень опасная новинка, – считает Доннча О’Кербхейл, возглавляющий Amnesty Tech Security Lab, технологическое подразделение правозащитной организации. – Она может позволить злоумышленникам нацеливаться на людей на основе демографических и поведенческих характеристик, этнических групп – или же посетителей независимого сайта, критикующего правительство».

Несмотря на опасения, продукт Insanet продавался легально с разрешения Государства Израиль. Первоначально компания получила достаточно широкое разрешение от министерства обороны, благодаря чему смогла заключить минимум одну крупную сделку. Впоследствии рамки этого разрешения существенно сузили. Источники в отрасли говорят, что изменение политики связано с тремя реальными опасениями: боязнью утечки информации, гневом американцев и возмущением технологических гигантов, готовых к войне против израильской кибериндустрии (Facebook и Apple, например, подали в суд на NSO).

Разрешение Insanet было лимитировано, теперь Sherlock может продаваться как наступательный военный продукт – на весьма ограниченных условиях и только западным государствам. Даже для того, чтобы представить его потенциальному клиенту на Западе, необходимо получить специальное разрешение от минобороны, а оно дается не всегда.

Случай с Insanet и распространение этой технологии на государственный оборонный рынок – классическая израильская история: передовой технологический дух предпринимательства бросает вызов устаревшим механизмам надзора, не поспевающим за неиссякаемым мировым аппетитом к передовым технологиям. Некоторые убеждены, что отрасль уже вышла из-под контроля.

Сейчас идет дискуссия, является ли AdInt, значительная часть которой опирается на открытые источники информации, гражданской или военной технологией.

До сих пор компании, идентифицировавшие себя как работающие исключительно на основе открытых источников для гражданских заказчиков, не подвергались никакому государственному надзору, а кибернетические компании жестко контролирует министерство обороны.

Однако ограничения срабатывали не всегда. Например, после того как NSO отказали в разрешении на экспорт продукта в этой области, а персоналу компании запретили даже рассказывать потенциальным клиентам о его существовании, компания рассмотрела возможность встраивания технологии в Pegasus. Возможно, подобные попытки предпринимали и другие компании.

Ограничения, наложенные на разрешение, выданное Insanet, не остановили ни саму компанию, ни ее конкурентов. В течение нескольких месяцев после этого компания вела переговоры с кибернетическими фирмами, которым отказали в разрешении. Обсуждалась идея объединить усилия и преодолеть препятствие: если Израиль не разрешит продавать подобный продукт как самостоятельную систему, то, возможно, разрешит использовать его в комплекте со шпионским ПО, уже одобренным к экспорту.

Подобные переговоры провели с компаниями Paragon, Nemesis и Candiru, после чего в министерство обороны был направлен конкретный запрос на интегрированный продукт. Такова предыстория появления инструмента Sherlock в маркетинговом документе Candiru. Однако и эти шаги государство не одобрило.

Правда, со временем в оборонном ведомстве сообразили, что держать кота в мешке уже невозможно. Государство практически утратило способность сдерживать этот рынок. Удовлетворив запрос Insanet, минобороны, во избежание обвинений в пристрастности, решило в этом году выдать разрешение на продажу продукта для активного взлома и компании Rayzone.

Долгие годы Rayzone воздерживалась от создания какого-либо наступательного продукта и ограничивалась разведданными, основанными на геослежении по сотовой сети и мониторинге незашифрованной связи. Даже если невозможно отследить человека, прослушать разговор или просмотреть сообщения, то можно увидеть, кто с кем откуда и когда разговаривает. Эти возможности подлежат контролю и основаны на сборе данных, которые считаются конфиденциальными. Однако затем в ответ на рыночный спрос компания в дополнение к своему продукту геонаблюдения Echo разработала наступательный инструмент, позволяющий заражать гаджеты шпионскими программами через рекламу. Компания одной из первых подала заявку, но министерство обороны дало принципиальное разрешение на продажу этого продукта только в этом году.

В настоящее время в Израиле рассматривается возможность передачи всей сферы открытой рекламной разведки под контроль министерства обороны. В последние месяцы ведутся переговоры о пересмотре нормативных актов, регулирующих эту сферу.

Другая причина возможного изменения политики в этой конкретной сфере связана с реакцией министерства обороны на изменение ситуации. Несколько лет отрасль продвигали в рамках так называемой кибердипломатии премьер-министра Биньямина Нетаниягу, но теперь она вошла в конфликт с государством.

NSO
Фото: Depositphotos.com

Чуть менее двух лет назад Израиль уступил давлению США, требующих обуздать наступательную кибериндустрию. Из более чем 100 потенциальных стран-клиентов экспорт кибероружия был разрешен менее чем в 40 стран, большинство из которых западные. В результате закрылись ряд израильских компаний, чья жизнедеятельность обеспечивалась за счет клиентов в других, менее демократичных частях света. Этот шаг отчасти успокоил страсти, но возникли проблематичные последствия для местной индустрии: фирмы закрылись, а десятки специалистов по кибероружию получили стимул для переезда в Европу, США и Азию – подальше от израильских регуляторов. Так за счет Израиля начала формироваться процветающая наступательная кибериндустрия. Одна из таких фирм – Defense Prime, базирующаяся в США, но принадлежащая израильтянам. В этом году компания наняла израильский киберперсонал, в том числе из оборонного ведомства.

Другое непредвиденное следствие «кибернетического кризиса»: многие фирмы начали менять бизнес-модель и переходить на торговлю не шпионскими программами, а «эксплойтами» (собственно, уловками, используемыми для взлома устройств). Функция – продолжать заражать устройства даже после блокировки предыдущих нарушений Apple или Google. Ряд компаний, предлагающих такие ноу-хау, работают из Сингапура, Италии, Испании и США, а руководящие должности в них занимают израильтяне.

В израильском оборонном ведомстве искренне опасаются, что эти технологические возможности будут продаваться и зарубежными фирмами, вообще не подлежащими надзору. Поэтому в надежде сохранить в Израиле новую сферу и контролировать ее в этом году принято решение попытаться регулировать отрасль, в том числе с целью успокоить местные кибернетические фирмы, возмущенные спадом их прибыли.

О том, что государства обладают возможностями слежки и могут использовать их против своих граждан, известно давно. В последние годы в Африке, Азии, Центральной Америке и арабском мире режимы имеют эти возможности, потому что приобрели их на частном международном рынке цифрового оружия. Эти возможности созданы в немалой степени израильскими фирмами.

Как и в случае с огнестрельным оружием, здесь наряду с регулируемым, легальным рынком формируются темные и неконтролируемые рынки, через которые цифровое оружие, вопреки официальному запрету, продается сомнительным странам, а также частным структурам.

«ХаАрец» получила от компаний, о которых идет речь в этой статье, ответы на вопросы об их деятельности:

Insanet: «Insanet – израильская компания, действующая в полном и абсолютном соответствии с израильским законодательством и его строгими директивами».

Rayzone: «В последние годы основная деятельность Rayzone сосредоточена на двух центральных направлениях: анализ big data и широкие решения в области киберзащиты для ряда клиентов в Израиле и за рубежом, среди которых – правительства и коммерческие клиенты. Будучи частной компанией, Rayzone Group придерживается принципа секретности и не упоминает о своих продуктах и клиентах в отдельности».

Cobwebs: «Компания гордится тем, что поддерживает наших клиентов из правоохранительных органов, день и ночь работающих, чтобы защитить нас от широкого спектра мировых угроз: финансирования терроризма, кибератак, эксплуатации детей, насильственных преступлений, контрабанды оружия и торговли людьми. Использование локальных и международных коммуникаций подрывает возможности их выявления и борьбы с ними и требует применения передовых технологий для решения таких задач, как открытая разведка и анализ больших данных. Компания Cobwebs не комментирует коммерческие связи с клиентами. Что касается конфиденциальности, то мы хотели бы отметить, что работаем только в соответствии с законом и тщательно соблюдаем такие строгие правила, как GDPR в Европейском союзе».

Минобороны, NSО, Candiru, Paragon, AdHoc, Bsightful и Cognyte предпочли не участвовать в расследовании.

Омер Бен Яков, «ХаАрец», Н.Б. Фото: Depositphotos.com

Будьте всегда в курсе главных событий:

Подписывайтесь на ТГ-канал "Детали: Новости Израиля"

Новости

У израильского берега снова появился гигантский голубой тунец - фото
ХАМАС обстреливал Израиль из могилы
Обломок йеменской ракеты не смог пробить крышу МАМАДа

Популярное

Цукерберг признал: Маск одержал победу. Интернет уже никогда не будет прежним

Слова Марка Цукерберга в пятиминутном видео, которое он на этой неделе загрузил в свой аккаунт Instagram, на...

В Израиле появился новый вид телефонного мошенничества

В Израиле появился новый вид телефонного мошенничества. Нацелен он в первую очередь на русскоязычных...

МНЕНИЯ