«Пегас»
Шрифт:
Опасная загвоздка в системе Pegasus заключалась в том, что она не ограничивалась шпионажем за плохими парнями. К тому моменту, когда мы встретились в Берлине с Клаудио и его вторым номером Доннча О Сирбхайлом, уже было задокументировано несколько десятков случаев неправомерного использования системы. Эксперты по кибербезопасности из лаборатории Citizen Lab Университета Торонто и лаборатории безопасности Amnesty International Клаудио обнаружили случаи использования Pegasus для атак на правозащитников, адвокатов и журналистов. Специалисты этих криминалистических лабораторий не только прояснили многие механизмы и возможности Pegasus, но и назвали некоторых из его наиболее пагубных конечных пользователей. Компания WhatsApp подала иск против NSO, утверждая, что четырнадцать сотен ее пользователей подверглись тайной атаке Pegasus всего за один двухнедельный период. Иск также находился на рассмотрении у Amnesty International. Общественное достояние наполнялось информацией, почерпнутой из судебных документов, поданных в суды от Соединенных
Кроме того, появилось несколько действительно хороших журналистских материалов и все больше научных работ, посвященных развитию коммерческой индустрии "Вторжение как услуга" в целом и NSO в частности. Все эти многочисленные расследования, взятые вместе, начинали напоминать более удачное издание притчи о слепцах и слоне. Эксперты по кибербезопасности, ученые, журналисты и жертвы, стремящиеся к справедливости, работая по отдельности и совместно, сумели составить довольно полное представление о действующем слоне киберслежки.
Одни только очертания этих документов наглядно демонстрировали угрозу правам человека и неприкосновенности частной жизни, и все же даже самые тревожные заголовки и самые подробные судебные анализы не оказали практически никакого реального воздействия. За исключением призывов Amnesty International и Citizen Lab, а также специального докладчика ООН по вопросам поощрения и защиты права на свободу мнений и их свободное выражение, практически не было никакого общественного резонанса и очень мало реального внимания. Ни один значимый руководящий орган не накладывал на индустрию никаких ограничений. Прибыль NSO и ее клиентская база росли быстрее, чем когда-либо, клиенты находились в Европе, Северной Америке, на Ближнем Востоке и в Африке. "Те немногие из нас, кто занимался этими вопросами, снова и снова предупреждали, что коммерциализация наблюдения открывает путь к систематическим злоупотреблениям", — скажет позже Клаудио, вспоминая десятилетие постоянных усилий и постоянного разочарования. "Очень немногие прислушивались, большинство просто оставались равнодушными. Каждый новый отчет, каждый новый случай казался настолько несущественным, что я начал сомневаться, что настаивание на них служит чему-то, кроме нашего собственного эго".
Именно это и сделало эту утечку такой заманчивой.
В первый день совместной жизни в Берлине Клаудио никогда не проявлял особого оживления, как и в любой другой день после этого. Он всегда старался не выдать внешне своего волнения. Но он явно надеялся, что утечка списка поможет ему наконец-то получить информацию о НСО и позволит нам привлечь внимание общественности, которого этот разворачивающийся кризис действительно заслуживал. Клаудио и Доннча немного опередили нас в понимании самого списка, отчасти благодаря техническим навыкам, которые они развили за последнее десятилетие, а отчасти потому, что Лаборатория безопасности имела доступ к цифровым инструментам, которых не было у Forbidden Stories. Клаудио определял повестку дня большую часть того первого дня за столом в столовой в Берлине, сидя на гладкой деревянной скамье и объясняя общую картину этой истории, как он ее понимал в тот момент.
Клаудио объяснил, что временные метки в этих данных появились почти пять лет назад и вплоть до последних нескольких недель, а это значит, что атаки были свежими и, возможно, даже продолжались. Скорее всего, мы расследуем готовящееся преступление. Он и Доннча уже начали кропотливый процесс определения того, кто именно пытался шпионить за кем. И когда именно. И где именно. Список телефонных номеров располагался группами, указывая, какая из многочисленных стран-клиентов НСО нацелилась на конкретного человека. Правительства, выбирающие цели, варьировались от кровожадных диктатур до потенциальных автократий и крупнейших демократий на планете. Самым активным государством-клиентом оказалась Мексика, где было отобрано более пятнадцати тысяч отдельных номеров для возможной атаки.
В списке, несомненно, содержались сотни номеров мобильных телефонов настоящих наркобаронов, террористов, преступников и угроз национальной безопасности — тех злоумышленников, которые, по словам представителей НСО, призваны помешать "Пегасусу". Но то, что Клаудио и Донча уже узнали о круге целей, выбранных для атаки, поражало воображение. Когда они приступили к идентификации некоторых телефонных номеров из списка, объяснил нам Клаудио, оказалось, что многие из них принадлежат ученым, правозащитникам, политическим диссидентам, правительственным чиновникам, дипломатам, бизнесменам и высокопоставленным военным. Клаудио и Донча уже нашли сотни некриминальных, нетеррористических целей, отобранных для возможного заражения "Пегасом", а ведь они едва коснулись поверхности. Самой многочисленной группой, на спине которой находилось более 120 целей, были журналисты.
Если данные из этого списка приведут нас к неопровержимым доказательствам, необходимым для публикации, то, как мы все понимали, мы сможем не только подтвердить уже известный факт, что киберпроникновение и киберслежка используются для подавления свободной прессы, а также для подрыва и интимизации политического инакомыслия. Мы смогли бы показать, что это оружие используется в таких масштабах, которые поражают и ужасают.
Когда Клаудио, Донча, Сандрин и я пролистывали страницу за страницей номера возможно скомпрометированных
мобильных телефонов, мне пришло в голову, что мы не просто нащупываем очертания одного слона-изгоя. Перед нами стадо из сотен, тысяч, может быть, даже десятков тысяч слонов, беспрепятственно несущихся по равнинам, подталкиваемые одними из самых жестоких политических режимов на планете, и направляющихся прямо к заветным и необходимым столпам гражданского общества. Масштабное, бесконтрольное, систематическое злоупотребление оружием киберслежки представляло собой явную и реальную опасность для самых основных прав человека, включая неприкосновенность частной жизни, политическое инакомыслие, свободу слова и свободу прессы; это была угроза самой демократии в то время, когда самые стабильные демократии мира подвергались неустанным атакам извне и изнутри.ПЕРВЫЙ взгляд на список слегка дезориентировал. Притяжение было магнетическим, почти как физическое ощущение. Я напоминал себе время от времени делать глубокий вдох, пока Клаудио продолжал говорить, отмечая, например, что, похоже, марокканская разведка нацелилась на необычайно большое количество французских мобильных телефонов. Мне приходилось повторять себе, чтобы не позволить своему воображению зайти слишком далеко. Скептицизм крайне важен для любого репортера — он помогает избежать досадных ошибок, таких как подыгрывание недобросовестному источнику, у которого есть своя корысть, или волнение по поводу потенциально важной истории, которое пересиливает здравый смысл и тщательную проверку. Проверка данных из этого списка заняла бы месяцы. Поиск жертв, готовых позволить нам проанализировать их телефоны на предмет наличия слежки со стороны Pegasus (и молчать об этом, пока мы будем готовить материал), был бы очень деликатной операцией. Клаудио и Доннча столкнулись с более сложной задачей, даже имея на руках потенциально скомпрометированные телефоны для анализа. NSO разработала Pegasus не просто как троянского коня; он был спроектирован как невидимый троянский конь. Лучшие эксплойты для киберслежки не оставляют после себя никаких заметных следов, а NSO считалась лучшей в этом деле по части заметания следов. Собрать неопровержимые судебные доказательства было непростой задачей, а судебная экспертиза — это только половина дела.
Клаудио, Донча, Сандрин и я говорили о том, чтобы начать расследование деятельности частной компании, чьей целью является цифровое наблюдение, — компании, которая трубила о своей способности "Найти кого угодно и где угодно". Учитывая, что иностранные правительства на пяти континентах платили NSO четверть миллиарда долларов в год именно за это, шпионская система компании, вероятно, была очень хороша в этом деле. К моменту завершения нашей первой встречи мы все четверо понимали, во что нам предстоит ввязаться, а Клаудио — больше всех. Перед тем как расстаться, он дал нам с Сандрин еще один жесткий набор инструкций: сказал, что мы должны пойти и купить новые устройства — никаких SIM-карт! — предназначенные исключительно для общения друг с другом. Мы вчетвером и все остальные участники проекта не должны были разговаривать по мобильному телефону. Ни сообщений iMessage, ни сообщений Signal, ни звонков WhatsApp. По настоянию Клаудио мы уже купили новые специализированные ноутбуки — PC, а не Mac, — чтобы поставить жесткую стену между проектом "Пегас" и всей остальной работой, которой мы занимались. Если мы продолжим этот проект, подумалось мне, главной движущей силой операции станет паранойя.
Когда Клаудио и Донча ушли вечером, договорившись встретиться на следующий день, в моей голове уже крутились мысли о трудностях, связанных с этим расследованием. Сам список был большой неизвестностью. Мы были уверены в источнике утечки, но это было неважно. Нам предстояли месяцы проверки подлинности данных из списка, перепроверки каждого факта и каждой истории, всплывшей из этих десятков тысяч телефонных номеров. Нам предстояло проделать эту работу, пытаясь жить в условиях физических и социальных ограничений, наложенных на нас самой смертоносной за последнее столетие глобальной пандемией. Мне также было трудно представить, что у нас сложатся комфортные рабочие отношения с Клаудио, который в тот первый день не показал даже намека на улыбку. Доннча был гораздо более открытым и покладистым, но у двадцатисемилетнего кибер-исследователя, как мы узнали позже, тоже были веские причины опасаться репортеров. К этому следует добавить, что расследование придется проводить в условиях абсолютной секретности — пузырь, который легко может лопнуть от одной неосторожной ошибки.
КЛАУДИО предложил интересное упражнение для нашей встречи во второй день в Берлине — "наброситься на низко висящие фрукты". Он достал из сумки неиспользованный USB-накопитель, все еще в упаковке, и помог мне безопасно загрузить резервную копию всего файла цифровых контактов с моего личного мобильного телефона. Затем Клаудио подключил незапятнанный USB-накопитель к защищенному ноутбуку, который он использовал для доступа к списку, и запустил автоматическую программу, которая сопоставила номера мобильных телефонов из моего файла контактов с номерами мобильных телефонов в данных. Первым совпал номер чиновника из министерства иностранных дел Турции. Его номер был у меня, потому что я попросил у него интервью во время работы над статьей о секретных поставках оружия между турецкими спецслужбами и джихадистскими группировками на севере Сирии.