Pegasus — это не обычный троян и не вредоносное ПО, крадущее пароли. Это продвинутое цифровое оружие, созданное израильской компанией NSO Group, которое в одно мгновение превращает смартфон в шпиона, работающего круглосуточно. Оно действует на уровне ядра системы, используя уязвимости zero-day и zero-click, благодаря чему заражает устройство без единого клика, без скачивания файла и без ведома пользователя. После установки Pegasus получает полные права администратора, считывает сообщения до их шифрования, активирует микрофон и камеру, отслеживает местоположение в реальном времени и отправляет все данные оператору через скрытую сеть серверов.
На практике Pegasus выходит далеко за рамки того, что большинство из нас считает приватностью. Он не ограничивается копированием экрана или логов — он создаёт полную картину жизни жертвы: от удалённых сообщений до записей окружающего пространства. В 2026 году, несмотря на многочисленные судебные процессы и патчи от Apple и Google, инструмент продолжает эволюционировать, а его использование в Польше стало символом напряжённости между обеспечением безопасности и злоупотреблениями властью. Это история о том, как технология, призванная защищать от терроризма, превратилась в инструмент тотальной слежки.
Механизм гениален в своей простоте и пугающ в масштабе: от идентификации цели оператором через точный эксплойт до тихой установки и непрерывной передачи данных. Pegasus не оставляет следов, которые способен обнаружить обычный антивирус, — он глубоко прячется в системе и может самоуничтожиться при малейшей угрозе. В этой статье мы разберём его по полочкам, шаг за шагом, с деталями, которых не найти в обычных материалах.
Кто такие NSO Group и как появился Pegasus
Компания NSO Group была основана в 2010 году в Израиле для поставки правительственным агентствам инструментов борьбы с терроризмом и тяжёлой преступностью. Название «Pegasus» отсылает к мифическому крылатому коню — символу способности проникать через любые преграды. Первые версии появились на рынке около 2011 года, а уже в 2016-м Citizen Lab раскрыл случаи применения против активистов прав человека.
NSO продаёт лицензии исключительно правительствам и разведслужбам — одна лицензия на одну цель стоит сотни тысяч долларов. Производитель утверждает, что инструмент используется только в обоснованных случаях обеспечения национальной безопасности, однако отчёты со всего мира показывают, как часто он попадает к журналистам, оппозиционерам и обычным гражданам. К 2026 году Pegasus эволюционировал от простого фишинга до набора эксплойтов, способных обойти даже самые современные защиты iOS и Android.
История эволюции Pegasus — от 2016 года до реалий 2026-го
Начало было впечатляющим. В 2016 году Lookout и Citizen Lab изучили телефон Ахмеда Мансора и обнаружили три уязвимости zero-day в iOS под названием Trident. Эксплойты CVE-2016-4655, -4656 и -4657 позволяли выполнить jailbreak без какого-либо взаимодействия с пользователем. Apple оперативно их закрыла, но NSO не дремало — в 2019 году оно перешло на атаки через WhatsApp, где достаточно было входящего звонка (даже неотвеченного), чтобы заразить устройство.
В 2021 году Google Project Zero раскрыл FORCEDENTRY — эксплойт в iMessage, использующий формат JBIG2 для создания виртуального компьютера внутри сообщения. Позже появились BLASTPASS (уязвимость в libwebp) и PWNYOURHOME (комбинация HomeKit и iMessage). В 2023 году Pegasus ещё работал на iOS до версии 16.6, а в 2025-м суды США наложили на NSO штрафы и запреты из-за атак на пользователей WhatsApp. Несмотря на это, в феврале 2026 года польская прокуратура предъявила обвинения бывшим руководителям ABW и SKW за использование системы без необходимой аккредитации безопасности.
Изменения затронули не только технику. Pegasus научился самоочищению — через 60 дней отсутствия связи с сервером C&C он просто исчезает, не оставляя следов. Это настоящая эволюция: от видимого трояна к призраку в операционной системе.
Как происходит заражение — zero-click как новая норма
Обычное вредоносное ПО требует клика по ссылке или скачивания файла. Pegasus давно перестал спрашивать разрешения. Самый популярный метод — zero-click через системные приложения: iMessage, WhatsApp или даже «Фото». Достаточно получить специальное сообщение — часто оно выглядит как обычный GIF или push-уведомление, — и код эксплуатирует уязвимость в графической библиотеке или парсере.
Процесс выглядит следующим образом: сервер оператора отправляет пакет, запускающий цепочку эксплойтов. Сначала он выходит из песочницы приложения, затем повреждает память ядра, выполняет jailbreak или root и устанавливает основной шпионский модуль. На Android пытается получить root, а если не получается — запрашивает разрешения так, что это выглядит как обычное системное обновление.
Ранние версии требовали клика по ссылке в SMS, но с 2020 года преобладают сетевые атаки и zero-click. Оператору даже не обязательно знать номер телефона — иногда достаточно номера из утечки или подключения по Wi-Fi поблизости. Pegasus также может работать через физический доступ или беспроводной трансивер, размещённый рядом с целью.
Техническая архитектура: как Pegasus получает полный контроль
После заражения Pegasus устанавливается на уровне ядра. На iOS выполняет тихий jailbreak, на Android — rooting. Благодаря этому обходит все системные ограничения и получает доступ к каждому приложению, файлу и сенсору. Ключевые модули:
- модуль перехвата данных из мессенджеров (читает сообщения до их шифрования),
- кейлоггер, фиксирующий каждое нажатие клавиши,
- аудио- и видеомодуль, активирующий микрофон и камеру по запросу,
- модуль геолокации GPS и Wi-Fi с точностью до метра,
- модуль эксфильтрации — сжимает и шифрует данные AES перед отправкой.
Вся система общается через сеть PATN (Pegasus Anonymizing Transmission Network) — сложную инфраструктуру с сотнями доменов, DNS-серверов и случайных URL-путей. Высокие номера портов и рандомизация делают трафик практически неотличимым от обычного. Данные передаются в фоне, без заметного расхода батареи или трафика.
| Метод заражения | Требуемое взаимодействие | Пример эксплойта | Год внедрения |
|---|---|---|---|
| One-click (ссылка в SMS/MMS) | Да — клик | WebKit memory corruption | 2016 |
| Zero-click iMessage | Нет | FORCEDENTRY (JBIG2) | 2021 |
| Zero-click WhatsApp | Нет | Call-based vulnerability | 2019 |
| Zero-click BLASTPASS | Нет | libwebp image parsing | 2023 |
Источник данных: технические анализы Citizen Lab и Google Project Zero. Таблица показывает, как быстро эволюционировали методы — от видимых ссылок к полностью скрытым атакам.
Что именно умеет Pegasus — возможности, которые пугают
После захвата контроля оператор видит буквально всё. Он читает SMS, email, чаты в Signal, WhatsApp, Telegram — даже end-to-end зашифрованные, потому что перехватывает их до шифрования в приложении. Записывает VoIP-разговоры в реальном времени, записывает окружение через микрофон, делает снимки с фронтальной и основной камеры.
Кроме того: доступ к галерее, контактам, календарю, истории браузера, сохранённым паролям, файлам в облаке. Может отслеживать местоположение с точностью до нескольких метров, даже при выключенном GPS (через триангуляцию вышек и Wi-Fi). Отозванные сообщения? Pegasus сохранил их заранее. Удалённые фото? Они тоже остались в его базе.
Инструмент способен имитировать нормальную работу телефона, чтобы не вызывать подозрений: батарея не садится быстрее, процессор не греется. Это уровень, при котором обычный пользователь чувствует себя совершенно беззащитным.
Pegasus в польском контексте — от покупки до обвинений в 2026 году
В Польше тема взорвалась в 2021 году, когда стало известно о закупке системы спецслужбами. По данным Citizen Lab активность Pegasus в польских сетях фиксировалась уже с 2017 года. Среди жертв — Роман Гертых, Эва Вжосек, Кшиштоф Брейза и в общей сложности сотни человек в 2017–2022 годах.
В 2025 году появились записи 2019 года, якобы сделанные Pegasus во время политических встреч. В феврале 2026-го прокуратура предъявила обвинения в неисполнении обязанностей бывшим руководителям ABW и SKW — речь шла об отсутствии аккредитации безопасности и риске утечки секретной информации. Дело наглядно показало, как инструмент, предназначенный для борьбы с преступностью, стал предметом острых дебатов о пределах слежки.
Как обнаружить Pegasus и реальные способы защиты
Обнаружить Pegasus непросто, поскольку он не оставляет явных следов. Самые эффективные методы:
- использование Mobile Verification Toolkit (MVT) от Amnesty International — анализирует резервные копии iOS или Android,
- проверка файла shutdown.log на iOS (метод Kaspersky 2024 года — работает только после перезагрузки в день заражения),
- наблюдение за необычным поведением: внезапный расход батареи, странный нагрев, неожиданные перезагрузки.
Профилактика важнее лечения. Устанавливайте обновления системы и приложений сразу после выхода патчей — Apple и Google выпускают их именно против таких угроз. Избегайте подозрительных ссылок, отключите iMessage и FaceTime, если не пользуетесь, включите режим Lockdown Mode на iOS. Используйте Signal или WhatsApp с проверкой ключей и не подключайтесь к публичным Wi-Fi без VPN.
Для людей в группе риска (журналисты, активисты, политики) имеет смысл завести отдельный «одноразовый» телефон для чувствительных контактов. Pegasus дорогой и применяется избирательно — он не атакует миллионы, а бьёт точно в цель.
Будущее Pegasus и уроки 2026 года
Несмотря на суды, запреты на экспорт и патчи, Pegasus никуда не исчезнет. NSO продолжает развиваться, а похожие инструменты появляются у других игроков. В 2025 году код, аналогичный Pegasus, обнаружили у групп, связанных с Россией, — это доказательство, что однажды созданное оружие распространяется как вирус.
Для обычного пользователя главное — осознать: смартфон — это не просто средство связи, а окно в вашу жизнь. Pegasus демонстрирует, насколько тонка грань между защитой и злоупотреблением. Осведомлённость и своевременные обновления — лучшее оружие, которое у нас есть. Технологии развиваются быстро, но мы, пользователи, можем научиться двигаться ещё быстрее и умнее.