Що робити коли хтось став мішенню урядового шпигунського програмного забезпечення

Це був звичайний день , коли Джей Гібсон отримав несподіване сповіщення на свій iPhone . «Apple виявила цілеспрямовану атаку шпигунського програмного забезпечення на ваш iPhone», – йшлося в повідомленні.

За іронією долі, Гібсон раніше працював у компаніях, які розробляли саме такі шпигунські програми, що могли запускати такі сповіщення. З усім тим, він був шокований, отримавши сповіщення на власний телефон. Він зателефонував батькові, вимкнув і сховав телефон, а сам пішов купувати новий.

«Я панікував», – сказав він TechCrunch. «Це був безлад. Це був величезний безлад».  

Гібсон — лише один із постійно зростаючої кількості людей, які отримують сповіщення від таких компаній, як Apple , Google та WhatsApp , які надсилають своїм користувачам аналогічні попередження про атаки шпигунських програм. Технологічні компанії дедалі активніше попереджають своїх користувачів, коли вони стають мішенями урядових хакерів, зокрема тих, хто використовує шпигунське програмне забезпечення, розроблене такими компаніями, як Intellexa , NSO Group та Paragon Solutions .

Але хоча Apple, Google та WhatsApp попереджають, вони не втручаються в те, що відбувається далі. Технологічні компанії спрямовують своїх користувачів до людей, які могли б допомогти, але на цьому етапі самі відходять.

Ось що відбувається, коли ви отримуєте одне з цих попереджень. 

УВАГА 

Ви отримали сповіщення про те, що стали мішенню урядових хакерів. Що тепер? 

Перш за все, поставтеся до цього серйозно. Ці компанії мають величезні телеметричні дані про своїх користувачів та те, що відбувається як на їхніх пристроях, так і в їхніх онлайн-акаунтах. Ці технологічні гіганти мають команди безпеки, які роками вишукують, вивчають та аналізують цей тип шкідливої ​​активності. Якщо вони вважають, що ви стали мішенню, вони, ймовірно, мають рацію. 

Важливо зазначити, що у випадку сповіщень Apple та WhatsApp отримання сповіщення не обов’язково означає, що вас зламали. Можливо, спроба злому не вдалася, але вони все одно можуть повідомити вам, що хтось намагався. 

У випадку з Google, найімовірніше, компанія заблокувала атаку та повідомляє вас про це, щоб ви могли зайти у свій обліковий запис і переконатися, що у вас увімкнено багатофакторну автентифікацію (в ідеалі фізичний ключ безпеки або ключ доступу), а також увімкнути Програму розширеного захисту , яка також вимагає ключа безпеки та додає інші рівні безпеки до вашого облікового запису Google. Іншими словами, Google підкаже вам, як краще захистити себе в майбутньому. 

В екосистемі Apple слід увімкнути режим блокування , який активує низку функцій безпеки, що ускладнюють для хакерів атаку на ваші пристрої Apple. Apple давно стверджує, що ніколи не бачила успішного злому користувача з увімкненим режимом блокування, але жодна система не є ідеальною. 

Мохаммед Аль-Маскаті, директор служби цифрової безпеки Access Now, цілодобової глобальної команди експертів з безпеки, яка розслідує справи про шпигунські програми проти членів громадянського суспільства , поділився з TechCrunch порадами, які служба підтримки надає людям, стурбованими тим, що вони можуть стати мішенню урядових шпигунських програм.

Ця порада включає оновлення операційних систем і програм ваших пристроїв; увімкнення режиму блокування Apple та розширеного захисту Google для облікових записів і пристроїв Android ; будьте обережні з підозрілими посиланнями та вкладеннями; регулярно перезавантажуйте телефон; і звертайте увагу на зміни у роботі вашого пристрою.

Звернення по допомогу

Що буде далі, залежить від того, хто ви. 

Існують інструменти з відкритим кодом та доступні для завантаження, які кожен може використовувати для виявлення підозрюваних шпигунських атак на своїх пристроях, що вимагає певних технічних знань. Ви можете скористатися Mobile Verification Toolkit або MVT – інструментом, який дозволяє самостійно  шукати сліди атаки , можливо, як перший крок перед зверненням за допомогою.

Якщо ви не хочете або не можете користуватися послугами MVT, ви можете звернутися безпосередньо до когось, хто може допомогти. Якщо ви журналіст, дисидент, науковець або правозахисник, існує кілька організацій, які можуть допомогти. 

Ви можете звернутися до Access Now та їхньої служби допомоги з питань цифрової безпеки . Ви також можете зв’язатися з Amnesty International, яка має власну команду слідчих та значний досвід у цих справах. Або ж ви можете звернутися до The Citizen Lab , групи з цифрових прав в Університеті Торонто, яка розслідує зловживання шпигунським програмним забезпеченням вже майже 15 років. 

Якщо ви журналіст, «Репортери без кордонів» також мають лабораторію цифрової безпеки, яка пропонує розслідування підозрюваних випадків хакерства та стеження. 

Поза цими категоріями людей, наприклад, політикам чи керівникам підприємств доведеться шукати щось інше. 

Якщо ви працюєте у великій компанії чи політичній партії, у вас, ймовірно, є компетентна (сподіваємося!) команда безпеки, до якої ви можете звернутися одразу. Вони можуть не мати конкретних знань для проведення глибокого розслідування, але в такому разі вони, ймовірно, знають, до кого звернутися, навіть якщо Access Now, Amnesty та Citizen Lab не можуть допомогти тим, хто не належить до громадянського суспільства. 

В іншому випадку, керівникам чи політикам небагато місць, куди можна звернутися, але ми розпитали та знайшли перелічені нижче. Ми не можемо повністю ручатися за жодну з цих організацій і не підтримуємо їх безпосередньо, але, виходячи з порад людей, яким ми довіряємо, варто їх згадати. 

Мабуть, найвідомішою з цих приватних охоронних компаній є iVerify , яка створює додаток для Android та iOS, а також надає користувачам можливість запросити поглиблене судово-медичне розслідування. 

Метт Мітчелл, відомий експерт з безпеки , який допомагає вразливим верствам населення захистити себе від стеження, заснував новий стартап під назвою Safety Sync Group , який пропонує саме такі послуги. 

Джессіка Гайд, судова слідча з досвідом роботи в державному та приватному секторах, має власний стартап під назвою Hexordia та пропонує розслідувати підозрювані хакерські атаки. 

Компанія Lookout, що займається мобільною кібербезпекою та має досвід аналізу урядових шпигунських програм з усього світу, має онлайн-форму , яка дозволяє людям звертатися за допомогою у розслідуванні кібератак, пов'язаних зі шкідливим програмним забезпеченням, компрометацією пристроїв тощо. Після цього можуть долучитися команди компанії з розвідки загроз та судово-медичної експертизи.  

Також є Костін Райу, який очолює TLPBLACK , невелику команду дослідників безпеки, що раніше працювали в Глобальній дослідницькій та аналітичній групі Касперського, або GReAT. Райу очолював цей підрозділ, коли його команда виявила складні кібератаки, здійснені елітними урядовими хакерськими командами зі Сполучених Штатів, Росії, Ірану та інших країн. Райу розповів TechCrunch, що люди, які підозрюють, що їх зламали, можуть написати йому електронного листа безпосередньо.

Розслідування

Що буде далі, залежить від того, до кого ви звернетеся за допомогою. 

Загалом кажучи, організація, до якої ви звертаєтесь, може захотіти провести початкову перевірку, переглянувши файл діагностичного звіту, який ви можете створити на своєму пристрої та надати слідчим дистанційно. На цьому етапі вам не потрібно передавати свій пристрій комусь. 

Цей перший крок може допомогти виявити ознаки атаки або навіть зараження. Також він може нічого не дати. В обох випадках слідчим, можливо, варто копнути глибше, що вимагатиме від вас надіслати повну резервну копію вашого пристрою або навіть вашого самого пристрою. На цьому етапі слідчі виконають свою роботу, яка може зайняти деякий час, оскільки сучасні урядові шпигунські програми намагаються приховати та видалити свої сліди, і розкажуть вам, що сталося. 

На жаль, сучасні шпигунські програми можуть не залишати жодних слідів. За словами Хассана Сельмі, який очолює команду реагування на інциденти на гарячій лінії цифрової безпеки Access Now , сучасний спосіб дії — це стратегія «розгромити та захопити», тобто як тільки шпигунське програмне забезпечення заражає цільовий пристрій, воно краде якомога більше даних, а потім намагається видалити будь-які сліди та видалити себе. Вважається, що це спроба розробників шпигунського програмного забезпечення захистити свій продукт та приховати його активність від слідчих та дослідників.  

Якщо ви журналіст, дисидент, науковець, правозахисник, групи, які вам допомагають, можуть запитати, чи хочете ви оприлюднити факт нападу, але ви не зобов'язані це робити. Вони будуть раді допомогти вам, не приписуючи собі публічну заслугу. Однак можуть бути вагомі причини для того, щоб заявити про свою діяльність: щоб засудити той факт, що уряд атакував вас, що може мати побічний ефект попередження інших, таких як ви, про небезпеку шпигунського програмного забезпечення; або щоб викрити компанію-розробника шпигунського програмного забезпечення, показавши, що їхні клієнти зловживають їхніми технологіями. 

Сподіваємося, що ви ніколи не отримаєте жодного з цих сповіщень. Але ми також сподіваємося, що якщо ви їх отримаєте, цей посібник буде вам корисним. Будьте обережні.