«Пегас»
Шрифт:
Когда на следующий день Фредерик и Бастиан явились в офис Direkt36 на вторую встречу, Клаудио и Донча уже сопоставили более десятка номеров из списка контактов Саболча с номерами в наших данных. Саболч взял один из совпавших номеров и набрал его в своем телефоне. "Что ж, — вздохнул он, — похоже, это наш коллега, работающий здесь".
"В газете?" спросил Бастиан. "У нас нет названия для этого номера".
Саболч определил, что номер принадлежит Андрашу Сабо, который работал в соседней комнате.
"Итак, второй коллега из Direkt36", — сказал Бастиан. "Это раздражает".
Саболч вызвал Андраша Сабо в конференц-зал, чтобы получить его разрешение на проведение экспертизы. Затем команда загрузила резервную копию iPhone Андраша в лабораторию безопасности,
"Похоже, что он был скомпрометирован 13 июня 2019 года и еще раз 24 сентября того же 2019 года", — сказал им Фредерик.
"Я?" сказал Андраш Сабо, выглядя ошеломленным.
"Да, ты".
"Ух ты!"
"Думаю, было бы неплохо просмотреть ваш календарь и воспоминания", — предложил Фредерик.
"У меня проблема", — объясняет Андраш Сабо. "В прошлом году венгерская полиция пригласила меня в качестве свидетеля по одному делу, и перед тем как эти полицейские пришли за мной, я удалил много вещей из своего календаря".
Саболч уже сканировал архивы Direkt36, чтобы найти материалы, которые его коллега опубликовал в соответствующие месяцы 2019 года. Незадолго до первой кибератаки Андраш опубликовал расследование о министре связи Орбана. Чиновник Fidesz и его жена получили в подарок роскошные автомобили от компании, связанной с Россией. Затем он написал статью об оппозиционере, подозреваемом в финансовых махинациях. Затем — о контракте на строительство венгерской атомной электростанции, который был отдан российской корпорации "Росатом".
Андраш объяснил, что у него есть важные анонимные источники по истории с атомной станцией.
"Это может быть кто-то, кто пытается выяснить, кто ваши источники", — предположил Фредерик. "Или, может быть, ваши источники сообщили правительству".
"Может быть", — сказал Андраш. Он не знал, что и думать. Но для команды Direkt36 было ясно несколько вещей. Это будет большая история, и работы предстоит много.
"Думаю, было бы неплохо, если бы вы еще раз просмотрели свои записи и подумали, какие источники могут быть в опасности", — предложил Фредерик.
"Только эти два дня?" спросил Андраш.
"Насколько мы сейчас понимаем систему, заражения происходили именно в эти дни", — сказал им Фредерик. "Но это не значит, что только в эти дни. Может быть, кто-то слушал и читал и после этого".
Андраш Петё, как всегда, редактор, напомнил Саболчу и Андрашу Сабо, что они должны держать всю эту информацию между собой. Пока, сказал он, будет лучше, если они не скажут об этом никому из своих коллег.
"Даже не записывайте в свой компьютер, что эта встреча состоялась", — предостерег Фредерик. "Ни с кем не говорите об этом".
ПОДТВЕРЖДЕНИЕ заражения iPhone Андраша Сабо ознаменовало конец очень продуктивного месяца в Лаборатории безопасности в Берлине. Включая недавнее подтверждение iPhone, принадлежащего репортеру из Мексики, Клаудио и Доннча за это короткое время нашли следы Pegasus на десяти разных мобильных телефонах, по крайней мере в четырех разных странах. По опыту Клаудио, процент успеха был просто зашкаливающим. Даже те несколько iPhone, которые оказались чистыми, помогли команде кибербезопасности Amnesty International, состоящей из двух человек, составить каталог миллионов законных названий процессов в iOS или в приложениях, установленных из магазина Apple. "Ни на одно из них нет никакой документации", — сказал нам Клаудио. "Apple не публикует подробностей. Так что процесс понимания и знакомства с операционной системой [iPhone] тоже был".
Внезапный наплыв криминалистических анализов увеличил список легитимных имен процессов iOS в Лаборатории безопасности, но также увеличил и список нелегитимных имен процессов, сгенерированных Pegasus. В глаза бросался тот факт, что кто-то в NSO ловко переименовывал вредоносные процессы Pegasus, чтобы замаскировать атаки, добавляя или вычитая или перемещая букву здесь, меняя цифру там. Например, легитимный ckkeyrolld от Apple стал вредоносным ckkeyrollfd от NSO; fseventsd стал eventsfssd; nehelper стал nehelprd; CommCenterRootHelper
стал CommsCenterRootHelper; xpcroleaccountd стал roleaccountd. "Чем больше мы смотрим на телефоны, — сообщает Доннча, — тем больше собираем показателей. Мы как бы создаем базу данных индикаторов".Увеличение этой базы данных имело решающее значение. Вводя в свой мозг этот растущий список имен вредоносных процессов, криминалистический инструмент Security Lab учился побеждать, как позже сказал один из наших партнеров, в "самой сложной в мире игре "Найди отличия"".
В конце апреля Клаудио и Доннча явно обрели уверенность в своем развивающемся криминалистическом инструменте, и на то были веские причины. Они только что обнаружили следы атаки Pegasus на iPhone индийского журналиста М. К. Вену, который казался чистым, когда они впервые проанализировали его еще в марте. Но оказалось, что по крайней мере одно имя процесса, сгенерированное Pegasus, которое Клаудио и Доннча обнаружили в iPhone Ленаига Бреду — otpgrefd — также находилось в резервной копии iPhone М. К., хранившейся на диске в Security Lab. "Как только вы чувствуете, что открыли что-то новое, чего не знали раньше, вы возвращаетесь назад и просматриваете предыдущие улики", — сказал нам Клаудио. "Возможно, вы обнаружите какие-то вещи, которые раньше упускали или интерпретировали по-другому".
Стали вырисовываться закономерности и сходства, связывающие конечных пользователей Pegasus. Клаудио и Донча обнаружили, что множество вредоносных шпионских процессов, созданных NSO, работали на множестве зараженных iPhone, независимо от того, находился ли клиент NSO в Индии, Марокко, Мексике, Венгрии или любой другой стране из нашего списка.
Недавняя экспертиза также выявила некоторые различия в сигнатурах клиентов NSO, что позволило отследить и подтвердить, откуда именно исходили конкретные цифровые атаки. Как оказалось, каждый лицензиат NSO, судя по уликам в телефонах, использовал свой собственный набор сфабрикованных учетных записей iCloud для совершения атак. Клаудио и Доннча обнаружили множество случаев, когда на ранних этапах использования Pegasus iPhone тайно связывались с созданными NSO учетными записями iCloud с определенными адресами электронной почты. Записи этих контактов в iCloud или iMessage, все из которых использовали вымышленные имена, затем записывались в файл в глубине телефона. С жертвами марокканских клиентов NSO могли связываться такие подделки, как bergers.o79@gmail.com или naomiwerff772@gmail.com или bogaardlisa803@gmail.com или linakeller@gmail.com, с жертвами индийских клиентов — lee.85.holland@gmail.com или bekkerfred@gmail.com или taylorjade0303@gmail.com. Телефон М. К. Вену и двух других клиентов из Индии был получен по адресу herbruud2@gmail.com. Венгерские цели Саболч Паньи и Андраш Сабо тайно связывались с вымышленной Джессикой vies1345@outlook.com и ее вымышленной сестрой emmadavies8266@gmail.com.
Глубокий и все более широкий криминалистический анализ также позволил Клаудио и Доннче по-новому взглянуть на возможности инженеров и кодеров, которые разрабатывали и создавали систему Pegasus. Гениальность технической команды в штаб-квартире NSO к северу от Тель-Авива не проявилась во вредоносном ПО, которое лицензиаты Pegasus использовали для шпионажа за iPhone и его владельцем. Отчасти "дерьмовое", — говорит Клаудио, когда на него нажимают. "По-настоящему сложная часть Pegasus — это не сама вредоносная программа Pegasus", — говорит Донча. "Но эксплойт, фактический способ внедрения шпионского ПО в телефон, довольно сложен, и это то, что постоянно меняется".
Сложное оружие, которое система Pegasus от NSO использовала для внедрения своих вполне обычных шпионских программ, было разработано для использования уязвимостей, скажем, в программном обеспечении Apple и приложениях, запущенных на iPhone. Лаборатория безопасности уже обнаружила эксплойты, предназначенные для атак через iMessage и Apple Photos. Такое оружие известно в сфере кибербезопасности как "эксплойты нулевого дня", потому что именно столько времени технологические компании вроде Apple, Google или Microsoft знают о проблеме, и именно столько времени у них есть, чтобы устранить проблему до атаки. Ноль дней! Ни одного. Уже слишком поздно.