Когда я впервые разбирал iOS-бэкап, заражённый Pegasus, через Mobile Verification Toolkit, меня поразило не качество импланта - а масштаб инфраструктуры за ним. Десятки C2-доменов, сертификаты с характерными паттернами, ASN-ы, мигрирующие между юрисдикциями. За каждым заражённым устройством стоит не одиночный хакер, а индустрия с оборотом в миллиарды долларов, инвесторами с Уолл-стрит, брокерами-посредниками и юридическими структурами, специально построенными для обхода санкций. Коммерческое шпионское ПО - это surveillance-as-a-service с корпоративной поддержкой, SLA и годовыми лицензиями.
Русскоязычные материалы по теме сводятся к пересказу функций Pegasus и перечислению вендоров. Никто не разбирает бизнес-модели, корпоративные структуры, роль посредников и причины провала регуляторных инициатив. Этот материал закрывает пробелы, опираясь на первоисточники - отчёты Atlantic Council, данные OFAC, техническую документацию Citizen Lab и верифицированные CVE.
Коммерческий рынок слежки: структура и масштаб
Коммерческий рынок слежки - это зоопарк, в котором частные компании разрабатывают, продают и обслуживают инструменты для целевого наблюдения за мобильными устройствами. Отличие от «обычного» вредоносного ПО: продукт позиционируется как легальный, а покупатели - государственные структуры.По данным исследования Atlantic Council «Mythical Beasts» (2025), рынок охватывает 561 организацию в 46 странах за период с 1992 по 2024 год. Только за 2024 год идентифицировано 43 новых участника. Среди этих 561 субъектов - не только разработчики (vendors), но и инвесторы, поставщики эксплойтов (suppliers), холдинговые структуры, дочерние компании, посредники-реселлеры и отдельные физлица.
И вот тут начинается самое интересное: США стали крупнейшим инвестором в коммерческий рынок spyware, обогнав Израиль. В первом издании отчёта было зафиксировано 12 американских инвесторов. Во втором - добавлено ещё 20. Ирония в том, что это происходит на фоне санкций, введённых самими же США против ключевых вендоров. Одной рукой бьют - другой кормят.
Второй тренд - рост роли брокеров и реселлеров. Эти посредники связывают вендоров с покупателями в новых регионах, намеренно усложняя корпоративные структуры для обхода экспортного контроля. По данным Atlantic Council, реселлеры - наименее изученная категория участников рынка и практически не покрываются текущими регуляторными мерами.
NSO Group Pegasus: эволюция zero-click эксплойтов
NSO Group - наиболее задокументированный mercenary spyware вендор. Компания основана в Израиле и специализируется на мобильном шпионском ПО Pegasus (iOS) и его Android-аналоге Chrysaor. С точки зрения ресурсной подготовки атак это классический пример техники
Ссылка скрыта от гостей
по MITRE ATT&CK - систематическая разработка и приобретение эксплойтов для коммерческой перепродажи.FORCEDENTRY и BLASTPASS: технический разбор
Наиболее исследованные цепочки атак NSO Group - FORCEDENTRY (2021) и BLASTPASS (2023). Обе - zero-click, то есть жертве не нужно делать вообще ничего.FORCEDENTRY эксплуатировал механизм обработки изображений в iMessage. Атакующий отправлял жертве сообщение с файлом, замаскированным под GIF, но по факту это был PDF с эксплойтом для алгоритма сжатия JBIG2. При попытке создать превью система запускала цепочку эксплуатации, приводившую к полному контролю над устройством. Обнаружен и детально описан Citizen Lab и Google Project Zero.
BLASTPASS задокументирован Citizen Lab в сентябре 2023 года. Цепочка эксплуатирует две уязвимости:
-
Ссылка скрыта от гостей- переполнение буфера (CWE-120) при обработке вредоносного изображения. CVSS 7.8 (HIGH), вектор CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Затронуты iOS, iPadOS, macOS Monterey, macOS Ventura, macOS Big Sur. Компонент UI:R указывает на необходимость действия пользователя, однако Citizen Lab классифицирует BLASTPASS как zero-click - автоматическая генерация превью в iMessage не требует осознанного действия. Расхождение между CVSS-оценкой и практической классификацией - известная проблема для атак через автоматическую обработку контента в мессенджерах.
-
Ссылка скрыта от гостей- ошибка валидации (CWE-20) при обработке вложений. CVSS 7.8 (HIGH), аналогичный вектор. Затронуты iOS, iPadOS и watchOS (macOS не затронута, в отличие от CVE-2023-41064). Вредоносное вложение PassKit (объект из Apple Wallet - посадочный талон, билет) передавалось через iMessage и вызывало выполнение произвольного кода.
Между FORCEDENTRY и BLASTPASS NSO Group использовала эксплойты FINDMYPWN (уязвимость в Find My) и PWNYOURHOME (уязвимость в HomeKit), оба задокументированы Citizen Lab в апреле 2023. Конечной целью в обоих случаях оставался iMessage. Паттерн характерный: закрыли один вектор - NSO оперативно переключается на другой в рамках той же поверхности атаки. Как в «Whac-A-Mole», только ставки повыше.
Бизнес-модель NSO Group
NSO Group лицензирует Pegasus по числу одновременно отслеживаемых целей. Государственный заказчик платит за квоту: скажем, возможность одновременно мониторить 25 или 50 устройств. Лицензия включает техподдержку, обновление эксплойтов по мере их закрытия вендорами ОС и инфраструктуру управления (C2).По данным Lawfare, NSO Group выстроила сеть фронтовых компаний и брокеров для обслуживания продаж - в частности, мексиканским государственным клиентам, среди которых были лица, обвинённые в коррупции. Типичная модель юрисдикционного арбитража: разработка в Израиле, продажи через посреднические юрлица в других юрисдикциях, эксплуатация уязвимостей в американских платформах (Apple, Google, WhatsApp, Microsoft).
В мае 2025 года суд США присудил NSO Group выплату 168 миллионов долларов штрафных убытков за атаку на инфраструктуру WhatsApp с использованием Pegasus - по данным Atlantic Council, крупнейшее судебное решение против spyware-вендора на сегодня.
Intellexa Predator: альянс под санкциями
Intellexa - зонтичная структура (консорциум), объединяющая несколько компаний. Наиболее известный продукт - шпионский комплекс Alien/Predator, разработанный компанией Cytrox (Северная Македония, дочерние структуры в Израиле и Венгрии).Predator технически состоит из двух компонентов: Alien (loader - первичный взлом устройства и закрепление) и Predator (основной имплант для слежки). Атакуемые платформы - Android и iOS. В отличие от Pegasus, Predator исторически полагался на one-click эксплойты - вредоносные ссылки, по которым жертва должна перейти. Казалось бы, мелочь - но для оператора это принципиально другая конверсия.
Корпоративная структура и санкции
Intellexa зарегистрирована на Кипре. За консорциумом стоит Таль Диллиан - бывший высокопоставленный офицер разведки израильской армии с 24-летним стажем. Корпоративная структура - классическая матрёшка из дочерних и связанных юрлиц в разных юрисдикциях, построенная для обфускации реального владения и обхода экспортных ограничений.В марте 2024 года OFAC наложил санкции на пять физических лиц и одно юридическое лицо, связанные с Intellexa Consortium. Основание - разработка и распространение коммерческого шпионского ПО, которое использовалось для целевой слежки за журналистами, политическими деятелями и активистами.
До этого, в ноябре 2021 года, Министерство торговли США добавило NSO Group и Candiru в Entity List - на основании доказательств поставки шпионского ПО иностранным правительствам для слежки за представителями гражданского общества. Позже в Entity List попала и Intellexa.
Candiru: шпионское ПО под завесой секретности
Candiru (основана в Израиле в 2014 году) - одна из самых скрытных компаний в индустрии. Организация систематически меняет юридические названия (известны Saito Tech Ltd., Grindavik Solutions и другие), у неё нет веб-сайта, сотрудникам запрещено указывать работодателя в LinkedIn. Параноидальная OPSEC - и это у компании, которая продаёт инструменты слежки.Основной продукт - DevilsTongue - шпионский комплекс с поддержкой Windows, macOS, iOS и Android. Векторы атаки: физический доступ к устройству, man-in-the-middle, вредоносные ссылки и заражённые офисные документы. В ходе расследования Microsoft обнаружили эксплуатируемые Candiru уязвимости нулевого дня в Windows и Google Chrome.
Ещё Candiru предлагает инструмент Sherlock - по данным Citizen Lab, вероятная платформа для zero-click атак на Windows, iOS и Android одновременно. Мультиплатформенный zero-click - если подтвердится, это серьёзнее Pegasus по охвату.
Бизнес-модель Candiru отличается от NSO Group: если NSO продаёт лицензии на целевое наблюдение, то Candiru ближе к модели «продажа уязвимостей и инструментов как сервиса» с акцентом на мультиплатформенность. За Candiru стоят инвесторы, связанные с NSO Group - капитал внутри израильского кластера surveillance-индустрии переплетён плотно.
QuaDream и другие surveillance инструменты
QuaDream - ещё один израильский вендор, разработавший шпионский комплекс Reign. Компания конкурировала с NSO Group на рынке iOS-эксплойтов и, по данным Citizen Lab, использовала аналогичные FORCEDENTRY zero-click техники для заражения iPhone.QuaDream прекратила активные операции в 2023 году, но технологии никуда не делись - бывшие сотрудники и наработки мигрируют в новые юрлица. За 2024 год в рынок вошли 43 новых субъекта (данные Atlantic Council). Закрытие одного вендора не сокращает рынок - оно перераспределяет экспертизу. Эффект гидры в чистом виде.
Помимо «большой четвёрки» (NSO, Intellexa, Candiru, QuaDream), стоит знать:
- Subzero (DSIRF, Австрия) - ориентирован на Windows, нацелен на европейские цели
- Heliconia (Variston IT, Испания) - фреймворк для эксплуатации уязвимостей в Chrome, Firefox и Microsoft Defender
Цепочка атак коммерческого spyware через MITRE ATT&CK
Для пентестеров и threat intelligence аналитиков коммерческое шпионское ПО нужно раскладывать в формализованных терминах. Типичная цепочка атаки mercenary spyware ложится на следующие тактики и техники MITRE ATT&CK:| Этап | Техника ATT&CK | Как это работает в commercial spyware |
|---|---|---|
| Подготовка ресурсов | Exploits (T1587.004, Resource Development) | Вендор разрабатывает или закупает zero-day эксплойты для целевых платформ |
| Начальный доступ | Exploitation for Client Execution (T1203) / Malicious Link (T1204.001) | Zero-click: эксплуатация уязвимости при автоматической обработке входящего контента в iMessage (T1203). One-click (Predator): жертва переходит по вредоносной ссылке (T1204.001) |
| Выполнение |
Ссылка скрыта от гостей
| Эксплуатация CVE в клиентском приложении - например, CVE-2023-41064 в обработчике изображений |
| Закрепление | Process Injection (T1055, Defense Evasion / Privilege Escalation) | Имплант инжектируется в легитимные процессы для повышения привилегий и скрытности |
| Уклонение | Obfuscated Files or Information (T1027, Defense Evasion) | Компоненты зашифрованы, самоуничтожение при невозможности связаться с C2 более 60 дней |
| Сбор данных | Screen Capture (T1113, Collection), Keylogging (T1056.001, Collection / Credential Access) | Запись экрана, перехват ввода, доступ к камере и микрофону |
| Эксфильтрация | Exfiltration Over C2 Channel (T1041, Exfiltration) | Собранные данные уходят на инфраструктуру оператора через зашифрованный канал C2 |
Регулирование spyware: санкции, экспортный контроль и их ограничения
Ключевые регуляторные действия
Entity List (Министерство торговли США, ноябрь 2021): NSO Group и Candiru внесены в список на основании доказательств поставки spyware иностранным правительствам для слежки за гражданским обществом. Практическое следствие - ограничение экспорта американских технологий этим компаниям.Санкции OFAC (Министерство финансов США, 2024): Пять физлиц и одно юрлицо из Intellexa Consortium. Замораживание активов в юрисдикции США, запрет транзакций для американских контрагентов.
Pall Mall Process (2024): Дипломатическая инициатива по выработке международных норм контроля за коммерческим spyware. По данным Atlantic Council, одно из значимых политических событий в контексте противодействия рынку слежки.
Судебное решение WhatsApp vs NSO Group (2025): Штраф в 168 миллионов долларов за таргетирование инфраструктуры WhatsApp при помощи Pegasus.
Почему регулирование не работает
Несмотря на санкции и экспортный контроль, рынок коммерческого шпионского ПО растёт. Данные Atlantic Council: число участников выросло с 435 до 561, причём американские инвестиции растут быстрее всех - опережая Италию, Израиль и Великобританию.Причины системного провала:
Юрисдикционный арбитраж. Вендоры регистрируют юрлица в странах со слабым экспортным контролем. Intellexa - Кипр, Cytrox - Северная Македония, дочки - Венгрия и Израиль. Прилетели санкции? Создаём новое юрлицо. Занимает пару недель.
Роль посредников. Реселлеры и брокеры, по данным Atlantic Council, остаются «критическим информационным пробелом» для регуляторов. Они связывают вендоров с покупателями в новых регионах, при этом не попадают в фокус экспортного контроля. Лично я считаю это главной дырой во всей схеме регулирования.
Инвестиционный парадокс. США одновременно вводят санкции против spyware-вендоров и являются крупнейшим инвестором в индустрию. По данным второго издания Mythical Beasts - «видимый разрыв между потоком долларов и политическими инициативами». На заборе написано «санкции», а за забором - чеки с шестью нулями.
Миграция кадров и технологий. Закрытие QuaDream не привело к исчезновению технологий - эксперты и наработки перетекают в новые структуры. Срубаешь одну голову - вырастают две.
Практика: обнаружение коммерческого шпионского ПО
Анализ iOS-бэкапов через MVT
Mobile Verification Toolkit (MVT), разработанный Amnesty Tech Security Lab, - основной открытый инструмент для проверки мобильных устройств на следы заражения коммерческим spyware. Базовый workflow для iOS:
Bash:
# Установка MVT
pip3 install mvt
# Создание резервной копии iPhone (через libimobiledevice)
# Требуется: libimobiledevice установлен, устройство доверяет компьютеру, Python 3.6+
idevicebackup2 backup /path/to/backup
# Расшифровка бэкапа (если зашифрован)
mvt-ios decrypt-backup -p "backup_password" -d /path/to/decrypted /path/to/backup
# Проверка бэкапа с использованием IoC-файла от Amnesty
mvt-ios check-backup -i indicators.stix2 -o /path/to/results /path/to/decryptedНа что обращать внимание при ручном анализе:
- DataUsage.sqlite - аномально высокое потребление трафика процессами, не связанными с пользовательскими приложениями
- Timeline SMS/iMessage - входящие сообщения с подозрительными ссылками или вложениями без контекста
- Crash logs - падения процессов, связанных с обработкой медиа (ImageIO, PassKit) - характерный след эксплуатации CVE-2023-41064
Сетевая разведка инфраструктуры C2
При работе с инфраструктурой коммерческих spyware-операторов полезен анализ через passive DNS и certificate transparency:
Bash:
# Поиск характерных паттернов в сертификатах через Censys
# (пример для демонстрации концепции)
censys search "services.tls.certificates.leaf.subject.common_name: *update*" \
--virtual-hosts INCLUDE
# Passive DNS lookup для известного IoC-домена
# Используйте VirusTotal, SecurityTrails или CIRCL passive DNS
curl -s "https://www.virustotal.com/api/v3/domains/{ioc_domain}/resolutions" \
-H "x-apikey: $VT_API_KEY"system-update-check.com с сертификатом, выданным 3 дня назад - копайте глубже.Что это значит для вашей threat model
Если вы пентестер или defensive security специалист, коммерческое шпионское ПО меняет вашу модель угроз. Вот как именно.Для Red Team. Техники mercenary spyware (zero-click через мессенджеры, эксплуатация медиа-парсеров, инжекция в легитимные процессы) - референс того, как выглядят атаки на мобильные устройства уровня nation-state. Разбор цепочек FORCEDENTRY и BLASTPASS даёт понимание реальных attack surface мобильных ОС. Не для воспроизведения (у вас нет бюджета NSO), а для понимания, от чего защищаться.
Для Blue Team. Lockdown Mode от Apple - подтверждённо эффективная мера против BLASTPASS. Рекомендация для высокорисковых целей (журналисты, юристы, активисты): включить Lockdown Mode, регулярно гонять проверку через MVT, мониторить crash logs на предмет аномалий в медиа-обработке.
Для Threat Intelligence. Отслеживайте не только IoC конкретных имплантов, но и корпоративные реструктуризации вендоров. Когда QuaDream закрывается, а через месяц появляется новая компания с теми же инвесторами - это сигнал. Инструменты: OpenCorporates для мониторинга юрлиц, Censys/Shodan для инфраструктурного анализа, passive DNS для отслеживания миграции C2.
Коммерческий рынок слежки не схлопнется от санкций и судебных решений - он адаптируется. Задача специалиста по безопасности - понимать не только технику, но и бизнес-логику противника. Когда знаешь, что вендор лицензирует по числу целей и заинтересован в длительном незаметном присутствии - становится ясно, почему имплант самоуничтожается через 60 дней без связи с C2 и почему zero-click важнее, чем сложный эксплойт с пользовательским взаимодействием. Бизнес-модель определяет технический дизайн. А понимание дизайна - первый шаг к обнаружению. Попробуйте прогнать через MVT бэкап своего рабочего iPhone - хотя бы чтобы убедиться, что workflow работает до того, как он понадобится по-настоящему.
_________________________________________________
Meta-Title: Коммерческое шпионское ПО: NSO, Intellexa, Candiru
Meta-Description: 561 компания, 46 стран, $168M штрафов — разбираем бизнес-модели mercenary spyware вендоров, цепочки zero-click атак и причины провала санкций
Теги: коммерческое шпионское ПО, NSO Group Pegasus, Intellexa Predator spyware, Candiru шпионское ПО, zero-click эксплойты, регулирование spyware, surveillance-as-a-service, mercenary spyware вендоры
Последнее редактирование:
