«Пегас»
Шрифт:
Мои нервы уже были немного взвинчены, когда 17 июня пришел Лоран и показал мне тревожное сообщение от Фабриса Арфи, нашего друга и коллеги из Mediapart, который помог убедить Эдви Пленеля позволить нам провести экспертизу его телефона еще в апреле. Фабрис прислал Лорану сообщение, в котором говорилось, что в Париже ходят разговоры о том, что Эдви заразился "Пегасом". Ни Фабрис, ни Эдви не были этому рады. Mediapart готовил свой собственный репортаж о киберслежке отдельно от нашего консорциума, но они сделали коллегиальное предложение придержать свои материалы до нашей публикации. Фабрис беспокоился, что история о заражении "Пегаса" в Mediapart просочится, и это опозорит уважаемый сайт. Эдви нервничал. Фабрис нервничал. Я и сам был немного обеспокоен. До публикации оставался еще месяц, и я должен был следить за тем, чтобы это расследование оставалось в тайне до тех пор, пока мы не будем готовы нажать кнопку "Выход".
Кристоф
Карин покинула Руанду совсем юной девушкой, вскоре после того, как пережила геноцид; она поступила в колледж в США и работала в Нью-Йорке на протяжении всей своей карьеры. С тех пор как ее отец был похищен, она жила в Бельгии. У Карин было два телефона: один с бельгийским номером, другой — с американским. Ни один из телефонов не оказался особенно сговорчивым.
За последние три недели Кристоф уже трижды ездил к Карине в Бельгию, чтобы провести экспертизу двух ее телефонов, но анализ так и не был завершен никем. Во время первого визита Кристоф попытался сделать резервную копию одного телефона, но файл оказался слишком большим; во время второго визита при загрузке в лабораторию безопасности пропал ключевой файл. План четвертого визита Кристофа состоял в том, чтобы получить более полную резервную копию бельгийского телефона для анализа Клаудио. В тот день возникли дополнительные сложности. Когда Кристоф попытался собрать диагностические журналы с телефона Карин, процесс застыл, чего Клаудио никогда раньше не видел. "Я подумал: "Ну, это странно", — вспоминает Клаудио. Он предложил Карин выключить телефон и перезагрузить его, что она и сделала, и на этот раз извлечение журнала прошло без проблем. В тот день Клаудио пришло в голову, что, возможно, телефон был заражен Pegasus в тот самый момент, когда он пытался извлечь данные, и вредоносная программа блокировала его. Когда он проверил диагностические журналы на временной шкале, то обнаружил выполнение процессов Pegasus, которые он неоднократно наблюдал в течение нескольких предыдущих месяцев: otpgrefd, launchafd, vrn_stats. "Там были записи вплоть до той минуты, когда я сказал ей выключить телефон. Она заражалась каждые несколько дней, и мы случайно оказались рядом".
"Мы думали, что сели им на хвост, когда начали находить случаи месячной давности", — говорит Донча. "Потом мы начали находить дела недельной давности. А потом [с Карин] мы нашли человека, чей телефон был взломан в тот самый момент, когда мы его анализировали. Теперь мы действительно столкнулись лицом к лицу. Они нацелились на нас, а мы активно находим инфекции, которые происходят прямо сейчас. Мы действительно, действительно у них на хвосте".
К этому времени, после почти четырех месяцев работы криминалистов, все большая близость к атакам принесла свои плоды. По мере того как Клаудио и Доннча переходили от изучения исторических случаев к активным атакам и заражениям в реальном времени — можно сказать, преступлениям в процессе совершения — они собрали достаточно доказательств на разных мобильных телефонах, чтобы составить цепочку эксплойтов для iMessage нулевого дня, которые Pegasus использовал на протяжении 2021 года. Клаудио и Доннча назвали эту новую сложную атаку Megalodon — так она называлась в их файле доказательств Pegasus. (Мегалодон — это также название самого крупного вида акул, который когда-либо жил, что, вероятно, не осталось незамеченным разработчиками эксплойтов NSO). Впервые криминалистический инструмент Security Lab обнаружил следы Megalodon на мобильном телефоне французского адвоката по правам человека еще в марте, а Клаудио и Донча видели его на других телефонах в апреле, мае и вот теперь, в конце июня, на iPhone Карин.
Проблема, конечно, заключалась в том, что если Лаборатория безопасности могла видеть, как новая лучшая версия Pegasus работает в телефоне, это увеличивало вероятность того, что Pegasus тоже мог видеть, как Лаборатория безопасности работает в телефоне. Клаудио и Донча уже несколько недель стремились как можно скорее завершить это расследование. Теперь им не терпелось поскорее закончить его.
Я очень ценил эти опасения, особенно после того, как через несколько дней со мной связался Амитай Зив и сообщил, что один из его источников в Израиле, связанный с киберпромышленностью, спросил его, нет ли у нас "списка". По всей видимости, по Израилю ходили слухи о списке, связанном с НСО.
Я попросил Амитаи организовать для меня встречу с его источником. Я предложил Амитаю сказать ему, что нам нужны его технические сведения об индустрии киберэксплойтов в том виде, в каком она существует в Израиле.
Когда я наводил справки о нем, он казался небольшим оводом
в киберпространстве Израиля — самопровозглашенный эксперт по безопасности, который всегда присутствовал на крупных киберконференциях, где премьер-министр Нетаньяху поддерживал индустрию. Но он говорил так, словно был заинтересован в том, чтобы контролировать инструменты киберслежения вроде Pegasus, так что кто знает. Может быть, я был параноиком. Может быть, ему есть что добавить.Когда я дозвонился до него, он сказал, что хочет быть нам полезным, но разговор очень быстро стал странным. Первое, что он сделал, — предложил нелепую математическую формулу, согласно которой общее число людей, на которых нацелились клиенты NSO, за десять лет составило, возможно, 1,8 миллиона человек. Классическая красная селедка.
Затем он начал выпытывать информацию. Он никогда не спрашивал меня о списке, но требовал конкретики о нашем расследовании. "Сандрин, вы не сказали мне, о чем эта история, — сказал он.
"Речь идет о киберугрозах против журналистов", — сказал я, объясняя, насколько это было возможно для человека, не входящего в консорциум репортеров и редакторов. "Как в нашей мексиканской истории и в нашей марокканской истории, в общем-то. Мы продолжаем начатое и пытаемся выяснить, какие виды киберугроз возможны в отношении журналистов и кто может быть их объектом. И, в принципе, технически, как это работает".
По его словам, этого ему было недостаточно. Ему нужно что-то более "конкретное", например, новые "признаки", которые он мог бы проверить по своей собственной базе данных. Я сказал, что пришлю ему список вопросов, на которые он сможет ответить по электронной почте. Затем я вышел на связь.
Он был настойчив и не очень деликатен. "Если у вас действительно есть база данных, о которой произошла утечка, а это, скорее всего, просто слухи, — написал он после окончания разговора, — не могли бы вы поискать там мое имя?" Теперь я задавался вопросом, не действует ли он от имени НСО.
Через несколько дней мы получили известие от Шейна Харриса, одного из дюжины репортеров "Вашингтон пост", участвовавших в проекте. Шейн решил отказаться от запланированной поездки в Израиль. За несколько недель до этого к власти пришло новое правительство. Нетаньяху ушел с поста премьер-министра, и им стал Нафтали Беннет. Но было очень маловероятно, что новая администрация будет меньше опекать NSO Group. По мнению The Post, израильские власти знали, что вокруг компании и ее технологий что-то назревает, и администрация Беннета опасалась "большого беспорядка". The Post начала слышать разговоры внутри Израиля о "списке жертв", связанных с Pegasus.
До публикации оставалось еще три недели, что казалось очень долгим сроком, чтобы держать расследование в секрете, и я не был до конца уверен, что мы все доберемся до тихой гавани.
OceanofPDF.com
ГЛАВА ДЕВЯТАЯ
"МЫ КАТИМСЯ"
Беспокойство о том, как сохранить проект "Пегас" в тайне еще несколько недель и уберечь наш источник от опасности до, во время и после публикации, вызывало у меня беспокойные ночи. В последние дни июня других партнеров больше всего беспокоил вопрос о судебной экспертизе. Клаудио и Донча на протяжении всего расследования вели себя спокойно и уверенно, и все члены консорциума, кто наблюдал за их работой вблизи или присутствовал на их презентациях, были уверены в их технической компетентности. Но у каждого из этих журналистов были редакторы на родине, перед которыми они должны были отчитываться, и у каждого из их изданий были адвокаты, которым платили за скептицизм, за требование предоставить как можно больше доказательств и за то, чтобы их клиенты не попали в суд. Редакторы и адвокаты хотели получить серьезное подкрепление выводов Лаборатории безопасности, и на нашей конференции в мае мы сошлись во мнении, что лучшим подкреплением будет экспертная оценка результатов экспертизы.
Для проведения технической экспертизы существовал единственный наилучший вариант. Золотым стандартом независимых исследовательских центров по кибербезопасности была Citizen Lab. Это учреждение и его сотрудники были известны в этой области и пользовались уважением во всем мире. Поэтому все участники проекта были рады, когда Citizen Lab и ее ведущий компьютерный ученый Билл Марчак, согласились провести экспертную оценку. Глава Amnesty Tech Дэнна Инглтон организовала механику вместе с Роном Дейбертом, директором Citizen Lab в Торонто. Первым этапом двухчастной экспертизы был судебный анализ нескольких iPhone, в которых Клаудио и Доннча нашли доказательства компрометации со стороны Pegasus. Анализ проводился вслепую, с использованием собственных криминалистических инструментов Citizen Lab, без знания методологии, которую использовала Security Lab в своем анализе. Предполагалось, что Citizen Lab повторит выводы Security Lab. Вторая часть экспертной оценки была бы более общей проверкой методологии, которую использовали Клаудио и Донча. Что-то вроде стороннего тренера, который смотрит фильм после игры и оценивает игры.