«Пегас» - читать бесплатно онлайн полную версию книги автора Лоран Ришар (Глава 10 Три дня в марте) #12

Глава 10 Три дня в марте

Сандрин

"Значит, вы спрашиваете меня не из-за конкретной информации, а из-за подозрений, что мой телефон, возможно, был взломан?" — спросил Сиддхарт Варадараджан. "Верно?"

Это был первый из тех тонких танцев, которые нам с Лораном (а также еще нескольким журналистам, участвовавшим в этом пока еще секретном проекте) предстояло исполнить в ближайшие месяцы. Сиддхарт и его коллега, соучредители ведущего индийского сайта журналистских расследований The Wire, уже выразили заинтересованность в присоединении к тому, что мы описали им в самых общих чертах как расследование киберугроз против журналистов в Индии. Мы только что объяснили им, что прежде чем приступить к сотрудничеству, мы хотим провести криминалистический анализ каждого из их айфонов, чтобы выяснить, не был ли он скомпрометирован шпионским ПО. Прошло чуть больше двух недель после встречи с нашими ключевыми сотрудниками в Париже, и пока нам удалось убедить только одну из выбранных целей из списка предоставить свой телефон для анализа. Это произошло всего несколько часов назад, и у нас не было никаких реальных результатов. Мы делали все возможное, чтобы не выдать Сиддхарту своего нетерпения или беспокойства. "Первый шаг, о котором мы говорим, — спокойно объяснил Лоран в начале нашего удаленного разговора, — это проведение экспертизы".

Сиддхарт был явно заинтригован. The Wire сделал серьезный репортаж о киберслежке после того, как в 2019 году стало известно, что более ста индийских граждан получили предупреждение через WhatsApp о том, что их телефоны, вероятно, подверглись атаке со стороны операторов Pegasus. Многие из предполагаемых жертв были правозащитниками, борцами с расизмом или политическими противниками действующего премьер-министра Нарендры Моди; четверо были журналистами, критиковавшими антидемократические и силовые тенденции Моди. Но ни Сиддхарт, ни его соредактор М. К. Вену не были в числе тех, кого вычислил WhatsApp. The Wire придерживалась правил электронной коммуникации. Редакторы и репортеры старались использовать Signal и другие высокошифрованные службы обмена сообщениями, когда работали над важными материалами. Они также клялись своими iPhone, потому что Apple успешно создала себе репутацию самого безопасного мобильного устройства на рынке. Эти двое мужчин скептически отнеслись к предположению, что их айфоны были взломаны; они также, возможно, были немного обеспокоены тем, что мы с Лораном не были более откровенны в отношении новой информации, которая привела нас к ним.

В тот день мы обратились к Сиддхарту и М. К. с довольно туманным предложением. Мы все еще опасались слишком рано расширять круг своих доверенных лиц. Мы не стали сообщать им, что у нас есть совершенно новый список возможных целей, выходящий далеко за рамки целей WhatsApp; что в полученной нами утечке замешано НСО; что список целей исчисляется десятками тысяч и распространяется по всему миру; что только в Индии насчитывается около двух тысяч новых возможных целей; или что Сиддхарт и М. К. и еще несколько журналистов Wire были в числе тех, кто входил в список потенциальных целей.

У Сиддхарта и М. К. было по пятьдесят лет журналистского стажа, полные шкафы профессиональных наград, а также наглость и хитрость, чтобы с нуля основать собственный независимый журналистский сайт. Они были довольно проницательной парой, привыкшей вытряхивать мелочь из кармана источника, поэтому не удивились, когда Сиддхарт стал допытываться, есть ли у нас реальные доказательства того, что на его телефон было направлено оружие киберслежения.

"У нас есть информация, — пояснил Лоран, — но она не столь точна. Нам очень нужно проверить факты".

"Честно говоря, мне было бы гораздо легче согласиться на это, если бы вы увидели мой номер в каком-нибудь списке", — надавил Сиддхарт. "И если вы сможете сказать что-нибудь о происхождении этого списка. И тогда я с радостью соглашусь на это упражнение. Но если это информация самого общего характера, что, по вашему мнению, некоторые журналисты могут быть скомпрометированы, и вы делаете это в качестве своего рода общественной услуги, я все равно могу рассмотреть ваше предложение. Но мне нужно больше информации".

"У нас есть некоторые источники и информация, которая позволяет нам думать, что именно ваш телефон мог быть взломан, — сказал я ему, подойдя к черте, которую нельзя было пересекать.

"А также мой коллега Вену?" Сиддхарт снова нажал. "Его телефон?"

Прошло еще немного времени, прежде чем Сиддхарт согласился отдать свой iPhone на криминалистическую экспертизу в Лабораторию безопасности. У М. К. все еще оставались некоторые сомнения. "Надеюсь, вы понимаете, что я не могу расстаться со всеми материалами на телефоне", — объяснил он. "У меня нет привычки, как у Сиддхарта, регулярно удалять сообщения. Он очень дотошный. Я не такой дотошный. Поэтому я немного опасаюсь. Чисто из-за этого".

Мы с Лораном, сами прошедшие через экспертизу, с пониманием отнеслись к страху М. К. перед передачей всех его личных электронных сообщений. Я объяснил ему, что никто не будет копаться в личных сообщениях, которые все еще хранятся в его телефоне: "При анализе этих данных не будет никакого вмешательства человека. Никто не увидит эти данные…. Данные будут автоматически удалены, так что никто не сможет получить доступ к вашим данным, а у нас не будет доступа ни к чему — ни к сообщениям, ни к фотографиям. Это не попадает к нам. Они попадают в очень автоматизированную систему и к команде техников, которые ищут только доказательства использования вредоносного ПО против вашего телефона".

Не уверен, что М. К. был полностью успокоен, но он все же смирился. Сиддхарт тем временем воспользовался последней возможностью выпытать побольше информации. "И вы ищете Пегаса, не так ли?"

"Среди программного обеспечения — да", — признал я, снова подойдя к линии. "Пегас" — одна из программ, которые мы анализируем".

В сцене, последовавшей за этим в заваленном книгами домашнем кабинете Сиддхарта в Дели, не было ничего особенно драматичного. То, что должно было стать судьбоносным полномасштабным удаленным судебным анализом, больше напоминало международный ситком, чем шпионский триллер. Идея заключалась в том, чтобы сделать резервные копии обоих телефонов, а затем загрузить файлы Клаудио и Доннче в Берлин, где они с помощью своего криминалистического инструмента будут искать доказательства того, что телефоны были либо атакованы Pegasus, либо действительно заражены. Я заверил Сиддхарта и М. К., что весь процесс с их стороны займет около тридцати минут на каждый телефон и что Лаборатория безопасности сможет получить предварительные результаты в течение нескольких часов.

Я был слишком оптимистичен.

За два с лишним часа удаленного разговора нам так и не удалось завершить резервное копирование хотя бы одного из телефонов. Тем временем мы выяснили, что Сиддхарт поменял свой iPhone год назад, поэтому сейчас мы пытались получить резервные копии двух его телефонов — нынешнего и старого, а также резервную копию телефона М. К. У нас с Лораном были запланированы другие встречи, поэтому мы то и дело выходили на видеосвязь, наблюдая за ходом работы из нашего офиса в Париже. Финеас Рюкерт, специалист по Индии из Forbidden Stories, оставался на линии все это время, делая все возможное, чтобы все были спокойны и не отвлекались от работы.

Настоящим героем дня стала Сандхья Равишанкар, внештатный репортер, которая приехала из своего дома в Ченнае в Дели, чтобы лично встретиться с Сиддхартом и М. К. Это была долгая поездка в неподходящее для Сандхьи время: два трехчасовых перелета и как минимум день встреч от нашего имени, и все это в то время, когда она была занята освещением местных выборов, до которых оставалось всего три недели. Но когда за две недели до этого мы сказали ей, что не сможем осуществить этот проект без нее и рассчитываем на нее как на посредника между нами и редакторами Wire, Сандхья согласилась. "Вы можете полностью на меня рассчитывать", — пообещала она. Мы уже знали, что можем.

Сандхья была одним из наших самых важных и преданных партнеров в серии Forbidden Stories "Зеленая кровь". Она также принимала участие в недавнем проекте "Картель". У себя на родине Сандхья пользовалась репутацией упорного репортера: она произвела впечатление на Сиддхарта и других, опубликовав в газете Wire серию из четырех частей о финансовой коррупции и экологических нарушениях в пескодобывающей промышленности в ее родном районе. Ее преследовали интернет-тролли, ее преследовали, топливопровод ее машины был загадочно перерезан, и ей пришлось защищаться (успешно) в уголовном процессе по обвинению в клевете. Поэтому, когда Сандхья связалась с Сиддхартом и сказала, что ей нужно срочно встретиться с ним лично, он согласился. Сиддхарт знал Сандхью, но, что еще важнее, он доверял и уважал ее. "Она сказала, что не может ничего сказать о цели встречи, — писал он позже, — но по ее молчаливости я догадался, что речь идет о чем-то важном".

Перед отъездом в Дели Сандхья выкроила время для подготовки репортажа о выборах, чтобы научиться выполнять резервное копирование iPhone на своем компьютере и загружать файл в Security Lab. Ее день в Дели начался в шесть утра, когда она по адресу уговорила известного журналиста, писателя и ученого по имени Паранджой Гуха Тхакурта разрешить нам провести экспертизу его телефона, а затем выполнила операцию резервного копирования и загрузки. Успех с телефоном Паранджоя, возможно, дал нам всем ложное ощущение легкости. В тот же день днем в доме Сиддхарта все пошло не так, как планировалось.

В первые же минуты попыток создать резервную копию телефона Сиддхарта Сандхья столкнулась с неприятным препятствием. По умолчанию для резервного копирования используется iTunes, и оказалось, что многие люди уже делали резервные копии своих iPhone там в далеком прошлом, причем с паролем, который мало кто помнит. Сиддхарт не стал исключением. iTunes не позволил ему создать еще один файл резервной копии без оригинального пароля. Финеасу удалось подключить Клаудио к нашему офису из Берлина, чтобы он помог нам справиться с техническими трудностями. Он был терпелив, как всегда, но не совсем обнадеживал. "Если запрашивается пароль, а сменить его невозможно, то ничего особенного делать не нужно", — сказал он. "К сожалению, его нужно просто сбросить или восстановить. Так уж сложилось".

Эти и другие подобные неполадки продолжали возникать в течение последующих часов, но Сандхья сохраняла самообладание и свой естественный солнечный настрой на протяжении всего жаркого дня и начала вечера. Она просто продолжала пить кокосовую воду, пока над головой жужжал вентилятор, а по кабинету носился ребенок, требуя внимания, или бигль Сиддхарта облизывал ее лицо, или сам Сиддхарт, с сигарой на губах, заглядывал ей через плечо. Финеас тоже не терял бодрости духа. "Нас предупреждали, — признался Финеас людям в Дели. "Палома уже делала это раньше, и она сказала, что нужно быть готовым к долгому пути". На это Финеас и Сандхья захихикали. Теперь вы мне скажите. Сиддхарт пожевал сигару. Вошла жена Сиддхарта и предложила еще выпить. Все улыбнулись и продолжили. Им даже удалось подобрать пароль, который позволил нам выполнить резервное копирование.

Я только что вернулся к видеосвязи, чтобы услышать, как Сандхья докладывает Финеасу, что программа iTunes сообщает ей, что до конца резервного копирования второго телефона Сиддхарта осталось тридцать минут и что он готов подписать некоторые бумаги, необходимые нам для включения "Провода" в проект. "Вообще-то, — сказала Сандхья, когда я устроился поудобнее, пытаясь понять, что происходит, — сейчас там сорок семь минут…. Это очень больно. Он ползет".

"Извините, что мне пришлось исчезнуть на два часа", — сказал я ей. "Что ты успел сделать за это время?"

"Итак, старый телефон Сиддхарта был сохранен и загружен. А новый телефон в данный момент находится в резервной копии". Она перешла к телефону М. К., подкрепилась кокосовой водой и успокоила очень игривого бигля Сиддхарта.

M. К., на телефоне которого было около пятидесяти пяти тысяч неудаленных сообщений WhatsApp, загрузка заняла почти в четыре раза больше времени, чем ожидалось. К тому времени, когда лаборатория безопасности получила резервную копию телефона М. К., Клаудио уже успел предоставить нам некоторые первые результаты из файлов Сиддхарта.

"Пока ничего окончательного, но команда техников нашла несколько потенциальных инфекций в вашем старом телефоне", — объяснил Финеас Сиддхарту. "На самом деле они просят нас, если вы согласитесь, отправить ваш старый телефон к ним [в Берлин] для личного анализа. Так они смогут получить более убедительные результаты".

"Вы имеете в виду сам телефон?" спросил Сиддхарт.

"Так они смогут взломать его, по сути, — пояснил Финеас, — и получить больше информации, чем дается через онлайн-платформу".

"Да", — сказал Сиддхарт. "Я могу это сделать".

ФОРЕНСИЧЕСКИЙ ИНСТРУМЕНТ, который Клаудио Гуарниери и Доннча О Сеарбхайль разработали за два с половиной года, прошедшие с момента расследования заражения шпионским ПО телефона их коллеги по Amnesty, был совершенно новым и уникальным. В середине 2019 года они обнаружили, что испытанный метод — поиск ссылки в SMS-сообщении и последующее сканирование всего IP-адреса на предмет того, не связан ли он каким-то образом с инфраструктурой, созданной NSO, — больше не является достаточным для решения этой задачи. Частично сложность заключалась в проворных контрмерах NSO.

Например, когда Лаборатория безопасности опубликовала отчеты летом и осенью 2018 года, NSO уже закрыла третью версию своей инфраструктуры и восстановила четвертую. Инженеры компании также построили дополнительные барьеры для обнаружения как на новых командно-контрольных серверах, так и на серверах, с которых запускались шпионские инфекции. Эти новые меры предосторожности, получившие название "port-knocking" или "DNS knocking", были эквивалентны тайному сигналу у дверей питейного заведения времен сухого закона. Потенциальный преступник должен был выполнить серию попыток подключения к серверу C&C. При правильной последовательности — "секретный стук" — предоставлялся доступ, возможно, к совершенно другому серверу, с которого можно было начать атаку Pegasus. Что еще более важно, NSO усовершенствовала гораздо более коварный метод заражения.

Клаудио и Донча впервые заметили это новое оружие осенью 2019 года, когда к ним обратились за анализом телефона откровенного критика короля Марокко Мохаммеда VI. Маати Монджиб, безостановочно призывавший к свободе слова в своей стране, стал мишенью на спине после "арабской весны", а в 2015 году на него было заведено уголовное дело по обвинению в "угрозе внутренней безопасности государства". Большую часть 2019 года Маати провел во Франции, в основном потому, что в Рабате его заочно судили как пропагандиста государственной измены. Ему почти наверняка грозил пятилетний тюремный срок. Маати не замолчал, но, подозревая, что марокканские власти держат его под постоянным цифровым наблюдением, он значительно убавил паруса. "Мне нужно постоянно анализировать последствия своих слов и риск того, что это может привести к клеветническим обвинениям в мой адрес", — объяснил он свое желание выяснить, не заражен ли его мобильный телефон шпионской программой. "Это касается даже таких практических вещей, как организация встреч или ужина в центре города".

Клаудио и Доннча очень быстро обнаружили несколько ссылок в старых SMS-сообщениях, сохранившихся на iPhone Маати Монджиба, и очень быстро связали эти ссылки с серверами и доменами, которые, как известно, являются частью системы Pegasus. Когда они спросили его, не согласится ли он позволить им провести более глубокое погружение в его телефон, чтобы собрать дополнительные доказательства, Маати согласился позволить двум исследователям кибербезопасности выполнить джейлбрейк его iPhone.

Джейлбрейк — это то, на что он похож: взлом, который не соответствует всем юридическим тонкостям. Вот как это работает: Apple Inc. позволяет покупателям iPhone использовать устройство не так, как они хотят, а так, как задумано Apple Inc. Каким бы дорогим и фундаментальным ни стал для каждого из нас мобильный телефон, почти как продолжение нашей личности, мы не столько владеем своим телефоном, сколько арендуем его под негибкие ограничения, установленные компанией. Компания Avis ведь не позволит кому-то ремонтировать двигатель автомобиля в течение срока аренды, верно? Так вот, Apple не хочет, чтобы ее клиенты даже заглядывали под капот, не говоря уже о том, чтобы что-то там переделывать.

Например, пользователь iPhone может получить доступ к файлам, необходимым для запуска приложений, которые ему разрешено устанавливать, но не для приложений, которые Apple Inc. не одобряет. Apple также не разрешает доступ к файлам в своей операционной системе iOS. В частности, компания не разрешает доступ к "ядру", которое управляет всей системой. Инженеры компании даже ограничили доступ пользователя iPhone к различным легитимным процессам, активно запущенным на устройстве. Apple не хочет, чтобы кто-то перестраивал работу телефона, и не хочет, чтобы кто-то положил глаз на эту ценную жилу проприетарного кода внутри. Чтобы проникнуть внутрь, нужны опытные злоумышленники — киберспециалисты вроде Клаудио и Доннча, которые научились находить и использовать уязвимости в защитном ограждении, возведенном Apple, а затем "повышать свои привилегии" на телефоне. Опытные специалисты по кибербезопасности могут получить root-доступ к телефону, как это делает Pegasus, и увидеть (или изменить) практически все, что пожелают.

Именно это пара и решила сделать с iPhone Маати Монджиб. Попутно они сделали два важнейших открытия: одно относилось к iPhone вообще, а другое — к телефону Маати в частности. Первое произошло, когда Клаудио и Доннча создали полную резервную копию и образ файловой системы телефона Маати в iTunes и обнаружили, что из нее был извлечен необычный кэш данных, которого они раньше не видели. В отличие от телефонов на базе Android, где многие важные данные стираются при перезагрузке или просто исчезают за несколько месяцев, iPhone хранит информацию годами в различных журналах резервного копирования. Так что у техников Security Lab был доступ к стандартным резервным копиям, таким как старые текстовые сообщения и ссылки на них, а также история браузера. Кроме того, они получили доступ к журналу iOS под названием DataUsage.sqlite, в котором фиксировалось четкое название каждого процесса, происходящего на устройстве, а также то, когда и сколько именно мобильных данных было использовано. DataUsage.sqlite открывал совершенно новый путь для отслеживания Pegasus.

Поскольку Клаудио и Донча имели полный и неограниченный доступ к резервным копиям файлов Маати прямо в своем берлинском офисе, они могли уделить время поиску каждой иголки в этом цифровом стоге сена. Они могли написать и обновить свой собственный код для поиска специфических шпионских программ-маркеров, уже обнародованных или опубликованных в частном порядке в сообществе кибербезопасности. В журналах резервного копирования Маати они обнаружили процесс под названием "bh". Впервые процесс bh был обнаружен летом 2016 года, когда Citizen Lab совместно с частной компанией по кибербезопасности Lookout раскрыла попытку заразить iPhone программой Pegasus. По словам инженеров Lookout, разработанный NSO bh.c был инструментом, помогающим доставлять "полезную нагрузку следующего этапа" и "правильно размещать ее на iPhone жертвы". Эти полезные нагрузки, как они определили, были ранними стадиями эксплойтов для веб-браузера Pegasus. Lookout также обнаружил в пакете со шпионским ПО доказательства того, что "bh" — это сокращение от "Bridgehead".

Спустя три года Клаудио и Доннча обнаружили в телефоне Маати модуль bh, который, как они сообщили миру, "завершает эксплуатацию браузера, коренит устройство и готовит его к заражению полным набором Pegasus".

Дуэт из Security Lab сделал еще более удивительное открытие, изучив криминалистический снимок телефона Маати. Когда Клаудио и Доннча прочесали базу данных истории просмотров Safari и журналы ресурсов сеансов, они начали отмечать, а затем реконструировать некоторые странные цифровые обходные пути, которые они наблюдали. Пытаясь определить, открывал ли телефон Маати какие-либо известные Pegasus ссылки, они обнаружили, что весной и летом 2019 года телефон (уже подвергавшийся восемнадцать месяцев стандартной атаке Pegasus с помощью SMS-сообщений) переходил на странные и ранее неизвестные сайты. Клаудио и Донча не были уверены, что именно они увидели в базах данных, но это "выглядело подозрительно", — говорит Донча, — "и время было подходящим".

Например, когда Маати попытался зайти на домашнюю страницу Yahoo в июле 2019 года, он менее чем за три миллисекунды был перенаправлен на подозрительно выглядящую веб-страницу под названием Free247downloads.com по адресу https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz.

Несколько секунд спустя Free247downloads сбросил в телефон бомбу с вредоносным кодом, не предупредив Маати о том, что произошло нечто необычное.

Клаудио и Донча не только обнаружили попытку атаковать iPhone Маати, но и нашли внутри самого телефона следы успешного заражения шпионским ПО. Они также нашли доказательства нового и гораздо более опасного вида эксплойта, называемого "атакой с внедрением в сеть". Говоря простым языком, это был эксплойт "нулевого клика". Попытка заражения была предпринята не тогда, когда Маати Монджиб перешел по вредоносной ссылке, отправленной ему в текстовом сообщении. Внешняя атакующая сеть, возможно, "неавторизованная сотовая вышка или специальное оборудование, установленное у оператора мобильной связи", — подозревает Клаудио, — захватила браузер Маати, пока он просто просматривал Интернет.

Для Клаудио и Дончи это было впервые. У них были реальные доказательства существования эксплойта с нулевым кликом. У них также было довольно сильное подозрение, что шпионское ПО, о котором идет речь, — это Pegasus. Но, готовя свой публичный отчет, ни один из них не был достаточно уверен в себе, чтобы действительно связать новые эксплойты 2019 года с NSO… пока они не получили небольшую помощь от NSO. Примерно за неделю до того, как Клаудио и Донча должны были опубликовать результаты судебной экспертизы iPhone Маати Монджиб, они связались с NSO, чтобы поделиться результатами и, возможно, получить комментарий. На следующий день сервер со шпионским ПО, который должен был быть указан в отчете, был отключен от сети. "Мы поделились этой информацией только в частном порядке с NSO", — говорит Доннча. "Это как бы подтвердило для нас, что НСО действительно контролировала эту инфраструктуру и смогла ее отключить".

Клаудио и Доннча подтвердили свои революционные выводы, проведя экспертизу iPhone, которым пользовался марокканский журналист по имени Омар Ради. Сайт Free247downloads также был обнаружен в резервной копии телефона Омара. Как и свидетельства выполнения неавторизованных процессов bh в моменты после перенаправления на установочный домен Pegasus. Как и еще один вредоносный файл конфигурации, зарытый глубоко в телефоне, — CrashReporter[.]plist. Этот хитроумно сконструированный файл блокировал выполнение телефоном своей запрограммированной обязанности — автоматически сообщать инженерам Apple о любом сбое программного обеспечения. Файл CrashReporter был простым и эффективным способом для NSO и их клиентов замести следы Pegasus и убедиться, что они не предупредили людей из Apple о наличии уязвимости в системе безопасности, которую необходимо устранить.

Шквал цифровых поисков помог Клаудио и Доннче определить доменные имена и выполнение процессов, которые могли бы позволить им связать других жертв с Pegasus; это также помогло им начать понимать сложную механику эксплойта с нулевым кликом. Но эти открытия также предупредили их о серьезности предстоящей задачи. Им нужно было разработать новый, более совершенный инструмент для судебной экспертизы и продолжать оттачивать его. "Большая проблема мобильных устройств — отсутствие видимости", — говорит Донн-Ча. "На настольных и портативных компьютерах у нас есть антивирусы или комплекты EDR [безопасности], но для мобильных устройств не было ничего подобного". Такие сложные атаки, особенно атаки с нулевым кликом, явно оставались незамеченными".

В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы и доменные имена новой инфраструктуры NSO версии 4. Они также усердно работали над каталогизацией миллионов имен легитимных процессов Apple, чтобы было легче выделить имена процессов шпионских программ, которые были тайно внедрены в iPhone, — те, которые им не принадлежали.

Тем временем утечка списка дала Клаудио и Доннче новые важные данные: временные метки, указывающие на то, когда телефон был выбран для атаки. Поэтому, когда криминалистический инструмент Security Lab построил подробную временную шкалу всех предыдущих действий с резервными копиями iPhone из Индии, Клаудио и Доннча знали, на чем сосредоточить свою детективную работу.

Самое важное, что у них была горстка имен процессов, основанных на Pegasus, найденных в телефоне Маати и Омара, которые помогли им выявить другие возможные случаи заражения "нулевым кликом". Теперь Клаудио и Доннча могли провести цифровой поиск этих процессов в журнале DataUsage.sqlite и журнале истории браузера. У нас были основания надеяться, что анализ Лабораторией безопасности наших делийских айфонов принесет первые маленькие самородки золота из нашего утечки.

На следующий день Клаудио позвонил Финеасу и мне с отчетом.

"Итак, с телефона М. К. ничего не поступало", — гласила статья Клаудио. "Похоже, он совсем не совпадает с нашими записями". Но на этом он не остановился и даже не сделал паузы. "Более интересен старый телефон Сиддхарта, я полагаю. И у Паранджоя тоже есть похожие артефакты". Телефон Сиддхарта действительно дал нам первые полезные улики, которые помогли создать проект "Пегас". "В общем, похоже, что произошло следующее: [Сиддхарта] начали выбирать примерно в апреле 2018 года, и, похоже, у них ничего не получалось, пока, по иронии судьбы, он не обновил свой телефон", — объяснил Клаудио. "И вот на следующий день, похоже, им это удалось".

Клаудио хотел, чтобы мы поняли, что они не обнаружили никаких дымящихся улик, но все равно это было хорошим началом. В логах Сиддхарта были записаны точно такие же имена процессов, как и в зараженных "Пегасом" айфонах, принадлежащих Маати и Омару. Первые две неудачные атаки на телефон Сиддхарта, похоже, произошли как одно целое, в течение минуты. Третья попытка принесла результат. 27 апреля 2018 года, в 4:41 утра пятницы, в корневом домене был создан CrashReporter[.]plist. Заражение заняло.

"Мы снова видим несколько процессов, которые вызывают подозрения", — сказал нам Клаудио. "И я имею в виду очень большие подозрения на то, что это компоненты NSO. Затем мы видим еще один процесс, который загрузил более трехсот мегабайт с телефона Сиддхарта. Этот же процесс мы видели и на телефоне Маати".

Клаудио объяснил, что эксплойт мог использовать уязвимость в iMessage или FaceTime, но у него не было достаточно доказательств, чтобы знать наверняка. Клаудио, как я успел понять, был не из тех, кто любит строить догадки. Нам с Финеасом не терпелось узнать больше. "Значит, если у вас лично будет телефон Сиддхарта, — спросил Финеас, — как это позволит вам пойти дальше, чтобы подтвердить это или получить больше информации?"

"Мы надеемся, что, получив физический доступ, сможем извлечь больше данных", — объяснил Клаудио. "Мы попытаемся сделать джейлбрейк и получить root-доступ к телефону. Резервные копии дают лишь ограниченное количество данных".

"Один вопрос", — сказал я. "Вы сказали, что у вас нет дымящегося пистолета. Так можете ли вы доказать с помощью имеющихся у вас деталей, что телефон был заражен? Но вы не можете связать это с НСО? Или все еще есть сомнения в том, что телефон был заражен?"

"Я думаю, то, что мы имеем на данный момент, достаточно убедительно, чтобы доказать, что что-то произошло, но нам нужно провести дополнительную проверку", — предостерегает Клаудио.

Он сказал нам, что мы можем попытаться связаться с бывшим или нынешним инженером Apple, который, возможно, подтвердит, что у них наблюдалось то же самое, но он не возлагал на это больших надежд. Когда Финеас предложил связаться с Apple по корпоративным каналам, Клаудио отмахнулся от него. По его словам, компания настолько обеспокоена любой оглаской, которая может запятнать ее репутацию в области безопасности, что предпочитает обструкцию прозрачности. "Если вы поговорите с представителями Apple, — сказал он нам, — они просто закроют вас почти сразу".

Быстрого и аккуратного решения не было. Лучшим вариантом на данный момент было проведение дополнительных экспертиз ряда iPhone, отобранных для атак в разных странах. "Если мы обнаружим больше таких закономерностей, это тоже будет дополнительным элементом", — сказал нам Клаудио. "Например, тот факт, что в разных случаях есть повторяющиеся закономерности. Тот факт, что в разных случаях повторяются названия процессов и т. д., — все это способствует установлению способа действий. Это будет дополнительным подтверждением и последовательностью. Поэтому мы будем наблюдать за другими подобными [одинаковыми] паттернами и посмотрим, не появятся ли они снова".

Нам не пришлось долго ждать очередных результатов. Уже на следующий день Клаудио позвонил и сообщил, что Лаборатория безопасности обнаружила в резервных копиях файлов репортера, ведущего расследование в Будапеште, те же шпионские процессы, которые заразили Маати и Омара, Сиддхарта и Паранджоя. Я организовал удаленную видеосвязь с репортером и его редактором Direkt36, венгерского сайта, который был партнером Forbidden Stories в нашем самом первом совместном расследовании, проекте "Дафна". Венгерские журналисты не были удивлены моей просьбой.

Фредерик Обермайер связался с Direkt36 в начале марта, потому что один из проверенных телефонных номеров в нашем списке принадлежал Саболчу Паньи, репортеру, освещавшему вопросы, связанные с национальной безопасностью и внешней политикой Венгрии. "Мой редактор Андраш [Петё] случайно сказал мне, что, знаете, Фредерик Обермайер попросил ваш номер телефона, и я был очень рад, что такой известный журналист хочет со мной поговорить. А потом Андраш посоветовал мне оставить телефоны в офисе и просто прогуляться по кварталу, где мы работаем. Потом он сказал мне, что к нам обратились Фредерик и Бастиан Обермайер. И они говорят, что есть история, о которой они не могут говорить, но уверены, что нам было бы интересно с ними сотрудничать".

Саболч не очень удивился, когда Андраш сказал ему, что у Фредерика есть основания полагать, что он стал мишенью для мощного кибернетического оружия наблюдения, и что он хочет, чтобы Саболч отдал свой телефон на экспертизу, прежде чем он сможет рассказать двум людям из "Директората-36" что-либо еще.

Мы успели подключиться к Zoom-звонку, как только Клаудио и Донча закончили анализ. Когда я связался с Саболчем, Андрашем и Фредериком и начал объяснять предварительные результаты экспертизы, я увидел, что Саболч становится все более беспокойным. "По сути, мы обнаружили в телефоне Саболча следы потенциальной инфекции", — сказал я группе. "Сейчас я прошу вас, исходя из соображений безопасности проекта и риска, на который мы идем, сохранить эту информацию для вас и не разглашать ее до того, как мы узнаем больше о том, о каком виде таргетинга идет речь. Есть и другие заинтересованные лица. И если мы обнародуем эту информацию раньше, они окажутся в опасности…. Надеюсь, вы понимаете, и я надеюсь, что вы сможете присоединиться к нам в этом проекте в ближайшие недели".

Первым заговорил Андраш. "Ну, конечно, я бы не сказал, что это очень удивительно, учитывая деликатность историй, над которыми Саболч работал последние несколько лет", — сказал он. Но, знаете, это очень много для переваривания". Что касается присоединения к проекту, то мы, конечно, заинтересованы".

Я видел в левом нижнем углу монитора, что Саболчу, похоже, было нелегко воспринять новость о том, что он лично стал жертвой этой невероятно инвазивной шпионской программы. Первые три-четыре минуты после разоблачения он сидел молча, предоставив говорить другим. Лишь позже я узнал о глубине его чувств. Саболч родился в условиях репрессивной коммунистической диктатуры в Венгрии в 1986 году, но повзрослел в относительно демократическом обществе, которое, казалось, чтило свободу слова и неприкосновенность частной жизни. Это был мир, который он знал. Не то чтобы он воспринимал эти гарантии как нечто само собой разумеющееся, но он также не вполне осознавал мрачный фатализм, от которого не могли избавиться старшие члены его семьи. "Именно с такими методами сталкивались мои родители, когда жили в социалистической Венгрии", — сказал он мне позже. "Методы, которые использовались против меня, и слежка — все это действительно напоминало коммунистические времена. Я словно попал в машину времени, вернулся в свою раннюю юность и пережил то, что происходило в 1980-е годы".