В конце апреля 2018 года старшего программиста NSO Group пригласили на предварительное обсуждение планов по сокращению персонала, которое вылилось в конфликт. Спустя два месяца IT-специалиста арестовали по подозрению в краже данных и попытке продать исходный код ПО под названием «Пегас» (Pegasus) на форумах «темного» интернета за 50 млн долларов в криптовалюте.

Имя подозреваемого и некоторые детали расследования засекретили в целях национальной безопасности Израиля. Власти называют инцидент одним из худших экономических и киберпреступлений в истории государства.

Согласно тексту обвинения, неназванный 38-летний специалист начал работать в компании в 2017 году. Его должностные обязанности открывали доступ к серверам, где хранились продукты NSO Group с исходным кодом.

Политика безопасности компании запрещает подключать к компьютерам внешние накопители. Незадолго до инцидента программист искал в интернете, как обойти запрет. В итоге ему удалость подключить внешний накопитель и вынести данные за пределы компании. Данные включали исходный код, который дает полное понимание того, как работает и на что способен «Пегас».

В Google программист искал также информацию о том, кто и каким образом продает кибероружие в «темном» интернете. Зарегистрировав почту на анонимном сервисе, он выставил «Пегас» на продажу за сумму в криптовалюте, равную 50 млн долларов. В обвинительном заключении говорится, что разработчик оценивает украденное ПО в сотни миллионов.

Предложением программиста, который представился хакером, взломавшим сеть NSO Group, заинтересовался потенциальный покупатель. Однако он не стал заключать сделку, а сообщил в компанию и вместе с ее специалистами узнал у подозреваемого нужные детали. На следующий день полиция провела обыск в доме уволенного программиста и обнаружила под матрасом внешний диск с данными.

Мощнейшие инструменты, которые позволяют прослушивать и снимать любого пользователя в мире без его ведома и без каких бы то ни было ограничений, оставались в распоряжении подозреваемого в течение трех недель.

В документах суда говорится, что действия подозреваемого создали угрозу государственной безопасности Израиля, потому что могли бы привести к закрытию NSO Group. Адвокат подозреваемого говорит, что у его подзащитного не было намерений навредить Государству Израиль.

Компания NSO Group со штаб-квартирой в Герцлии создает и продает дорогостоящее ПО для санкционированного удаленного доступа к смартфонам и устройствам с операционными системами iOS и Android. Отдельные версии софта позволяют спецслужбам собирать значимую информацию с iPhone без взаимодействия с гаджетом. Другие – требуют, чтобы владелец устройства перешел по ссылке в сообщении с тщательно выверенным текстом. Тогда спецслужбы получают доступ к списку контактов, почте, переписке в социальных сетях, геолокации и другим данным владельца.

В компании NSO Group утверждают, что создают инструменты для борьбы с терроризмом и продают ПО только государственным службам. Экспорт продуктов контролирует израильское Министерство обороны. В Израиле опасаются, что хакерские инструменты и способы эксплуатации уязвимостей, предназначенные для целей государственной безопасности, попадут в чужие руки.

NSO Group уже сталкивалась с серьезными обвинениями в том, что правительства разных стран использовали разработки компании для репрессий. В Мексике власти следили за журналистами и правозащитниками, в ОАЭ – за блогером и гражданским активистом, которого недавно приговорили к 10 годам тюрьмы.

В то время, когда произошел инцидент, на NSO Group работали примерно 500 сотрудников, а рыночная стоимость компании оценивалась минимум в 900 млн долларов. В мае 2018 года пресса писала, что компания Verint вела переговоры о покупке израильского разработчика за 1 млрд.

Теперь вероятные инвесторы могут задать вопрос, какую ответственность им придется нести, если в результате утечки или кражи ПО с информацией об уязвимостях окажется не у проверенных клиентов, а будут использованы как часть атаки.