Журналист получил подозрительное сообщение на арабском, но не прошёл по ссылке, а отнёс телефон исследователям.
Редактор New York Times Бен Хаббард (Ben Hubbard), освещающий события в Саудовской Аравии, в 2018 году получил фишинговое сообщение, но не стал проходить по ссылке, а отправил телефон экспертам по безопасности. Те пришли к выводу, что его пытались взломать хакеры из Саудовской Аравии, которые атаковали ещё четырёх саудовских диссидентов.
Ссылка из подозрительного сообщения вела на несуществующий сайт
Хаббард получил сообщение в iMessages на арабском языке с текстом: «Бен Хаббард и история королевской семьи Саудовской Аравии» и ссылкой на сайт arabnews365.com. Последние пять лет журналист активно писал про Саудовскую Аравию и королевскую семью. Он написал книгу про принца Мухаммеда ибн Салман Аль Сауда, который пришёл к власти в 2015 году.
Сначала сообщение привлекло внимание Хаббарда, но журналист не стал проходить по ссылке. Он помнил, что недавно телефон Джеффа Безоса предположительно взломали после того, как он получил сообщение в WhatsApp от коронованного принца Саудовскую Аравии.
Хаббард попробовал найти статью через поисковик, но не смог. Тогда он спросил редактора реального сайта arabnews.com о том, используют ли они домен arabnews365.com, на что тот ответил: «Нет, это не мы».
Тогда журналист решил передать телефон специалистам по технической безопасности. Первая компания не смогла определить, содержит ли сообщение ПО для взлома, но отметила, что ссылка выглядит подозрительной и посоветовала по ней не проходить.
Эксперты по безопасности обвинили во взломе хакеров, связанных с Саудовской Аравией
Несколько месяцев спустя Хаббард наткнулся на отчёт канадской исследовательской лаборатории «Citizen Lab» о саудовском диссиденте Омаре Абдулазизе, телефон которого взломали с помощью похожего сообщения. Ему тоже отправили ссылку на сайт arabnews365.com.
Абдулазиз, который критиковал правительство страны в соцсетях, получил политическое убежище в Канаде. Он дружил с журналистом The Washington Post Джамалом Хашукджи, которого убили в генконсульстве Саудовской Аравии в Стамбуле в 2018 году. ЦРУ считает причастным к убийству принца страны, но тот это отрицает.
Хаббард обратился к исследователям Citizen Lab, которые пришли к выводу, что его телефон не взломали. Но после изучения сообщение со ссылкой на арабский сайт они решили, что журналиста пытались взломать с помощью ПО израильской компании NSO Group.
Имеющие доступ к технологиям NSO Group исследователи составили список доменов, которые использовали хакеры, чтобы взламывать пользователей, связанных с Саудовской Аравией. Одним из доменов оказался arabnews365.com. «Мы наверняка знаем, что этот сайт — часть инфраструктуры, связанной с NSO Group», — заявил директор Citizen Lab Рон Дайберт (Ron Deibert).
Определить, кто именно отправил сообщение с вредоносным ПО, оказалось сложнее: «Они не оставляют визитки, когда занимаются такими вещами. Они намеренно пытаются избежать обнаружения». Исследователи решили, что хакер связан с Саудовской Аравией, поскольку в основном использовал домены на арабском языке.
Эксперты по безопасности выяснили, что за последние несколько лет 36 хакеров использовали технологии для взлома NSO Group на сотнях людей из 45 стран. Они подтвердили, что хакер, который пытался взломать Хаббарда, атаковал ещё четырех человек в мае-июле 2018 года: главу саудовской правозащитной организации Яхью Асири (Yahya Asiri); исследователя Amnesty International; правозащитника и YouTube-блогера Ганема Аль-Досари (Ghanem al-Masarir) и Омара Абдулазиз. Хаббард стал пятым в списке.
Если один хакер пытался взломать всех этих людей, то что у них есть общего? Они все связаны с Саудовской Аравией. И больше ничего.
Саудовская Аравия и NSO Group отказались брать ответственность за влом
Представитель посольства Саудовской Аравии в Вашингтоне отказался комментировать ситуацию Хаббарду. В NSO Group заявили, что нельзя предполагать, что с помощью их технологии пытались взломать телефон Хаббарда, поскольку другие компании предлагают похожее ПО.
Мы выдаём технологию по лицензии правоохранительным органам и разведывательным службам по строгим протоколам только для целей предупреждения и расследования преступлений.
Если предполагаемое злоупотребление нашей технологией действительно было, то мы расследуем ситуацию и прекратим поставлять технологию злоумышленникам.
Специальный докладчик ООН Агнес Калламар (Agnes Callamard) отметила, что технологии для взлома стали такими мощными, что их необходимо регулировать на государственном уровне: «Мы столкнулись с невероятно эффективной технологией, которую очень сложно отследить и которая никак не регулируется. Сложно поверить, что у нас есть ПО, которое мы вообще не можем контролировать».
Калламар отметила, что даже в деле Безоса эксперты несколько месяцев исследовали, что произошло: «Это буквально значит, что мы все крайне уязвимы».
