The Pegasus Files: How NSO Spyware Reached 50,000 Phones
Във вторник, 23 април 2018 г. Международен летище Дубай.
51-годишна жена на име Ханан Елатр е задържана от властите на ОАЕ. Тя е стюардеса - старши надзорник в голяма международна авиокомпания.
Телефоните й са на бюро, някъде извън видимостта й, в собствеността на охранителните служители на ОАЕ.
В 10:14 сутринта, неизвестният служител на ОАЕ взема един от нейните Android телефони. Официалният отваря браузъра Chrome. Официалният пише URL в адресната лента - преминава през малките клавиши, прави две печатни грешки по пътя, след което натиска "прегърни".
Адресът е връзка за инфекция на Pegasus.Уебсайтът е построен специално за акаунта на правителството на ОАЕ в NSO Group.Той съществува с една цел: да инсталира безсмислено софтуер за наблюдение на телефона на целта.
През следващите четиридесет секунди телефонът изпраща двадесет и седем доклада за състоянието на оператора на ОАЕ, като актуализира напредъка на инсталирането на шпионското софтуер.
Общият процес на компромис отнема седемдесет и две секунди.
Ханан Елатър не знае, че се случва нищо от това.
Тя няма да научи какво е направено с телефона й за още три години.
Шест месеца по-късно, на 2 октомври 2018 г., съпругът на Ханан Елатр влиза в саудитското консулство в Истанбул, за да вземе документите, от които се нуждае за предстоящата си сватба.
Той никога не излиза.
Петнадесетмачленен отряд от саудитски агенти, няколко от които са тесно свързани с наследния принц Мохамед бин Салман, са полетили в Истанбул с два частни самолета тази сутрин.Те го задушават в консулството.Те разкъсват тялото му.Те се отърват от останките по начин, който никога не е бил открит публично.
Турското правителство, което тайно е подслушвало саудитското консулство, записва аудио на убийството.
Този случай не е за самото убийство, но е бил документиран и другаде.
Този дело е за това, което е било направено през месеците *преди* влизането му в консулството.За софтуер, разработен от малка израелска компания.За хората, които го са изградили.За правителствата, които са го закупили.И за институционалния механизъм, който повече от седем години по-късно все още не е получил пълна отговорност за това, което е бил използван за да направи.
Софтуерът се нарича Pegasus.
Компанията се нарича NSO Group.
Това е досието на случая.
NSO Group е основана през 2010 г. от трима израелци: Niv Karmi, Shalev Hulio, Omri Lavie.
И тримата били възпитаници на израелските отбранителни сили.Карми е служил както в военната разузнавателна служба, така и в Мосад.Хулио е служил като майор в подразделението за търсене и спасяване на ИДФ.Институционалното потекло, което е било най-важно, се е развивало през подразделение 8200 - елитното разузнавателно подразделение за сигнали на ИДФ, често описвано като най-превъзходната агенция за техническа разузнаване в света.
Единицата 8200 е израелският аналог на Агенцията за национална сигурност на САЩ. Нейните възпитаници - различно оценени на десетки хиляди ветерани до 2026 г. - са основали значителна част от израелската киберсигурност. Изследователският и разработчическият екип на NSO Group е описан в множество източници като почти изцяло съставен от бивш персонал на Единицата 8200. Най-елитната програма за обучение на Единицата 8200, наречена ARAM, приема само няколко рекрута и ги обучава в програмиране на напреднали кибер оръжия. Най-ценните служители на NSO Group са, според съобщенията, завършили ARAM и подобни елитни програми.
Историята за общественото произход на основателите, основно разказана от Хулио в многобройни интервюта, се развива по следния начин.
В края на 2000-те години Хулио и Лави основаха компания, наречена CommuniTake, която предоставя дистанционно разрешаване на проблеми с телефоните на операторите на мобилни телефони - софтуер, който позволява на техниците на поддръжка да имат дистанционен достъп до и да управляват телефоните на клиентите, за да диагностицират проблемите.
Около 2009 г. Хулио каза в по-късните интервюта, че една неназована европейска разузнавателна агенция се е свързала с тях.Агенцията имаше проблем.Конкрипцията прави невъзможно четенето на съобщения от цели, които са били законно упълномощени да наблюдават.Агенцията е заинтересована от технологията за дистанционен достъп на CommuniTake.Може ли да бъде използвана отново?
Хюлио и Лави разпознаха възможността.Те доведоха Нив Карми за неговия опит в Мосад и военната разузнавателна служба.В 2010 г. основаха NSO Group.Продуктът, който разработиха, те нарекоха Pegasus.
Цената на Pegasus, документирана чрез съдебни документи в последващите спорове, е приблизително следната: петстотин хиляди долара в таксите за настройка. Шестстотин и петдесет хиляди долара за десет едновременни целеви устройства за iOS, подобни цени за Android. Неограничените целеви нива до приблизително четиридесет милиона долара за разгръщане на пълния спектър на правителствените устройства.
Тези цени поставят Pegasus в институционален обхват на всяка национална разузнавателна служба.Те обясняват защо клиентската база е била изключително правителствени.
Изявеният от компанията позиция, повтарящ се във всеки отговор на пресата, е, че Pegasus е бил продаден само на проверени правителствени клиенти за използване в борбата с тероризма и тежката престъпност.
Действителното поведение на клиентите, документирано от независими изследователи през следващото десетилетие, беше различно.
От около 2016 г. начало на изследването на група от Университета в Торонто, наречена Citizen Lab, започна да документира отделни случаи на разгръщане на Pegasus.Главен следовател беше изследовател на име Бил Марчак.Единственият му метод беше криминалист: когато активисти, журналисти или дисиденти съобщавали за аномално поведение по телефона, Марчак извършвал технически анализ на техните устройства, търсейки показатели за присъствието на Pegasus.
Резултатите от всеки случай, събрани в продължение на пет години, установяват модел.
Мексиканското правителство беше един от първите клиенти на NSO Group, като подписа договор за двадесет милиона долара през 2012 г. Citizen Lab идентифицира разпределенията на Pegasus срещу мексикански журналисти, които са докладвали за правителствена корупция, включително репортери, работещи по изчезването на четиридесет и три студенти в Игуала през 2014 г. Един от целите на мексиканските журналисти, Cecilio Pineda Birto, е бил убит от въоръжени хора на разпрока на коли през март 2017 г. - седмици след като телефонният му номер е бил добавен към списъка на целите на Pegasus Mexico.
Документирани са използването срещу активисти за правата на жените, включително Лужаин ал-Хатлул, която е била отвлечена през 2018 г. и е връщана в Саудитска Арабия за арест и изтезания.
Пегас се разгръща срещу журналисти, активисти за правата на човека и дисиденти, нарушавайки всяка разумна дефиниция на тероризъм или тежко престъпление.
Саудитска Арабия е най-пролифичният потребител, има случаи, които се разпространяват през годините.
До лятото на 2018 г. Citizen Lab е документирала компромиси в непосредствения кръг на Кашоги.
Омар Абдулазиз, саудитски дисидент-блогер, живеещ в изгнание в Канада, беше първият сътрудник на Хашоги в проекти на саудитската опозиция.Двете мъже са използвали WhatsApp, за да обсъдят плановете си за противодействие на пропагандата на саудитските държавни социални медии.Телефонът на Абдулазиз е заразен с Pegasus през лятото на 2018 г. Инфекцията е била приписана от Citizen Lab, с голяма увереност, на оператор, свързан с правителството и службите за сигурност на Саудитска Арабия.
Докладът на Citizen Lab за Абдулазиз беше публикуван на 1 октомври 2018 г. Един ден по-късно Кашоги влезе в саудитското консулство в Истанбул.
За около четири месеца преди убийството на Хашоги, саудитското правителство имало достъп в реално време до всяко съобщение в WhatsApp, разменено между него и най-близкия му сътрудник.
Криминализният анализ на телефона на Хатице Цегиз, извършен като част от последващото разследване на проекта Пегас, потвърди, че и нейният телефон е бил компрометиран от Пегас през дните около убийството.
В криминалистическия анализ на телефона на Ханан Елатр, проведен от Бил Марчак и публикуван от "Вашингтон пост" през декември 2021 г., се установи, че седемдесет и две секунди инсталиране, което се е случило в летището на Дубай шест месеца преди убийството, е било разгръщане на властите на ОАЕ на Pegasus, инсталирано ръчно по време на задържането й.
Отговорът на NSO Group на доказателствата за ролята на Пегас в случая с Хашоги беше последователен.
През март 2019 г. изпълнителният директор на NSO Group Шалив Хулио се появи в телевизионната програма 60 Minutes в САЩ. Интервюиращият беше Лесли Стал. Хулио я погледна в очите. Той каза, че NSO е проверил своите записи и потвърди, че NSO технологията не е била използвана срещу Хашоги или неговите роднини. Той каза, че компанията няма нищо общо с това, което той нарича ужасяващо убийство.
През юли 2021 г., когато разследването на Pegasus Project бе публикувано, Хулио повтори отричането.Той каза на израелското технологично издание Calcalist, че NSO е проверил и че Hanan Elatr не е била мишена.Той каза: няма следи от Pegasus на телефона й, защото тя не е била мишена.
През декември 2021 г. "Вашингтон пост" публикува криминалистическия анализ на Марцак, показващ, че телефонът на Елатр е бил нацелен ръчно от оператор от ОАЕ. Адвокатът на NSO Томас Клеър отговори, че докладването на "Пост" е дълбоко грешно и че техническите подробности не са имали никакъв смисъл от техническа гледна точка.
Анализът на Марчак документира специфичния последователност от писалки, URL-то, създадено за Pegasus инстанцията на клиента на ОАЕ, грешките, които операторът на ОАЕ е направил на клавиатурата на телефона, и двадесет и седемте съобщения за състоянието, които телефонът е изпратил обратно на сървъра по време на инсталирането.
Противоположният модел на отричане в досието по случая с Хашоги е доказано, че не е в съответствие с съдебните доказателства.
През 2020 г. списък с около петдесет хиляди телефонни номера е изтечен на парижката неправителствена организация за журналистика "Запретените истории" и на Амнести Интернешънъл.
Смята се, че списъкът е списък на цели, избрани от правителствените клиенти на NSO Group.Той обхваща поне петдесет страни.Той е датиран от приблизително 2016 г. Източникът на утечката не е публично идентифициран.
Запретните истории, основани от журналиста Лоран Ричард, исторически се съсредоточават върху продължаването на работата на убитите журналисти.Проектът Дафни, след убийството на малтийската журналистка Дафни Каруана Гализия през 2017 г.Проектът Картел, след убийствата, свързани с мексиканските наркокартели.Портината беше същата: продължаване на работата, която организирани актьори са се опитали да заглушат.
Това разследване стана ПЕГАСУСКИЙ проект.
Забраняваните истории поканиха шестнадесет други медийни организации да се присъединят. *Вашингтон пост* *Гардиън* *Ле Монд* и *Радио Франция* *Die Zeit* и *Сюддеучче Zeitung* FRONTLINE PBS. *Хааретс* - индийски, мексикански, унгарски, белгийски, сирийски и други регионални медии. Над осемдесет журналисти са работили по проекта.Техническият анализ е проведен от лабораторията за сигурност на Амнести Интернешънъл.
Отчитането на проекта "Пегас" започна публикуването на 18 юли 2021 г.
Резултатите са конкретни.В изтеклата lista са включени поне сто осемдесет журналисти от двадесет страни, работещи за агенции, включително Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal* и Voice of America.Поне десет правителства изглежда са представили имена на списъка с целеви страни: Саудитска Арабия. ОАЕ. Бахрейн. Мароко. Мексико. Унгария. Индия. Руанда. Азербайджан. Казахстан.
В число на целите са били защитници на правата на човека, адвокати, опозиционни политици, бизнес лидери, дипломати, профсъюзни лидери и няколко държавни ръководители.
В съдебния анализ на шестдесет и седем от телефонните устройства, които са били насочени към тях, са открити тридесет и седем с следи от активност на Пегас, двадесет и три потвърдени инфекции, четиринадесет опита за инфекция.
Назованите цели включват Хадиджа Исмайлова, награден азербайджански журналист по разследване. Сзаболс Пани, унгарски журналист по разследване, чийто телефон е бил компрометиран за седем месеца през 2019 г. Сиддарт Варadarajan, основател на индийския новинарски сайт The Wire. Омар Ради, марокански журналист по разследване, след това арестуван. Ананд Телтъмбде, индийски защитник на човешките права, след това арестуван. Едви Плен, основател на френския разследващ канал Mediapart. Хатице Ценгиз. Ханан Елатра. Луджаин ал-Хатлул. Принцеса Латифа, дъщеря на владетелят на Дубай.
Около четиридесет индийски журналисти са били в списъка, което предполага, че индийското правителство използва Pegasus въпреки официалните отричания.
Президентът на Франция Еманюел Макрон.
Президентът на Франция е бил в списък с телефонни номера, които неидентифициран клиент на NSO е избрал за наблюдение.
Институционалният отговор беше значителен.
През ноември 2021 г. администрацията на Байдън постави NSO Group в списъка на предприятията на Министерството на търговията на САЩ, което сериозно ограничи достъпът на NSO до американската технология и бизнес отношения с САЩ.Назначението беше широко тълкувано като определяне на националната сигурност - правителството на САЩ беше стигнало до извода, че дейностите на NSO Group са в противоречие с интересите на американската външна политика.
Европейският парламент създаде Комитет за разследване на Pegasus и еквивалентния шпионски софтуер, за да разследва използването на търговски технологии за наблюдение от страна на държавите-членки на ЕС.В окончателния доклад на комитета през 2023 г. се документират разгръщането на Pegasus от унгарските, полските, испанските и другите правителства на ЕС срещу опозиционни политици и журналисти.
Министерството на отбраната на Израел затяга ограниченията за износа, като намалява списъка на страните, в които израелските компании за наблюдение могат да продават, от сто две до тридесет и седем.
Испанската разузнавателна агенция CNI видя оставката на нейния директор Паз Естебан след скандала с Каталангате, в който десетки каталонски лидери за независимост бяха били насочени срещу Пегас.
Мексико започна разследвания и съдебни действия срещу бивши служители, които са закупили Pegasus.
Най-последителната съдебна искна процедура е подадена от WhatsApp.
През май 2019 г. WhatsApp идентифицира уязвимост в приложението си, която NSO използва, за да предостави Pegasus на над четирите стотици потребители на WhatsApp по целия свят - включително журналисти, активисти за правата на човека и политически дисиденти.
Делото отне пет години.
Группа на NSO се опита да защити множество защити. Чуждестранна суверенна имунитет, с основание, че NSO трябва да бъде третиран като агент на чуждестранно правителство. Районният съд го отхвърли през 2020 г. Деветият район потвърди. Върховният съд на САЩ отказа да разгледа жалбата на NSO през януари 2023 г. Чуждестранноправните ограничения за откриване, с основание, че израелското законодателство не позволява на NSO да произвежда източник код. Съдия Филис Хамилтън постанови през ноември 2023 г. че чуждестранните претенции не оправдават задълженията на NSO за откриване. Лична юрисдикция. Документи, публикувани през ноември 2024 г. разкриха, че NSO използва американска технология, включително AWS инфраструктура, за доставка на полезни товари на Pegasus. Съдът заключи, че NSO е под юрисдикция на САЩ.
На двадесети декември 2024 г. съдия Хамилтън издаде резюме, в което установява, че NSO Group носи отговорност за всички искове.Това е първото решение на съда в САЩ, което установява отговорността на NSO Group за поведение, свързано с Pegasus.
На 6 май 2025 г. журито присъди на WhatsApp четириста и четиридесет и четири хиляди долара законни обезщетения и сто шестьдесет и седем милиона долара наказателни обезщетения.
Общо: приблизително сто и шестдесет и осем милиона долара.
В едно параллелно дело Apple подаде иск срещу NSO Group през ноември 2021 г. През септември 2024 г. Apple доброволно отхвърли делото си. Разсъждаването, изложено в съдебните документи: продължаването на съдебния процес ще изисква разкриване на подробности за сигурността на Apple, които биха могли да възпрепятстват усилията му за борба с шпионските програми.
Оттеглянето на Apple беше широко тълкувано като стратегическа загуба - и като доказателство за успеха на NSO Group в използването на откритието като оръжие срещу жалбоподателите, чиито съдебни спорове биха могли да разкрият вътрешните операции по сигурността.
Pegasus е най-документираният търговски шпионски продукт.
До 2026 г. в търговската шпионска индустрия се включва поне Predator, разработен от Консорциума на Intellexa - мултинационална мрежа от компании със седалище в Гърция, Кипър, Унгария, Северна Македония и Израел, основана от бившия служител на разузнаването на IDF Тал Дилиан.
Candiru, израелска компания, специализирана в експлоатация на Windows, е добавена към списъка на американските търговски организации заедно с NSO Group през ноември 2021 г.
QuaDream, основана от бивши служители на NSO, разработи REIGN, продукт, подобен на Pegasus.Официално спря през април 2023 г. след като Citizen Lab и Microsoft Threat Intelligence докладваха.
Hacking Team, италианският доставчик, е бил взет и разкрит през юли 2015 г. от анонимен хакер на име Финеас Фишър.
Гамма Груп, англо-германските производители на FinFisher, които са били нарушени от Финеас Фишер през 2014 г., са подали молба за несъстоятелност през 2022 г. в рамките на германско разследване.
Пост-пегасското поколение търговски доставчици на шпионски софтуер продължава да работи, а пазарът, който NSO Group е създала, не е изчезнал, а е разкъсан в повече доставчици, повече юрисдикции и по-сложни корпоративни структури, предназначени да устойчиви по-добре на механизмите за отчетност.
През октомври 2025 г. NSO Group потвърди, че група американски инвеститори, водени от продуцентът на филмите Робърт Симонс, са придобили контролен дял в компанията.Индекциите от прехода на собствеността - дали това означава регулаторна рехабилитация, пълен преход към американските операции или някаква друга структурна промяна - са нерешенни от април 2026 г.
Институционалната реакция, реална и съществена, нанесе съществена вреда на компанията.
Fragment Zero проследи един принцип в всички дела от последните няколко месеца.
Случаят Stuxnet, основен за каналната дуга, показа, че държавните участници могат да изградят кибер оръжия, способни за физическо унищожение в промишлен мащаб.Доктрината - мълчание, търпение, асиметрична способност, упражнявана, когато стратегическият калкулс го подкрепя - беше доказана за първи път от САЩ и Израел срещу иранската ядрена програма между 2006 и 2010 г.
Случаят с Пегас показва следващата стъпка.
Технологията, разработена от възпитаниците на блок 8200 - по същество същата институционална способност, която е изградила Stuxnet - е произведена, ценена и продадена на правителства, които нямат технически капацитет да разработят такива инструменти сами.
Това е търговската тъмна гора.Доктрината на Лю Цисинь - разкриването като екзистенциална опасност, асиметрична способност, упражнявана, когато стратегическият калкулс я подкрепя - се прилага не само за държави, наблюдаващи други държави, но и за търговски организации, които продават асиметричната способност на всеки, който може да си я позволи.
Случаят с Хашоги е най-ясното еднократно илюстрация.
Кашоги не можеше да комуникира лично с най-близкия си сътрудник.Вярваше, че може.Използвал е криптирани приложения от край до край.Използвал е най-добрата практика за оперативна сигурност.Нищо не е било важно, защото телефонът на неговия сътрудник беше компрометиран на ниво операционна система от софтуер, който беше продаден на саудитското правителство от израелска компания, основана от възпитаници на Unit 8200.
Информационната асиметрия беше пълна, стратегическото предимство се упражняваше, а последиците се разпространявали независимо от последващите решения на Хашоги.
В езика на предишните дела на Фрагмент Зеру: той не можеше да не разкрие това, което вече беше разкрил.
Институционалният отговор - списъкът на търговските субекти на САЩ, решението на WhatsApp от сто шестдесет и осем милиона долара, комитета на ЕС за PEGA, ограниченията върху износа на израелското министерство на отбраната - е реален.
Уврежданията на тези цели - затвор, изгнание, убийство, развод, професионално унищожение, семейна раздяла - вече са се случили.
Ханан Елатр, която е била старши надзорник на международни авиокомпании, работила в ресторант с ниско заплащане в района на Вашингтон от 2023 г. до момента на докладване.Тя все още се страхуваше за безопасността си.Тя живеела в скривалище в района на Вашингтон.Той е бил издаден на работно разрешение само наскоро.
Телото на Кашоги не е било намерено.
Прокуратурата на саудитското правителство срещу единадесет саудитци, обвинявани в участие в убийството, доведе до три оправдания, пет смъртни присъди и три затворнически присъди през декември 2019 г. Двама от освободените обвиняеми бяха високопоставени саудитски служители по сигурността.
Документът не се затваря.
Третият, четвъртият и петият случай вероятно са в процес на развитие в момента - изградени от основатели, които се учат от регулаторните грешки на NSO, структурират корпоративните субекти, за да устоят по-добре на отхвърлянето на суверенния имунитет, ценовизират своите продукти, за да избегнат праговете на Entity List, намират клиенти в юрисдикции, където израелските, американските и европейските регулатори имат по-малко влияние.
Способността, която е изградила Stuxnet, е била държавна, способността, която е изградила Pegasus, е била търговска, а способността, която е изградила следващата продуктова линия, ще бъде каквото и да прави печелившата регулаторната среда на момента.
През месеците преди убийството си Джамал Хашоги вярваше, че комуникациите му са частни, но правителството му ги чете.Технологията, която позволява това, е била изградена от ветерани на разузнавателните служби на една страна и продадена на правителството на друга страна за около четиридесет милиона долара за всяко разположение на пълния спектър.
Технологията продължава да работи, пазарът продължава да расте, делото не се затваря.
Fragment Zero ще проследи файла на случая.
Делото не се затваря, а чака.
