Правительство Марокко долгое время отрицало использование израильской шпионской программы Pegasus для слежки за своими гражданами. Теперь бывший сотрудник марокканской разведки предоставляет новые доказательства того, что правительство действительно использовало это программное обеспечение, и объясняет, как именно оно применялось.
Израильская программа Pegasus — одно из самых мощных средств шпионского ПО в мире. Она может быть развернута для заражения смартфона без каких-либо действий со стороны владельца — не нужно обманом заставлять жертву перейти по вредоносной ссылке или загрузить скомпрометированный файл. Попав внутрь, программа видит все файлы, сообщения, фотографии и звонки, а также может использовать микрофон и камеру для тайной записи пользователя.
Израильская компания-разработчик, NSO Group, долгое время утверждала, что продажа, распространение и использование Pegasus жестко регулируются. Экспортные лицензии на Pegasus строго контролируются министерством обороны Израиля, и компания заявляет, что продает программу исключительно проверенным государственным клиентам для борьбы с терроризмом и серьезной преступностью.
Эта картина была разрушена в 2021 году публикацией расследования «Проект Pegasus», проведенного парижской некоммерческой организацией Forbidden Stories и Amnesty International при участии медиапартнеров, включая OCCRP. Это знаменательное расследование показало, что шпионское ПО систематически применялось по всему миру против журналистов, правозащитников и политиков.
Тогда Марокко было одним из правительств, которые, по данным журналистов-расследователей и анализу Лаборатории безопасности Amnesty International, использовали шпионское ПО против журналистов и активистов гражданского общества. В ответ марокканское правительство категорически отвергло эти обвинения и развернуло агрессивную кампанию по искам о клевете в европейских судах против нескольких СМИ. Французские и немецкие суды отклонили или прекратили эти дела.
Теперь сенсационные показания информатора, работавшего внутри марокканских спецслужб, добавляют новые доказательства к утверждению о том, что правительство стояло за слежкой за журналистом, проливая свет на внутреннее устройство государственных операций по наблюдению и на то, как использовался этот инструмент. Его рассказ был подтвержден документами и другими источниками из марокканской разведки.
По словам информатора, частная компания выступила посредником между марокканскими агентами и NSO Group, что позволило избежать создания бумажного следа, связывающего марокканское государство с NSO Group и Pegasus.
Второй источник из марокканской разведки, говоривший на условиях анонимности из-за опасений возмездия со стороны марокканских властей, подтвердил получение доступа к Pegasus через компанию-посредника и нацеливание на журналиста. Репортеры также подтвердили ключевые детали о посреднике, описанные информатором, включая сферу его деятельности, местонахождение и персонал.
Марокканские власти не ответили на запросы о комментариях.
После публикации «Проекта Pegasus» в июле 2021 года NSO Group была внесена США в черный список «за злонамеренную кибердеятельность». Министерство торговли заявило, что компания «разработала и поставляла шпионское ПО иностранным правительствам, которые использовали эти инструменты для злонамеренного нацеливания на государственных чиновников, журналистов, бизнесменов, активистов, ученых и сотрудников посольств».

Марокканский журналист Омар Ради у здания суда Айн-Себаа в Касабланке 5 марта 2020 года. Позже Amnesty International идентифицировала Ради как одного из журналистов, ставших мишенью шпионского ПО, связанного с NSO Group.
С тех пор в NSO Group произошли кадровые и организационные изменения. Ее соучредитель и генеральный директор Шалев Хулио покинул компанию в 2022 году, а в прошлом году группа инвесторов из США приобрела контрольный пакет акций израильской фирмы.
NSO Group не ответила на запрос о комментариях.
Тем временем новое расследование панамского медиапартнера OCCRP показывает, что соучредитель NSO Group Шалев Хулио путешествовал в Панаму в 2013 году по израильскому дипломатическому паспорту, что ставит под сомнение как утверждения самой компании, так и израильского правительства об отсутствии официальных связей. Хулио также сообщил панамским иммиграционным властям, что будет останавливаться в посольстве Израиля. Отвечая на вопросы журналистов, Хулио заявил: «Утверждения о дипломатическом паспорте и моей предполагаемой роли представителя Государства Израиль являются совершенно ложными и категорически отрицаются». Израильские чиновники не ответили на запросы о комментариях.
Показания марокканского информатора включают детали того, как марокканская разведка развертывала шпионское ПО, что вновь вызвало вопросы о том, какую степень контроля NSO Group сохраняет над своим программным обеспечением после продажи и видит ли NSO Group материалы, полученные ее клиентами.
«Остается много открытых вопросов о том, что именно NSO Group знает о том, как клиенты Pegasus используют системы Pegasus. Хотя ядро системы Pegasus физически находится под контролем конечного пользователя, NSO Group управляет и контролирует большую часть публичной серверной инфраструктуры и учетных записей, необходимых для работы системы», — рассказал OCCRP Доннча О’Кербайл, руководитель Лаборатории безопасности Amnesty International


Хотя О’Кербайл отметил, что нет публичных доказательств того, что NSO Group имеет прямой доступ к данным наблюдения, собранным клиентами Pegasus, компания «признает наличие возможности удаленного доступа для предоставления технической поддержки при условии одобрения клиента. По-видимому, эта функция предоставляет сотрудникам службы поддержки NSO Group глубокий доступ к серверам клиентов, что, вероятно, необходимо для удаленной отладки проблем и выполнения обновлений программного обеспечения».
Этьен Менье, цифровой технолог и исследователь безопасности из некоммерческой организации Human Rights Watch, изучавший Pegasus, сказал OCCRP, что NSO Group делала противоречивые заявления о том, к чему она имеет доступ.
«Они говорят, что у них нет доступа к... списку целевых лиц или данным, потому что их система гарантирует конфиденциальность... Но в то же время они несколько раз твердо гарантировали, что определенные номера или определенные лица не были объектами слежки, то есть NSO постоянно противоречит сама себе», — сказал Менье.
«Мы знаем, что системы Pegasus частично установлены у клиента и частично управляются NSO Group. NSO Group говорит нам, что гарантирует конфиденциальность того, что делают клиенты, но у нас нет способа это проверить», — добавил он.
О «Проекте Pegasus»
Mansouri сотрудничал с Forbidden Stories — парижской редакцией, миссия которой — продолжать работу журналистов, убитых, заключенных в тюрьму или подвергшихся угрозам за свою деятельность. Forbidden Stories организовала медиаколлаборацию с участием 39 журналистов из 14 изданий под названием «Проект Pegasus: Внутри марокканской шпионской машины».
Лаборатория безопасности Amnesty International предоставила техническую и криминалистическую поддержку этой медиаколлаборации.
Новое расследование основано на результатах «Проекта Pegasus» — расследования 2021 года с участием 17 медиаорганизаций, координируемого Forbidden Stories.
Совместное расследование 2021 года началось, когда Forbidden Stories и Amnesty International получили доступ к набору из более чем 50 000 утекших номеров телефонов, которые, как считалось, были списком целей для хакерского ПО NSO Group.
Журналисты идентифицировали сотни людей, владевших этими телефонами, и, подвергнув более 60 из них криминалистическому анализу, обнаружили десятки, показывающих признаки активности Pegasus.
Многие из номеров телефонов, идентифицированных как вероятные цели для потенциального заражения Pegasus, соответствовали лицам, представляющим интерес для правительств, включая как законные угрозы безопасности, например террористов, так и сотни независимых журналистов, активистов и политиков.


Штаб-квартира NSO Group в Герцлии, Израиль, 26 апреля 2021 года.
Отправка номеров «на заражение»
Марокканский информатор Сафир (псевдоним, согласованный с журналистами для обеспечения его безопасности) подробно описал свой десятилетний стаж работы во внутренней службе разведки страны — Генеральной дирекции наблюдения за территорией (DGST), а также то, как он и его коллеги поддерживали операции слежки с использованием Pegasus и других инструментов наблюдения.
Журналисты независимо проверили ключевые элементы рассказа Сафира.
По словам Сафира, NSO Group продемонстрировала возможности Pegasus, взломав телефоны сотрудников DGST, вызвавшихся для теста. Путем перекрестной проверки номеров, предоставленных Сафиром, и утекшей базы данных номеров мобильных телефонов, которые были целями Pegasus в 2017 и 2018 годах, журналисты подтвердили, что номера телефонов конкретных названных Сафиром сотрудников действительно были целью атак.
Сафир рассказал, что частная компания-посредник доставила настроенные NSO Group серверы в Марокко и установила их в центрах обработки данных DGST, предоставив марокканским агентам доступ к панели управления Pegasus. Описание Сафиром этой панели совпадает с изображениями интерфейса Pegasus, обнародованными в ходе длительного судебного разбирательства, начатого в 2019 году WhatsApp (дочерней компанией Meta Platforms) против NSO Group по обвинению во взломе аккаунтов WhatsApp.


Израильские активисты держат черный баннер с надписью «Остановить NSO» во время протеста у штаб-квартиры NSO Group в Герцлии, Израиль, 25 июля 2021 года.
Сафир также подробно описал рабочий процесс наблюдения в DGST, объяснив, как офицеры сначала получали уникальные идентификационные номера — известные как International Mobile Equipment Identity, или IMEI — для местных марокканских мобильных телефонов, утвержденных для слежки руководством разведки. Затем эти уникальные номера отправлялись команде DGST, ответственной за выполнение хакерских операций Pegasus. Эту команду, по словам Сафира, возглавлял директор по имени Абдельджалиль Таки. (Таки не ответил на запрос о комментариях.)
Затем секретариат Таки отправлял данные о целях компании-посреднику или в NSO «для заражения», сказал Сафир.
«Например, мы знаем, что кто-то встречается с судьей в определенное время. Мы отправляем NSO детали, и они отправляют конфигурацию агенту [внедряемому ПО на устройстве цели], чтобы записать разговор в это время», — сказал Сафир.
«Мы не контролируем конфигурацию агента, мы обращаемся к NSO, чтобы обновить ее. Они не дали нам доступа к бэк-энду, где происходит настройка агентов. Мы просто просматриваем и загружаем улики с панели управления».
DGST и Министерство внутренних дел Марокко не ответили на запросы о комментариях.
Журналисты не нашли доказательств того, что фирма-посредник была непосредственно вовлечена в заражение телефонов Pegasus. Также нет никаких указаний на то, что сотрудники NSO Group вручную нацеливались на номера для Марокко. Процесс, описанный Сафиром, по-видимому, соответствует автоматизированной системе, в которой агенты марокканской разведки могли отправлять номера для нацеливания в систему Pegasus. Затем программное обеспечение управляло сложным процессом установки шпионского агента, отправки новых конфигураций и команд, а также отправки взломанных материалов обратно в пользовательский интерфейс Pegasus.
О’Кербайл из Amnesty International сказал, что рассказ Сафира о рабочем процессе заражения Pegasus в DGST, по-видимому, в целом соответствует обычному автоматизированному процессу NSO Group и соответствует тому, как Pegasus обычно настраивается для конечных пользователей NSO Group, включая установки на месте, внешние серверы и доступ к техническим экспертам.
«Pegasus функционирует как многокомпонентная система наблюдения», — сказал О’Кербайл. «Ее инфраструктура включает локальные серверы клиентов, виртуальные серверы, настроенные для скрытия местоположения клиента, и серверы заражения, которые используют онлайн-домены для распространения эксплойтов через текстовые сообщения или одноразовые ссылки».
«Технические специалисты NSO обычно развертываются на объектах клиентов для установки необходимого оборудования Pegasus, а затем они создают и контролируют сложную сеть анонимных серверов, внешних сервисов, таких как провайдеры SMS, и аккаунтов злоумышленников (таких как iMessage и WhatsApp), необходимых для запуска атак и маршрутизации трафика наблюдения Pegasus к клиентской системе и от нее», — добавил он.
Однако один конкретный элемент рассказа Сафира указывает на более сложную методологию — так называемый вектор инъекции в сеть, который может потребовать большего участия со стороны NSO Group.
О’Кербайл объяснил OCCRP, что «ссылка на идентификаторы IMEI указывает на то, что заражения запускались внутри сети мобильного оператора, а не через интернет, что соответствует атакам с инъекцией в сеть». Эта методология включает «установку специализированного сетевого оборудования [в локальной телекоммуникационной сети], которое может использоваться для бесшумного перенаправления цели на серверы заражения Pegasus во время просмотра веб-страниц».
Новые показания информатора согласуются с техническими доказательствами, ранее задокументированными Лабораторией безопасности Amnesty International, сказал О’Кербайл, которые выявили заражения Pegasus после предполагаемых атак с инъекцией в сеть.
«Поскольку этот процесс происходит за пределами основной системы Pegasus, может существовать некий ручной процесс, когда DGST необходимо попросить NSO помочь подготовить две системы к совместной работе», — сказал О’Кербайл.
«Психологически очень вредно»
Согласно отчетам «Проекта Pegasus», доказательства указывали на то, что Марокко нацеливалось по крайней мере на двух журналистов, активиста по правам человека и даже на номер президента Франции Эммануэля Макрона и короля Марокко.
Для некоторых из этих целей последствия вышли за рамки самого вторжения в частную жизнь.


Президент Франции Эммануэль Макрон проводит экстренное совещание по национальной безопасности в Париже, Франция, 22 июля 2021 года, после сообщений об использовании израильской шпионской программы Pegasus во Франции.
Журналист Омар Ради, которого, как подтвердил Сафир, намечали для потенциальной слежки, впервые был идентифицирован Amnesty International в 2020 году как цель марокканских властей с использованием Pegasus.
Криминалистический анализ организации обнаружил доказательства так называемых атак инъекции в сеть на телефон Ради в феврале и сентябре 2019 года и январе 2021 года, которые соответствовали взлому Pegasus или попыткам заражения.


Журналист Омар Ради после освобождения по королевскому помилованию в Тифлете, Марокко, в июле 2024 года.
Через месяц после того, как Amnesty International и Forbidden Stories раскрыли атаку на телефон Ради, журналисту были предъявлены обвинения в шпионаже, изнасиловании и непристойном посягательстве. В июле 2021 года он был приговорен к шести годам тюремного заключения в ходе судебной процедуры, нарушившей процессуальные гарантии, по данным Human Rights Watch. (Его приговор был подтвержден в марте 2022 года.) Европейский парламент назвал обвинения в шпионаже «сфабрикованными» и заявил, что «многочисленные процессуальные гарантии были нарушены». Ради был помилован королем Марокко в июле 2024 года.
Марокканский правозащитник Маати Монжиб также был целью Pegasus, согласно анализу Amnesty, который показал, что он был целью и был заражен в период с 2017 по 2019 год. Партнеры «Проекта Pegasus» обнаружили, что его номер впервые был выбран для нацеливания марокканским конечным пользователем в 2017 году, и эта практика повторялась несколько раз в течение следующих двух лет.
Последующий криминалистический отчет Лаборатории безопасности Amnesty International за 2021 год раскрыл цифровые записи о выполнении программного обеспечения «BH» на телефоне Монжиба. Согласно анализу Amnesty, BH, вероятно, относится к Bridgehead — первому этапу компонента Pegasus, использовавшемуся в то время для загрузки полного шпионского ПО на устройство. Рассекреченные материалы из текущего судебного дела между WhatsApp и NSO Group включают то, что выглядит как внутренний сценарий, используемый для презентации Pegasus, в котором говорится: «Сначала мы устанавливаем BH, а затем BH устанавливает агента на устройство».
Телефон Монжиба имел признаки выполнения BH в период с апреля 2018 года по март 2019 года, согласно анализу Amnesty.
Монжиб был арестован 29 декабря 2020 года, а через месяц суд Рабата признал его виновным в «мошенничестве и подрыве внутренней безопасности государства» и приговорил к одному году тюремного заключения. Как и Ради, он получил королевское помилование в 2024 году.


Марокканский правозащитник Маати Монжиб (в центре) после освобождения по королевскому помилованию в марте 2024 года в Сале, Марокко.
«Сейчас слежка менее интенсивна [чем в 2015–2019 годах], но она все еще психологически очень вредна для меня и моей семьи», — рассказал Монжиб Amnesty. «Моей дочери пришлось покинуть Марокко, когда ей было 16 лет, из-за всех репрессий, которым я подвергался. Моя жена, француженка, была уволена с работы в НПО из-за меня».
Использование компании как «прикрытия»
Логистика слежки в Марокко полагалась на посредника для сохранения возможности «правдоподобного отрицания», по словам Сафира.
Бывший сотрудник разведки рассказал, что частная компания выступала посредником между DGST и NSO Group в вопросах закупок и административного управления шпионским ПО.
Второй бывший источник в разведке подтвердил эту схему.
Хотя Сафир изначально называл посредника «FSSYS Tech» — имя, которого нет в официальном реестре компаний, — журналисты использовали описание Сафира его корпоративной структуры, местоположения и персонала, чтобы идентифицировать фактическое юридическое лицо: FSSYS Maroc в Рабате.
Деятельность FSSYS Maroc — «Информационные технологии и телекоммуникации» согласно реестру компаний Марокко, и она зарегистрирована по точному адресу, который Сафир указал для компании-посредника.
Сафир описал FSSYS как марокканский филиал предприятия из Объединенных Арабских Эмиратов, и публичные записи показывают, что две эмиратские компании — часть базирующейся в ОАЭ группы, специализирующейся на обороне, разведке и национальной безопасности, — приобрели небольшие доли в FSSYS Maroc в 2019 году. Группа из ОАЭ использовала FSSYS в качестве URL-адреса своего веб-сайта.
Председатель FSSYS Maroc не ответил на запрос о комментариях.
Сафир сказал, что посредническое соглашение с FSSYS Maroc означало отсутствие бумажного следа, ведущего к DGST.
«У израильтян есть контракт с FSSYS на оборудование, а не с DGST», — сказал он. «Вы не найдете никаких документов, касающихся DGST. Израильтяне не подписывают контракт на свою систему напрямую с DGST — так не делается».
Второй бывший агент разведки подтвердил, что это было причиной использования посредника.
Менье из Human Rights Watch рассказал OCCRP, что, как известно, NSO Group использовала частные компании в ходе своей деятельности.
«Мы знаем, что в других случаях NSO использовала компании, которые устанавливают оборудование, а также помогают с административными контрактными вопросами... Местные компании, которые часто обеспечивают контакты, которые также интересны NSO Group», — сказал Менье.
NSO Group не ответила на вопросы о любых деловых отношениях с Марокко или его государственными органами.
Сафир утверждал, что предприятие из ОАЭ, марокканским представителем которого, по его словам, была FSSYS Maroc, участвовало в администрировании доступа Марокко к Pegasus. Журналисты подтвердили, что сотрудник, названный Сафиром связующим звеном между DGST, FSSYS и стороной из ОАЭ, действительно работал в FSSYS.
«[Связующее звено] можно рассматривать как сотрудника DGST, а также как частного подрядчика через его компанию, отвечающую за весь бизнес в сфере технологий наблюдения в Марокко», — сказал Сафир. «Он также координирует действия с ОАЭ».
Риккардо Фабиани, директор Североафриканского проекта Международной кризисной группы, некоммерческой организации, занимающейся разрешением конфликтов, сказал OCCRP, что идея тесного сотрудничества ОАЭ и Марокко «правдоподобна на многих уровнях».
«Особые отношения между ОАЭ и Марокко», — сказал Фабиани. «[Президент ОАЭ] Мухаммед бен Заид провел значительную часть своей молодости в Марокко и имеет личные отношения с самим [марокканским] королем. Существует большое военное и политическое сотрудничество между этими двумя странами».


Король Марокко Мохаммед VI в Париже, Франция, ноябрь 2018 года.
Необходимость большей подотчетности
За дебатами о законности взлома стоит человеческая цена, которую ощущают как те, кто управляет шпионским ПО, так и те, кто становится его целью.
Сафир рассказал журналистам, что ему было трудно работать агентом разведки, даже когда государственная слежка применялась против законных целей, таких как террористы.
«Я работал над ужасными делами. [Одна] террористическая группа... Я работал с их телефонами. Я ожидал увидеть ракеты и взрывчатку, но большая часть этого была порнографией», — сказал Сафир. «Я стараюсь забыть эти вещи, чтобы выжить на этой работе».
Для журналиста Ради, чей телефон был целью Pegasus, работа разведывательных служб заключается в предотвращении серьезных преступлений. Но он призвал к большей подотчетности в использовании ими таких мощных инструментов, как Pegasus, против людей, которые не представляют угрозы для населения.
«Я думаю, что такие методы должны быть прекращены», — сказал Ради. «И для этого нам нужно больше демократии, больше прозрачности и больше контроля. Не может быть и речи о том, чтобы в Марокко существовали институты, у которых нет противовеса».
Марьяна Заболотная
Автор
Автор: Иван Рокотов