The Pegasus Files: How NSO Spyware Reached 50,000 Phones

Двадцать второй апреля 2018 года. Международный аэропорт Дубая.

51-летняя женщина по имени Ханан Элатр находится в заключении властей Объединенных Арабских Эмиратов. Она является стюардессами - старшим руководителем крупной международной авиакомпании.

Ее телефоны сидят на столе, где-то вне ее зрения, в распоряжении сотрудников безопасности ОАЭ.

В 10:14 утра неизвестный чиновник ОАЭ поднимает один из своих телефонов Android. Официальный открывает браузер Chrome. Официальный вводит URL в адресную панель - прогуливается над маленькими клавишами, совершает две ошибки по пути, а затем нажимает на "поехать".

Адрес - это ссылка на инфекцию Pegasus.Сейс-сайт был создан специально для учетной записи правительства ОАЭ NSO Group.Он существует с одной целью: для тихого установки программного обеспечения для слежения на телефон целевой группы.

За следующие сорок секунд телефон отправляет двадцать семь отчетов о состоянии на сервер оператора ОАЭ, обновляя ход установки шпионского программного обеспечения.

Общий процесс компромисса занимает 72 секунды.

Ханан Элатр не знает, что происходит, она находится в отдельной комнате, где ее допрашивают о своем муже.

Она не узнает, что с ее телефоном сделали, еще три года.

Через шесть месяцев, 2 октября 2018 года, муж Ханана Элатра вошел в саудовское консульство в Стамбуле, чтобы получить документы, необходимые ему на предстоящую свадьбу.

Он никогда не выходит.

Пятнадцати человек состоят из саудовских агентов, несколько из которых тесно связаны с наследным принцем Мохаммедом бин Салманом, и в тот же день утром они прилетели в Стамбул на двух частных самолетах.

Правительство Турции, которое тайно подслушивало саудовское консульство, записывает аудио убийства.

В этом деле дело не касается самого убийства, это было задокументировано в других местах.

Этот деловой файл рассказывает о том, что было сделано в месяцы *до* его въезда в консульство. О программном обеспечении, разработанном небольшой израильской компанией. О людях, которые его построили. О правительствах, которые его купили. И о институциональном механизме, который, более чем через семь лет, до сих пор не получил полного ответа за то, что он использовался для этого.

Программное обеспечение называется Pegasus.

Компания называется NSO Group.

Это дело деловой файл.

NSO Group была основана в 2010 году тремя израильтянами: Нивом Карми, Шалевом Хулио, Омри Лави.

Все трое были выпускниками Вооруженных сил Израиля.Карми служил в военной разведке и Моссаде.Хулио служил майором в подразделении поисково-спасательной службы ВС Израиля.Самое важное институциональное происхождение проходило через подразделение 8200 - элитное подразделение разведки сигналов ВС Израиля, часто описываемое как ведущее техническое разведывательное агентство в мире.

Ее выпускники - по оценкам десятков тысяч ветеранов к 2026 году - создали значительную часть израильской индустрии кибербезопасности. Исследовательская и разработчическая команда NSO Group описывается в нескольких источниках как состоящая почти полностью из бывших сотрудников подразделения 8200. Наиболее элитная программа обучения подразделения 8200, называемая ARAM, принимает только несколько рекрутов и обучает их программированию в области передовых киберружей.

История общественного происхождения основателей, рассказанная в первую очередь Хулио в многочисленных интервью, идет следующим образом.

В конце 2000-х годов Хюлио и Лави основали компанию под названием CommuniTake, которая предоставляла удаленное решение проблем с телефонами для операторов сотовых телефонов - программное обеспечение, позволяющее техникам поддержки удаленно получать доступ к телефонам клиентов и управлять ими для диагностики проблем.

Около 2009 года Хулио сказал, что в последующих интервью с ними связалось неименное европейское разведывательное агентство.У агентства была проблема.Конфигурация делала невозможным прочтение сообщений от целей, которые они были законно уполномочены следить за.Агенция интересовалась технологией дистанционного доступа CommuniTake.Может ли ее переназначить?

Хюлио и Лави узнали эту возможность, пригласили Нива Карми из-за его опыта в Моссаде и военной разведке, в 2010 году основали NSO Group, и назвали продукт Pegasus.

Цена Pegasus, задокументированная в судебных документах в последующих судебных разбирательствах, была примерно следующей: пятьсот тысяч долларов США в размере сборов за установку. Шестьсот пятьдесят тысяч долларов за десять одновременных целевых устройств для iOS, аналогичная цена для Android. Неограниченные целевые уровни до примерно сорока миллионов долларов для полноспектровых государственных развертываний.

Эти цены помещали Pegasus в пределах институционального досягаемости любой национальной разведывательной службы.

Отмечаемая позицией компании, повторяемая практически во всех ответных пресс-релизах, заключалась в том, что Pegasus продавался только проверенным правительственным клиентам для использования в борьбе с терроризмом и серьезной преступностью.

Действительное поведение клиентов, задокументированное независимыми исследователями в течение следующего десятилетия, было другим.

Начиная с примерно 2016 года исследовательская группа из Университета Торонто под названием Citizen Lab начала документировать отдельные случаи развертывания Pegasus.Главной исследователем был исследователь по имени Билл Марчак.Его методология была судебной: когда активисты, журналисты или диссиденты сообщали об аномальном поведении по телефону, Марчак проводил технический анализ своих устройств, ищущих показатели присутствия Pegasus.

Результаты каждого случая, накопленные за пять лет, установили модель.

Правительство Мексики было одним из первых клиентов NSO Group, подписав в 2012 году контракт на двадцать миллионов долларов.Citizen Lab впоследствии выявила развертывание Pegasus против мексиканских журналистов-расследователей, которые сообщали о коррупции в правительстве, включая журналистов, работавших над исчезновением сорока трех студентов в Игуале в 2014 году.

Задокументированное использование против активистов по правам женщин, включая Лужаин аль-Хатлул, которая была похищена в 2018 году и вернулась в Саудовскую Аравию для ареста и пыток.

Пегасус развертывался против журналистов, правозащитников и диссидентов, нарушая любое разумное определение терроризма или тяжкого преступления.

Саудовская Аравия - самый плодотворный пользователь, в которых есть случаи, которые протекают на протяжении многих лет.

К лету 2018 года Citizen Lab задокументировала компромиссы в непосредственном кругу Кашогги.

Омар Абдулазиз, саудовский диссидент-блогер, проживающий в изгнании в Канаде, был главным сотрудником Хашогги в проектах саудовской оппозиции.Они оба использовали WhatsApp для обсуждения планов противодействия пропаганде в социальных сетях саудовского государства.Телефон Абдулазиза был заражен Pegasus летом 2018 года.Инфекция была связана с правительством и службами безопасности Саудовской Аравии.

Отчет Citizen Lab о Абдулазизе был опубликован 1 октября 2018 года.

Примерно за четыре месяца до убийства Хашогги саудовское правительство имело доступ в режиме реального времени к каждому сообщению в WhatsApp, которое было обменено между ним и его ближайшим сотрудником.Хашогги считал, что его сообщения были частными.

Судный анализ телефона Хатице Ценгиз, проведенный в рамках последующего расследования проекта "Пегас", подтвердил, что ее телефон также был взломан Пegasus в те дни, которые шли вокруг убийства.

Судный анализ телефона Ханана Элатра, проведенный Биллом Марчака и опубликованный в декабре 2021 года в газете "Вашингтон пост", установил, что 72-й инсталляция, произошедшая в аэропорту Дубая за шесть месяцев до убийства, была установкой правительства ОАЭ Pegasus, которая была установлена вручную во время ее задержания.

Ответ группы NSO на доказательства роли Пегаса в деле Кашогги был последовательным.

В марте 2019 года генеральный директор NSO Group Шалев Хулио появился на американской телепередаче 60 минут.Интервьюер был Лесли Сталь.Хулио посмотрел ей в глаза.Он сказал, что NSO проверил свои записи и подтвердил, что технология NSO не использовалась на Кашогги или его родственников.Он сказал, что компания не имела ничего общего с тем, что он назвал ужасным убийством.

В июле 2021 года, когда было опубликовано расследование проекта "Пегасус", Хулио повторил отрицание.Он сказал израильскому технологическому изданию Calcalist, что NSO проверила и что Ханан Элатр не была целью.Он сказал: нет следов Пэгаса на ее телефоне, потому что она не была целью.

В декабре 2021 года "Вашингтон пост" опубликовал судебно-медицинский анализ Марчака, показывающий, что телефон Elatr был нацелен на ручную операцию оператора ОАЭ. Адвокат NSO Томас Клэр ответил, что отчетность "Поста" была глубоко ошибочной и что технические подробности не имели смысла с технической точки зрения. Он утверждал, что Pegasus устанавливается только удаленно, и что, следовательно, ручная установка, описанная в судебно-медицинском анализе, была невероятной.

Анализ Марчака зафиксировал конкретную последовательность напечатанных символов, URL-адрес, созданный для приложения Pegasus клиента ОАЭ, ошибки, допущенные оператором ОАЭ на клавиатуре телефона, и двадцать семь сообщений о состоянии, которое телефон отправил обратно на сервер во время установки.

В документальном материале было доказано, что отрицательный характер по всем документам по делу Хашогги не соответствует судебным доказательствам.

В 2020 году список из примерно пятидесяти тысяч телефонных номеров был продан парижской некоммерческой организации по журналистике "Запрещенные истории" и Amnesty International.

Считалось, что список составлял список целей, выбранных правительственными клиентами NSO Group.Он охватывал по меньшей мере пятьдесят стран.Он датируется приблизительно 2016 годом.Основ утечки не был публично определен.

Запретные истории, основанные журналистом Лоурентом Ричардом, исторически сосредоточены на продолжении работы убитых журналистов.Проект Дафни, после убийства мальтийской журналистки Дафны Каруаны Гализии в 2017 году.Проект Картель, после убийств, связанных с мексиканскими наркокартелями.Проект был тем же: продолжение работы, которую организованные актеры пытались заставить замолчать.

Это расследование стало проектом "Пегас".

Запрещенные истории пригласили еще шестнадцать организаций СМИ присоединиться к проекту. *The Washington Post*. *The Guardian*. *Le Monde* и *Radio France*. *Die Zeit* и *Süddeutsche Zeitung*. FRONTLINE PBS. *Haaretz*. индийские, мексиканские, венгерские, бельгийские, сирийские и другие региональные СМИ. Над проектом работали более восьмидесяти журналистов.Технический анализ проводился в лаборатории безопасности Amnesty International.

Отчеты о проекте Pegasus начали публиковаться 18 июля 2021 года.

В результате выводов были конкретные результаты.В список, опубликованный в результате утечки, входило не менее ста восьмидесяти журналистов из двадцати стран, работающих для таких агентств, как Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal*, и Voice of America.По крайней мере десять правительств, по-видимому, представили имена в целевой список. Саудовская Аравия. ОАЭ. Бахрейн. Марокко. Мексика. Венгрия. Индия. Руанда. Азербайджан. Казахстан.

В число целей входили правозащитники, адвокаты, оппозиционные политики, бизнес-лидеры, дипломаты, профсоюзные лидеры и несколько глав государств.

В судебном анализе шейхдесят семь из целевых телефонов было обнаружено тридцать семь с следами активности Пегаса.

Среди названых целей были и Хадиджа Исмайлова, награжденная азербайджанская журналистка-расследователь. Сзаболц Пани, венгерский журналист-расследователь, чьи телефоны были взломаны в течение семи месяцев в 2019 году. Сиддарт Варadarajan, основатель индийского новостного сайта The Wire. Омар Ради, марокканский журналист-расследователь, впоследствии заключен в тюрьму. Ананд Телтамбде, индийский защитник прав человека, впоследствии заключен в тюрьму. Эдви Пленел, основатель французского расследовательского издания Mediapart. Хатице Ценгиз. Ханан Элатра. Лужаин аль-Хатлоул. Принцесса Латифа, дочь правителя Дубая.

В списке находилось около сорока индийских журналистов, которые предполагали, что индийское правительство использует Pegasus, несмотря на официальные опровержения.

Президент Франции Эммануэль Макрон.

Президент Франции был в списке телефонных номеров, которые неизвестный клиент NSO выбрал для слежки.

Институциональный ответ был значительным.

В ноябре 2021 года администрация Байдена поместила NSO Group в Список субъектов Министерства торговли США, что сильно ограничило доступ NSO к американским технологиям и деловым отношениям.Это обозначение широко интерпретировалось как определение национальной безопасности - правительство США пришло к выводу, что деятельность NSO Group противоречит интересам внешней политики США.

Европейский парламент создал Комитет по расследованию Pegasus и эквивалентного шпионского программного обеспечения для расследования использования коммерческой технологии слежки государствами-членами ЕС.В заключительном докладе этого комитета, опубликованном в 2023 году, были задокументированы развертывания Pegasus венгерскими, польскими, испанскими и другими правительствами ЕС против оппозиционных политиков и журналистов.

Министерство обороны Израиля ужесточило экспортные ограничения, сократив список стран, в которые израильские компании по надзору могли продавать продукты, с двенадцати до тридцати семи.

Испанское разведывательное агентство CNI увидело отставку своего директора Паса Эстебана после скандала "Каталангате", в котором десятки лидеров независимости Каталонии были затронуты с помощью Pegasus.

Мексика начала расследование и преследование бывших чиновников, которые приобрели Pegasus.

Самое последствительное однократное судебное разбирательство было поданное WhatsApp.

В мае 2019 года WhatsApp выявил уязвимость в своем приложении, которую NSO использовала для доставки Pegasus более четырнадцатисот пользователям WhatsApp по всему миру - в том числе журналистам, правозащитникам и политическим диссидентам.

Дело заняло пять лет.

Группа NSO попыталась защитить себя в несколько раз. Иностранный суверенный иммунитет, на основании того, что NSO должен быть обращен в качестве агента иностранного правительства. Районный суд отклонил это в 2020 году. Девятый округ подтвердил. Верховный суд США отказался от рассмотрения апелляции NSO в январе 2023 года. Зарубежные ограничения на открытие, на основании того, что израильское законодательство мешало NSO создавать исходный код. Судья Филис Гамильтон постановила в ноябре 2023 года, что требования иностранного права не оправдывали обязательств NSO по открытию. Личная юрисдикция. Записи, выпущенные в ноябре 2024 года, показали, что NSO использовала технологию, основанную в США, включая инфраструктуру AWS, для доставки полезных нагрузок Pegasus. Суд пришел к выводу, что NSO подлежит юрисдикции США.

В декабре 2024 года судья Гамильтон вынес сводный приговор, признав NSO Group ответственной за все претензии.Это было первое решение суда США, устанавливающее ответственность NSO Group за поведение, связанное с Pegasus.

6 мая 2025 года жюри присудило WhatsApp четыреста сорок четыре тысячи долларов в качестве ущерба, а сто шестьдесят семь пунктов два пять миллионов долларов в качестве наказательного ущерба.

Общее: примерно сто шестьдесят восемь миллионов долларов.

В параллельном деле Apple подала иск против NSO Group в ноябре 2021 года. В сентябре 2024 года Apple добровольно отклонила свое дело. Разум, изложенный в судебных записях: продолжение судебного разбирательства потребует раскрытия деталей об инфраструктуре безопасности Apple, которая может препятствовать его усилиям по борьбе с шпионским программным обеспечением. Apple утверждала, что с 2021 года рынок коммерческого шпионского программного обеспечения существенно расширился, с участием нескольких конкурентов, и что даже полная победа в деле Apple не будет иметь системного воздействия, которое она имела бы три года назад.

Вывод Apple был широко интерпретирован как стратегический убыток - и как доказательство успеха NSO Group в использовании открытия в качестве оружия против истцов, судебные споры которых могут разоблачить операции внутренней безопасности.

Pegasus - самый документальный коммерческий шпионский продукт, но не единственный.

К 2026 году коммерческая шпионская индустрия включала по крайней мере Predator, разработанный Консорциумом Intellexa - многонациональную сеть компаний, базирующихся в Греции, Кипре, Венгрии, Северной Македонии и Израиле, основанную бывшим офицером разведки IDF Талом Дилианом.

Израильская компания Candiru, специализирующаяся на эксплуатации Windows, была добавлена в список коммерческих организаций США вместе с группой NSO Group в ноябре 2021 года.

QuaDream, основанная бывшими сотрудниками NSO, разработала REIGN, аналогичный продукту Pegasus.Официально закрылась в апреле 2023 года после отчетов Citizen Lab и Microsoft Threat Intelligence.

Hacking Team, итальянский провайдер, был взломан и раскрыт в июле 2015 года анонимным хакером по имени Финеас Фишер.

Группа Gamma, англо-германские производители FinFisher, нарушенные Финеасом Фишером в 2014 году, подали в банкротство в 2022 году на фоне немецкого уголовного расследования.

Послепегасовое поколение коммерческих поставщиков шпионского программ продолжало свою деятельность, рынок, который NSO Group возглавила, не исчез, он разделился на больше поставщиков, больше юрисдикций и более сложные корпоративные структуры, предназначенные для лучшего противостояния механизмам подотчетности.

В октябре 2025 года сама NSO Group подтвердила, что группа американских инвесторов во главе с кинопродюсером Робертом Симондом приобрела контрольный пакет в компании.Исследования перехода в собственность - указывают ли это на реабилитацию регулирующих органов, полный переход на американские операции или какие-то другие структурные изменения - остаются нерешенными по состоянию на апрель 2026 года.

Институциональная реакция, реальная и существенная, нанесла существенный ущерб компании.

Фрагмент нулевой отследил один принцип в файлах дел за последние несколько месяцев.

Дело Stuxnet, основополагающее устройство канального лука, показало, что государственные субъекты могут создавать киберружие, способное наносить физическое разрушение в промышленном масштабе.Доктрина - тишина, терпение, асимметричная способность, применяемая при стратегическом расчете в его пользу - была впервые доказана США и Израилем против иранской ядерной программы в период с 2006 по 2010 год.

Дело о Пегасе демонстрирует следующий шаг.

Технология, разработанная выпускниками подразделения 8200 - по существу та же институциональная способность, что и создание Stuxnet - была произведена, ценообразована и продана правительствам-клиентам, которые не имеют технических возможностей для самостоятельного разработки таких инструментов.

Доктрина Лю Цсинь - раскрытие как экзистенциальная опасность, асимметричная способность, осуществляемая, когда стратегический расчет выступает в ее пользу - применяется не только к государствам, наблюдающим за другими государствами, но и к коммерческим организациям, которые продают асимметричную способность тому, кто может позволить себе это позволить.

Дело Кашогги - это одно из самых ясных примеров.

Хашогги не мог общаться в частном порядке со своим ближайшим сотрудником. Он верил, что может. Он использовал шифрованные приложения от конца к концу. Он использовал лучшую практику операционной безопасности. Ничто не имело значения, потому что телефон его сотрудника был взломан на уровне операционной системы программным обеспечением, которое было продано саудовскому правительству израильской компанией, основанной выпускниками подразделения 8200.

Информационная асимметрия была полная, стратегическое преимущество было использовано, а последствия распространялись независимо от дальнейших решений Хашогги.

В языке предыдущих дел Фрагмента Зелё: он не мог не раскрыть то, что он уже раскрыл.

Институциональный ответ - список коммерческих организаций США, решение WhatsApp на сто шестьдесят восемь миллионов долларов, комитет ЕС по PEGA, ограничения на экспорт израильского министерства обороны - реальны.Отвечается.К моменту, когда эти механизмы были введены в действие, NSO Group уже развернула Pegasus против примерно пятидесяти тысяч задокументированных целей.

Ущерб для этих целей - заключение в тюрьму, изгнание, убийство, развод, профессиональное разрушение, семейное разделение - уже произошел.

Ханан Элатр, которая была старшим руководителем авиакомпании, летающей на международном уровне, работала в ресторане с низкой заработной платой в районе Вашингтона по состоянию на 2023 год. Она по-прежнему боялась за свою безопасность.

Тело Хашогги не было найдено.

Преследование Саудовской Аравией одиннадцати саудовцев, обвиняемых в причастности к убийству, привело к трем оправданиям, пяти смертным приговорам и трем тюремным заключениям в декабре 2019 года.Два из оправданных обвиняемых были высокопоставленными саудовскими должностными лицами по безопасности.Пять осужденных к смерти были участниками низкого уровня и были помилованы детьми Хашогги в мае 2020 года.

Досье не закрывается.

Третий, четвертый, пятый дела, вероятно, в настоящее время разрабатываются - построены основателями, учитывающимися в нормативных ошибках НСО, структурирующими корпоративные организации, чтобы лучше противостоять отказам от суверенного иммунитета, ценообразованием своих продуктов, чтобы избежать порогов Entity List, и находя клиентов в юрисдикциях, где израильские, американские и европейские регуляторы имеют меньшее влияние.

Возможность, которая построила Stuxnet, была государственная, возможность, которая построила Pegasus, была коммерческой, возможность, которая построит следующую линию продуктов, будет иметь значение для того, что будет выгодно в рамках нормативной среды в данный момент.

За несколько месяцев до убийства Джамал Хашогги считал, что его сообщения были частными, но его правительство все равно читало их.Технология, которая позволила это сделать, была построена ветеранами разведки одной страны и продана правительству другой страны примерно за сорок миллионов долларов за полный спектр развертывания.

Технология продолжает работать, рынок продолжает расти, дело не закрывается.

Fragment Zero будет отслеживать файл дела.

Файл дела не закрывается, он ждет.