Уряди кількох країн стали клієнтами шпигунського ПЗ Paragon

Згідно з новим технічним звітом відомої лабораторії цифрової безпеки, уряди Австралії, Канади, Кіпру, Данії, Ізраїлю та Сінгапуру, ймовірно, є клієнтами ізраїльського виробника шпигунського програмного забезпечення Paragon Solutions.

The Citizen Lab - група вчених і дослідників безпеки в Університеті Торонто, яка досліджувала індустрію шпигунського програмного забезпечення понад десять років, опублікувала звіт про заснований в Ізраїлі стартап стеження, в якому шість урядів назвали «підозрюваними розгортаннями Paragon».

Наприкінці січня WhatsApp сповістила близько 90 користувачів , які, на думку компанії, стали мішенню шпигунського ПЗ Paragon, що спровокувало скандал в Італії, де живуть деякі з цілей . 

Paragon протягом тривалого часу намагався виділитися серед конкурентів, таких як NSO Group , чиї шпигунські програми зазнали зловживань у кількох країнах , заявляючи, що вони більш відповідальні постачальники шпигунських програм . У 2021 році неназваний високопоставлений керівник Paragon сказав Forbes, що авторитарні чи недемократичні режими ніколи не стануть його клієнтами. 

У відповідь на скандал, викликаний сповіщеннями WhatsApp у січні, і, можливо, спробою підкріпити свої заяви про те, що він є відповідальним постачальником шпигунського ПЗ, виконавчий голова Paragon Джон Флемінг сказав TechCrunch, що компанія «ліцензує свою технологію вибраній групі глобальних демократій — головним чином, Сполученим Штатам і їхнім союзникам».

Наприкінці 2024 року ізраїльські ЗМІ повідомили, що американський венчурний капітал AE Industrial Partners придбав Paragon щонайменше за 500 мільйонів доларів.

Citizen Lab стверджує, що їй вдалося відобразити серверну інфраструктуру, яку Paragon використовує для свого інструменту шпигунського програмного забезпечення під кодовою назвою Graphite, ґрунтуючись на «підказці від співробітника».

Починаючи з цієї підказки та після розробки кількох відбитків пальців, здатних ідентифікувати пов’язані сервери Paragon і цифрові сертифікати, дослідники Citizen Lab знайшли кілька IP-адрес, розміщених у місцевих телекомунікаційних компаніях. Citizen Lab заявила, що вважає, що ці сервери належать клієнтам Paragon, частково на основі ініціалів сертифікатів, які, здається, збігаються з назвами країн, у яких розташовані сервери. 

За даними Citizen Lab, один із відбитків пальців, розроблений її дослідниками, призвів до цифрового сертифіката, зареєстрованого в Graphite, що, здається, є значною операційною помилкою виробника шпигунського ПЗ.

«Вагомі непрямі докази підтверджують зв’язок між Paragon та інфраструктурою, яку ми намітили», — пише Citizen Lab у звіті. 

«Інфраструктура, яку ми знайшли, пов’язана з веб-сторінками під назвою «Paragon», отриманими з IP-адрес в Ізраїлі (де базується Paragon), а також із сертифікатом TLS, що містить назву організації «Graphite», — йдеться у звіті.

Citizen Lab зазначила, що її дослідники ідентифікували кілька інших кодових назв, які вказують на інших потенційних державних клієнтів Paragon. Серед підозрюваних країн-клієнтів Citizen Lab виділила канадську провінційну поліцію Онтаріо (OPP), яка, здається, є клієнтом Paragon, оскільки одна з IP-адрес підозрюваного канадського клієнта пов’язана безпосередньо з OPP.

TechCrunch звернувся до прес-секретарів таких урядів: Австралії, Канади, Кіпру, Данії, Ізраїлю та Сінгапуру. TechCrunch також звернувся до поліції провінції Онтаріо. Жоден із представників не відповів на наші запити про коментарі. 

У зв’язку з TechCrunch Флемінг із Paragon сказав, що Citizen Lab зв’язалася з компанією та надала «дуже обмежену кількість інформації, частина з якої виглядає неточною». 

Флемінг додав: «Зважаючи на обмежений характер наданої інформації, ми не можемо наразі дати коментар». Флемінг не відповів, коли TechCrunch запитав, що є неточним у звіті Citizen Lab, а також не відповів на запитання про те, чи є країни, визначені Citizen Lab, клієнтами Paragon, або про стан його відносин з італійськими клієнтами. 

Citizen Lab зазначила, що всі люди, які отримали сповіщення від WhatsApp, а потім звернулися до організації, щоб проаналізувати їхні телефони, використовували телефон Android. Це дозволило дослідникам ідентифікувати «криміналістичний артефакт», залишений шпигунським програмним забезпеченням Paragon, який дослідники назвали «BIGPRETZEL».

Представник Meta Заде Алсавах сказав TechCrunch у своїй заяві, що компанія «може підтвердити, що ми вважаємо, що індикатор, який Citizen Lab називає BIGPRETZEL, пов’язаний з Paragon». 

«Ми бачили з перших вуст, як комерційне шпигунське програмне забезпечення може бути використано як зброя проти журналістів і громадянського суспільства, і ці компанії повинні бути притягнуті до відповідальності», — йдеться в заяві Meta. «Наша команда безпеки постійно працює над тим, щоб випереджати загрози, і ми продовжуватимемо працювати над захистом можливості людей спілкуватися приватно».

З огляду на те, що телефони Android не завжди зберігають журнали певних пристроїв, Citizen Lab зазначила, що шпигунське програмне забезпечення Graphite, ймовірно, охопило більше людей, навіть якщо на їхніх телефонах не було жодних доказів шпигунського програмного забезпечення Paragon. А щодо людей, яких ідентифікували як жертви, незрозуміло, чи були вони ціллю в попередніх випадках.

Citizen Lab також зазначила, що шпигунське програмне забезпечення Graphite від Paragon націлено на конкретні програми на телефоні та компрометує їх — без необхідності будь-якої взаємодії з метою — замість того, щоб компрометувати ширшу операційну систему та дані пристрою. У випадку Беппе Каччіа, однієї з жертв в Італії , який працює в неурядовій організації, яка допомагає мігрантам, Citizen Lab знайшла докази того, що шпигунське програмне забезпечення заразило дві інші програми на його пристрої Android, не називаючи програм.

Націлювання на конкретні програми, а не на операційну систему пристрою, зазначає Citizen Lab, може ускладнити пошук доказів злому судовим слідчим, але може дати розробникам додатків більше інформації про шпигунські операції. 

«Шпигунське програмне забезпечення Paragon виявити складніше, ніж конкурентів, таких як Pegasus [NSO Group], але, зрештою, не існує «ідеальної» атаки шпигунського програмного забезпечення», — сказав TechCrunch Білл Марчак, старший науковий співробітник Citizen Lab. «

Можливо, підказки знаходяться в інших місцях, ніж ми звикли, але завдяки співпраці та обміну інформацією навіть найважчі випадки розплутуються». 

Citizen Lab також повідомила, що проаналізувала iPhone Девіда Ямбіо, який тісно співпрацює з Каччі та іншими співробітниками його НУО. Ямбіо отримав сповіщення від Apple про те, що його телефон став мішенню шпигунського програмного забезпечення найманців, але дослідники не змогли знайти доказів того, що він був мішенню шпигунського ПЗ Paragon. 

Apple не відповіла на запит про коментар.