Azt történt az NSO-val, aminek egy hozzá hasonló cég a legkevésbé örül: reflektorfénybe került. Az ilyen vállalatok jobban szeretik, ha nem a lapok címoldalán virítanak, és ezt elég hatékonyan el is tudják érni. Persze ott is emberek dolgoznak, akik esetleg engednek a hiúság csábításának, mint Tal Dilian, az Intellexa vezetője, aki például a Forbesnak dicsekedett ő és cége kiberkémkedési képességeivel (a sztorijával, illetve az izraeli kiberkém eszközök fejlesztésével itt foglalkoztunk).

Az NSO-ról azonban nem egy vezetőjének az emberi gyengesége rántotta le a leplet, hanem egy nemzetközi oknyomozó szervezethez kiszivárgott telefonlista. A botrány hullámai Washingtonig értek, aminek lett egy újabb, az NSO-ra nézve hátrányos következménye. A Biden-kormányzat szerdán bejelentette, hogy exportkorlátozást vezet be a cégre, mert annak termékeit transznacionális elnyomás eszközeként használták.

Az intézkedést az amerikai kereskedelmi minisztérium közölte. Eszerint az NSO (valamint további három másik cég) csak a kormányzat engedélyével juthat hozzá bármiféle amerikai alkatrészhez és technológiához. A kereskedelmi miniszter, Gina Raimondo a közleményben arról beszélt, hogy a szigorú exportellenőrzést fel fogják használni minden vállalat ellen, melyek olyan technológiákat fejlesztenek, forgalmaznak vagy használnak, amik alkalmasak például másként gondolkodók, kormánytisztviselők és szervezetek elleni támadásra a kibertérben.

Csapás csapás hátán...

Mint a Security Week írja, ez már a sokadik csapás az NSO Groupra, amióta fényt derült arra, hogy kik és ki mindenki ellen vetették be Pegasus nevű kémszoftverét. A Facebook például beperelte a céget egy 2019-es, a WhatsAppot érintő incidens miatt. Akkor állítólag (legalábbis Zuckerbergék keresete szerint) a titkosított üzenetküldő szolgáltatás közel 1400 felhasználóját támadták az NSO kémprogramjával.

A vállalat ugyan kiadott egy közleményt, melyben tagadja a neki felrótt eseteket, de ez már sok szempontból vesztes ügynek tűnik. (Ahogy annak idején a Kaspersky küzdelme is szélmalomharcnak bizonyult az USA-ból érkező támadások ellen.) Az itt kevés, hogy az ellenkezőjét állítja, mint amit az amerikai kormány mond, tudniillik hogy eszközei a terrorizmus és a bűnözés megelőzésével támogatják az Egyesült Államok nemzetbiztonsági érdekeit és politikáját.

Állításuk szerint övék a világ legszigorúbb megfelelési és emberi jogi programja, melyek ráadásul az általunk mélyen osztott amerikai értékeken alapulnak. Példaként azt hozzák fel, hogy több kormánnyal is megszakították a kapcsolatot, mert szolgálataik visszaéltek a Pegasusszal.

Meglehet, minden csak szó, szó, szó...

Mindezzel együtt nehéz megjósolni, milyen hatással lesz a kormányzati intézkedés a cégre. Egy az embargós ügyekben szakértőnek számító ügyvéd azt mondta a Security Weeknek, hogy sok vállalat mindenféle üzleti kapcsolatot megszakít a feketelistára kerülő cégekkel. Többek között azért, mert szeretnék minimalizálni a véletlen jogsértés kockázatát és megspórolni a bonyolult jogi elemzések költségeit.

Egy kiberbiztonsági jogász, aki korábban az amerikai kiberkémszervezet, az NSA főtanácsadójaként is dolgozott, viszont úgy vélte, más szempontokat is számításba kell venni. Például azt, hogy a kereskedelmi minisztériumnak jelentős mérlegelési jogköre lesz abban, hogy miként kezeli az NSO-val kapcsolatos exportkérelmeket. És itt egyáltalán nem lesz mindegy, hogy egy-egy kérelem pozitív elbírálásakor mekkora lesz rajta a nyomás az amerikai exportőrök és az izraeli kormány felől. Szerinte simán elképzelhető, hogy Bidenék mostani bejelentése csupán szimbolikus, de valójában a biznisz zavartalanul megy tovább.

A képet színesíti, hogy az NSO Group mellett feketelistás lett a szintén izraeli Candiru, amellyel a Windows sebezhetőségeit kihasználva tíz ország legalább száz aktivistáját, újságíróját és ellenzéki politikusát hallgatták le. A kutatások szerint az eszközt Magyarországról is használták.

Rajtuk kívül az orosz szolgálatokhoz is bekötött, amúgy hivatalosan sérülékenységkereséssel foglalkozó Positive Technologies (a céget itt mutattuk be), valamint a szingapúri székhelyű Computer Security Initiative Consultancy ellen is bevezették az exporttilalmat. Mindkét cégnél az volt a vád, hogy informatikai rendszerekhez való jogosulatlan hozzáférést segítő kibereszközökkel kereskedtek.