WhatsApp раскрыл детали сотрудничества шпионского ПО Pegasus и Amazon AWS

NSO Group , разработчик шпионского ПО Pegasus , арендовал пространство на серверах Amazon Web Services ( AWS ) с декабря 2018 года по октябрь 2020 года, что является более длительным периодом использования серверов AWS, чем предполагалось ранее.

В июле 2021 года Amnesty International указала на сотрудничество между двумя компаниями, начавшееся «в последние месяцы». Однако WhatsApp обнаружил, что аренда пространства на серверах AWS началась в 2018, когда AWS была направлена ​​повестка в суд.

В судебных документах NSO Group подтвердила, что до января 2021 года сервера AWS использовались департаментом исследований и разработок для размещения кода системы Pegasus. Подтверждение частично соответствует заявлениям WhatsApp о более ранней аренде серверов.

Сотрудничество AWS и NSO Group продолжалось до декабря 2021 года. После января 2021 года сервера AWS оставались арендованными, но не использовались и не содержали данных. С декабря 2021 года по октябрь 2023 года NSO Group арендовала пространство на AWS для поддержки своего ИТ-отдела по обслуживанию внутренних компьютерных сетей.

После того как исследователи Amnesty в мае 2021 года сообщили Amazon, что их услуги используются для слежки за правозащитниками с помощью шпионского ПО Pegasus, компания приняла меры по отключению соответствующей инфраструктуры и учетных записей.

WhatsApp подала иск против NSO Group в 2019 году, утверждая, что компания использовала Pegasus для шпионажа за 1400 пользователями в течение двух недель. Среди жертв — журналисты, правозащитники, политические диссиденты, дипломаты и высокопоставленные чиновники. Представители WhatsApp и NSO отказались от комментариев.

Правительство США все больше сосредотачивается на борьбе со шпионским ПО, и в 2021 году внесло NSO Group в список поднадзорных субъектов (Entity List), что обязывает компании соблюдать строгие лицензионные требования и другие регуляции.

На протяжении большей части времени, когда AWS предположительно хранила исходный код Pegasus, шпионское ПО не представляло значительной угрозы для политиков, как сегодня. Это может частично объяснить, почему правительство США не стремилось заставить облачную компанию передать код в июле 2021 года, когда Amnesty впервые раскрыла связь AWS и NSO.

Эксперты считают маловероятным, что AWS знала о хранении исходного кода Pegasus на своей платформе. Представитель Атлантического совета отметил, что облачные сервисы могут сканировать наличие вредоносного ПО, но не ищут исходный код. NSO Group могла не использовать свое реальное имя для регистрации облачных услуг. Это подчеркивает аргументы сторонников замороженного исполнительного приказа о Know Your Customer (KYC), требующего от облачных провайдеров тщательной проверки личности клиентов.

В ближайшие несколько недель NSO Group предоставит документы, показывающие полную функциональность того, что суд определил как «соответствующую шпионскому ПО». Судья ранее постановил, что «соответствующее шпионское ПО» охватывает любое шпионское ПО от NSO Group, нацеленное на серверы WhatsApp или использующее WhatsApp для доступа к целевым устройствам.

NSO Group неоднократно отрицала, что шпионское ПО Pegasus использовалось для взлома телефонов многих политиков. Однако в 2021 году WhatsApp отметил, что правительства предположительно использовали Pegasus для атак на высокопоставленных чиновников по всему миру в 2019 году, в том числе политиков, отвечающих на нацбезопасность ведомств, которые были союзниками США.