Селфи сотрудницы Paragon раскрыло интерфейс шпионского ПО Graphite

Главный юридический консультант израильской компании Paragon опубликовала в соцсетях селфи, мимо которого не смогло пройти зарубежное ИБ-сообщество. На заднем плане фотографии изображен экран с пользовательским интерфейсом некого ПО — как предположил старший исследователь Citizen Lab Джон Скотт-Рейлтон, это может быть шпионский инструмент Graphite, разработанный Paragon. Утечку исследователь назвал «эпическим провалом в области OpSec».

Судя по изображению, ПО позволяет перехватить доступ к перепискам человека в мессенджерах, имея его телефонный номер. Среди доступных источников перехвата — WhatsApp (принадлежит Meta, признанной экстремистской организацией на территории РФ), Telegram, Signal, Snapchat, TikTok, Line. ПО позволяет получить доступ к логам и тексту переписок, а также видеофайлам.

Paragon была основана в 2019 году. Как писал Forbes, компанию возглавил экс-командир израильской киберразведки Эхуд Шнеорсон. Других соучредителей также называли бывшими сотрудниками израильской разведки. Флагманский продукт Paragon — шпионское ПО Graphite, которое, как утверждает компания, предоставляет «доступ к приложениям мгновенного обмена сообщениями на устройстве, но не полный контроль над всем содержимым телефона». Исследователи Citizen Lab изучили сетевую инфраструктуру Paragon и поделились результатами с Meta: эти данные помогли закрыть в WhatsApp эксплойт Zero-Click. Позже выяснилось, что более 90 человек в Италии оказались жертвами атаки через эту уязвимость. В 2024 году американская инвестиционная группа AE Industrial Partners приобрела Paragon за $500 млн.

Автор Telegram-канала «Кибервойна» Олег Шакиров в комментарии SecPost отметил дизайн ПО: компании стараются упаковать свои возможности в продукт, который должен выглядеть легитимно. Эксперт отмечает — криминал движется в том же направлении.

«Для интереса можно сравнить с панелями управления шифровальщиками или другим вредоносным софтом. Те группировки, которые работают по модели malware-as-a-service, тоже инвестируют в создание более или менее удобных интерфейсов», — отметил Шакиров.

Публикация скриншота, на взгляд эксперта, в очередной раз подчеркивает: несмотря на все скандалы вокруг шпионского ПО, спрос на него остается высоким. Говоря о скандалах, Шакиров упоминает серию инцидентов вокруг NSO. Это другая израильская компания, прославившаяся разработкой ПО Pegasus — оно позволяло удаленно контролировать смартфоны. В 2021 году 86 правозащитных организаций направили совместное письмо с призывом к ЕС ввести глобальные санкции против компании, чтобы запретить продажу и передачу технологий. Тогда же, в 2021 году, выяснилось, что телефоны как минимум девяти сотрудников Госдепартамента США были заражены шпионским ПО NSO. 

Специалист в сфере безопасности и аналитики Игорь Бедеров в комментарии SecPost также обращает внимание на то, чего в интерфейсе нет — а именно вкладок «Camera stream», «Microphone», «Keylogger», «Screen recording», никаких намеков на удаленный доступ к файловой системе.

«Это принципиальное отличие от Pegasus, Predator или недорогих RAT, которые свободно продаются в Telegram, — отмечает Бедеров. — Paragon не пытается конкурировать с NSO по тотальности контроля. Они решают узкую задачу — читать переписку в WhatsApp, Signal и Telegram».

При этом интерфейс максимально примитивный: это панель не администратора, а рабочее место оператора, «человека, который штампует жертв по заявкам», — говорит Бедеров. Оператор не занимается взломом как таковым, он просто выполняет действия — весь инжиниринг скрыт глубоко в бэкенде.

По мнению Бедерова, складывается парадокс — за те деньги, на которые можно приобрести доступ к Graphite, можно куда дешевле и проще приобрести вредоносы не просто для чтения сообщений, а для полноценного удаленного контроля — чего стоит один только ZeroDayRAT. Google TAG, по словам Бедерова, отслеживает около 40 вендоров коммерческого шпионского ПО — и среди покупателей почти 100 стран.

«Технологии, которые пять лет назад были доступны только правительствам G7, сейчас продаются в открытых каналах. На этом фоне Graphite выглядит как продукт из прошлого десятилетия, просто в дорогой обертке. Он решает одну задачу, но решает ее „чисто“. Это сознательный выбор бизнес-модели: продавать «этичный» шпионаж только западным демократиям и не светиться в скандалах с тотальной слежкой», — говорит эксперт.

Отмечает эксперт и иронию, которая сопровождает утечку пользовательского интерфейса.

«Компания, которая позиционирует себя как эталон конфиденциальности и соблюдения правил, не смогла обеспечить элементарный контроль рабочего окружения, — отмечает эксперт. — Системная ирония: можно разрабатывать сложнейшие zero-click эксплойты, но забыть закрыть окно терминала на фото».