«Пегас» - читать бесплатно онлайн полную версию книги автора Лоран Ришар (Глава 19 Это будет грандиозно) #21

Глава 19 Это будет грандиозно

Сандрин

В середине июня 2021 года Доннча О Сеарбхейл вернулся домой, в Ирландию, на Кольцо. Он приехал навестить семью и друзей, но поездку вряд ли можно было считать отпуском. Большую часть времени в Бирре Доннча проводил за кухонным столом родителей, разложив перед собой ноутбуки и блокноты, склонившись над работой. Сцена на их кухне могла заставить родителей Доннчи задуматься, учитывая его непростую историю в кибермире. Доннча не мог рассказать родителям, чем именно он занимается, но они точно знали: когда их сын проводил столько времени за компьютером, погружаясь в секретные проекты, это не всегда приводило к счастливым результатам. "Это все законно?" — спросил его отец в один из моментов визита.

У Доннчи не было иного выбора, кроме как заниматься своими личными делами, невзирая на беспокойство родителей. Проект "Пегас" набирал обороты с каждым днем, как будто вся команда из восьмидесяти человек только начала разгоняться перед долгим финальным рывком к финишной черте. Я чувствовал это в Париже, и, несомненно, Доннча тоже. Он составлял целую половину важнейшей команды криминалистов проекта, и журналисты, работающие над "Пегасом", с каждым днем все больше наваливались на его плечи.

Один из императивов, который мы поставили перед собой, предполагал игру с числами. Мы уже проверили личности почти 1 000 из 50 000 выбранных журналистов. В число проверенных входило около 150 журналистов, и нашей целью было довести это число до 200 перед публикацией. Крайний срок, который мы установили для выполнения этой задачи, — 6 июля, до которого оставалось всего три недели. Мы также работали над тем, чтобы подтвердить как можно больше людей, ставших жертвами атак Pegasus или реальных заражений Pegasus, что означало постоянный поток резервных файлов с мобильных телефонов (или самих телефонов), поступающих в Security Lab.

Например, дочь героя фильма "Отель "Руанда"" Карин Канимба неделей ранее предоставила резервные копии файлов со своих двух айфонов. (Ханнес Мюнзингер из Süddeutsche Zeitung обратился к Карин после того, как немецкая газета обнаружила в этих данных номер мобильного телефона адвоката ее отца. Поскольку Карин активно защищала своего отца и выступала с критикой руандийского режима, Ханнес решил, что она может также быть целью "Пегаса"). Явных доказательств заражения Pegasus на обоих iPhone не было, но подозрительной активности было достаточно, чтобы мы спросили, не отправит ли она телефоны в Берлин для анализа джейлбрейка.

Стефани Кирхгасснер из "Гардиан" уговорила второго изгнанного правозащитника из Руанды разрешить Клаудио и Доннче провести экспертизу записей его телефонных разговоров. Репортеры "Проекта Пегас" обращались к людям со всего мира. Сиддхарт и его команда из Wire нашли четырех возможных жертв в Индии, готовых предоставить свои телефоны для экспертизы, — адвоката по правам человека, правозащитника, представителя профсоюза и журналиста. Финеас нашел еще двух журналистов из Индии, которые согласились провести экспертизу и выступить перед общественностью, если версия о нацеливании Pegasus подтвердится. Третий журналист отказался, сказав Финеасу, что у него сейчас очень деликатная работа и он не хочет рисковать и ставить ее под угрозу.

Жена марокканского политического диссидента, отбывающего тридцатилетний тюремный срок, согласилась на экспертизу. У Фредерика Обермайера, Бастиана Обермайера и Саболча Паньи появились новые кандидаты для анализа в Венгрии. Репортер из Süddeutsche Zeitung решила, что у нее есть шанс получить iPhone молодого азербайджанского диссидента, утонувшего в Стамбуле всего месяц назад; его номер был выбран еще в 2019 году, вскоре после того, как Хадиджа Исмаилова впервые стала объектом поиска.

Самые срочные экспертизы на тот момент, в середине июня, были связаны с делом Джамаля Хашогги. Следы улик в телефоне Android, принадлежавшем жене Хашогги, Ханан, указывали на то, что перед его убийством она подверглась атаке шпионской программы Pegasus, но не доказывали успешного заражения. Поэтому 15 июня Дана Прист из Washington Post вместе с Артуром Бувартом из Forbidden Stories вылетела в Стамбул, чтобы встретиться с ближайшими контактами Хашогги в Турции, включая его невесту Хатидже Ченгиз, которая ждала у консульства в Стамбуле в момент его убийства. Хатидже также была в наших данных. Если все пойдет по плану, Клаудио и Донча в любой день займутся анализом ее мобильного телефона.

Помимо постоянных запросов на проведение судебной экспертизы, двое исследователей в области кибербезопасности только начали готовить отчет с подробным описанием своих выводов, чтобы представить его NSO перед публикацией. Мы, как журналисты, обязаны были дать компании шанс прокомментировать, оспорить или исправить любые факты, которые мы считали достаточно убедительными для публикации. Amnesty International и Security Lab считали себя этически обязанными предоставить NSO возможность ответить на конкретные факты, содержащиеся в результатах экспертизы.

Клаудио и Донча также готовили материалы, которые они собирались выложить на всеобщее обозрение, когда 18 июля проект "Пегас" заработает. Пара решила совершить нечто беспрецедентное в кратких анналах исследований киберслежки. Они собирались быть полностью прозрачными. Они не собирались просто демонстрировать свои находки; они намеревались показать свою работу в деталях всему миру. Будет представлен полный отчет о методологии Security Lab, включая проектирование, разработку и внедрение их криминалистического инструмента. Клаудио и Доннча также готовились подробно рассказать о доказательствах, найденных ими по каждой подтвержденной атаке или заражению, и раскрыть все выявленные ими эксплойты "нулевого клика" и "нулевого дня", а также все сгенерированные Pegasus имена процессов и поддельные учетные записи, которые NSO предоставляла своим клиентам для доставки вредоносной шпионской полезной нагрузки.

Отчеты продолжали развиваться, потому что Клаудио и Доннча почти каждый день собирали новые доказательства. 14 июня, когда Доннча была в Ирландии, а Дана Прист и Артур Буварт отправлялись в Стамбул, Клаудио в своем офисе в Берлине взламывал один из мобильных телефонов Хадиджи Исмайловой. Миранда Патручич перевезла телефоны в Германию для дальнейшего анализа после встречи с Хадиджей в Анкаре. В то солнечное утро поздней весны Клаудио подключил один из айфонов Хадиджи к своему ноутбуку, а Миранда заглядывала ему через плечо, пытаясь разобраться в непроглядных строках кода, заполнявших экран и подсвеченных разными цветами. "Вот как это выглядит на самом деле", — объяснил Клаудио. "То есть это просто результат работы нашего инструмента. По сути, мы видим процессы, которые, как мы знаем, подключены к Pegasus. Мы видим некоторые учетные записи iMessage, которые связаны с атаками…"

"Это новые или те, которые вы уже видели в ее резервных файлах?" поинтересовалась Миранда.

"Я думаю, это те, которые мы уже видели, но позже мне придется сесть и просмотреть те, которые я, возможно, не видел", — объяснил Клаудио, указывая на различные строки на экране. Все это было довольно стандартно: строчки кода, которые они с Дончи наблюдали уже десятки раз. "Это может указывать на точку входа", — сказал он, а потом вдруг: "Что за хрень?… Это странно…. Здесь есть несколько новых следов, которых мы раньше не видели…. Они могут указывать на другие эксплойты, которых мы раньше не видели".

Он сказал Миранде, что ему нужно немного больше времени, "чтобы еще немного покопаться".

Донча тоже взглянул, и оба партнера согласились. Это было что-то новое, эксплойт, которого никто из них раньше не видел. По всей видимости, исследователи NSO нашли уязвимость в Apple Music еще летом 2020 года, поскольку система Pegasus использовала ее в качестве точки входа для доставки вредоносной шпионской программы на iPhone Хадиджи уже 10 июля того же года. Улики в телефоне Хадиджи не позволили Клаудио и Доннче точно определить, какое место в цепочке эксплойтов занимает Apple Music — был ли он средством для окончательной доставки полезной нагрузки или просто ранним этапом в открытии черного хода, — но они указывали на домен, созданный NSO, который Клаудио и Доннча идентифицировали еще в 2019 году. А шаблон URL, использованный для загрузки полезной нагрузки, показал еще одну ключевую связь между атаками на телефон Маати Монджиб в 2019 году, Хадиджи в 2020 году и цепочкой эксплойтов Pegasus zero-click, используемой в 2021 году. Это позднее открытие означало целый новый раздел, который Клаудио и Доннча должны были вписать в свой отчет о методологии криминалистики: "Apple Music Leveraged to Deliver Pegasus in 2020".

Дана Прист и Артур Буварт прибыли в Стамбул на следующий день, 15 июня 2021 года, и в течение следующих нескольких дней курсировали туда-сюда в Анкару, чтобы встретиться с невестой Хашогги, Хатидже Ченгиз, и его хорошим другом Ясином Актаем, чиновником турецкого правительства. Актай был не только экстренным контактным лицом Хашогги в Турции; он также являлся ключевым помощником и доверенным лицом президента Турции Реджепа Тайипа Эрдогана. Когда Дана объяснила Актаю, что он попал в наши данные, он не выразил никакого удивления. По его словам, после убийства Хашогги агенты Министерства внутренних дел Турции сообщили ему, что его телефон был взломан. Он не спросил, кто взломал его телефон в то время, и отмахнулся от просьбы Даны сделать это сейчас. Актай согласился дать интервью, но не позволил нам провести экспертизу его телефона. По его словам, его жизнь и профессиональные дела — открытая книга, и он уже давно перешел на новый телефон.

По натуре Актай не был настороженным человеком, но он опасался правящих семей Королевства Саудовская Аравия и Объединенных Арабских Эмиратов, о которых у него было мало хорошего. Никто никогда не пытался убить его, сказал он Дане, но он не собирался рисковать. У него был личный телохранитель и большой "Мерседес" с темными тонированными стеклами, возможно, пуленепробиваемый. Когда он вез Дану в аэропорт, водитель Актая разогнал лимузин до 120 миль в час. "Очень трудно разработать план убийства, когда едешь быстро", — сказал он.

После убийства Джамаля Хашогги Хатидже Ченгиз была вынуждена находиться в тесном "пузыре безопасности". Ее постоянно охраняла служба безопасности, предоставленная Министерством внутренних дел Турции, но она редко появлялась на публике даже в сопровождении своих вооруженных охранников. Хатидже все же согласилась встретиться с Даной и Артуром и, после долгих уговоров со стороны двух репортеров, согласилась, чтобы Лаборатория безопасности провела экспертизу ее iPhone. Она скептически отнеслась к тому, что экспертиза что-то обнаружит, потому что ей сказали, что iPhone — очень защищенное устройство.

Доннча сидел за кухонным столом в своем доме в Бирре — прямо по коридору от комнаты, где он учился кибернетическим навыкам, где десять лет назад разыграл Руперта Мердока и куда впервые ворвалась местная полиция, чтобы допросить его о предполагаемых "киберпреступлениях", — когда на третьей неделе июня началась загрузка резервной копии iPhone Хатиче. Клаудио находился на балконе в Берлине, разговаривал с Даной по телефону, объясняя ей суть процесса, а также общался по отдельной линии с Дончей. Когда файлы загрузились, криминалистический инструмент Security Lab в мгновение ока выкопал все необходимое.

Клаудио и Донча, разделенные двумя тысячами километров, могли видеть все это в одно и то же время. Они точно знали, что нашли. Там был файл CrashReporter, и процесс bh, и извлечение данных, и еще одно имя процесса, сгенерированное Пегасом. Телефон Хатидже, несомненно, был атакован и успешно взломан шпионской программой Pegasus. Доказательства атаки и/или заражения были обнаружены в три отдельных дня в течение шести дней в начале октября 2018 года. Первая атака произошла через четыре дня после того, как саудовские головорезы МБС убили Джамаля Хашогги.

"Это был как поворотный момент", — вспоминал Клаудио. "К тому времени мы уже нашли много дел, но для меня это был просто щелчок. "Черт. Это будет грандиозно". Это не просто кучка журналистов в какой-то стране, о которой никто никогда не слышал и которая никого не волнует. Это будет иметь влияние. Из-за серьезности истории, в которую была вовлечена [Хатидже], и из-за того, что [НСО и Шалев] постоянно повторяли, что все это полная чушь".

У Донча была такая же реакция. "Это не преувеличение, история с Хашогги", — вспоминает он. "Это действительно реальность. Это опровергает всю ту ложь, которую НСО годами твердила, что они не имеют никакого отношения к убийству". Я помню, как встал из-за стола и почти сказал: "О, вау. Мы нашли улику".

События происходили так быстро, что уследить за ними было настоящим трудом. В проекте участвовало около восьмидесяти журналистов, и у нас было отдельных расследований в Европе, Азии, Африке, Америке и на Ближнем Востоке. Нина Лакхани из "Гардиан" только что вернулась из Мексики; ей не повезло больше, чем Паломе, в поисках телефона Сесилио Пинеды, но Нина успела написать историю о последней работе Сесилио и угрозах в его адрес за несколько недель до его до сих пор нераскрытого убийства. Сиддхарт встретился с политическим оппонентом премьер-министра Индии Нарендры Моди, Рахулом Ганди, который подтвердил сообщения о том, что кто-то (и Ганди сказал, что это мог быть кто-то внутри NSO) предупредил его о том, что он стал объектом нападения.

Кристоф Клерикс из Knack в Бельгии собирался вернуться, чтобы поговорить с Карин Канимба и получить ее телефоны для очередного раунда экспертизы. Я провел несколько часов в своей квартире с репортером из "Радио Франс", который направлялся в Руанду, пытаясь выяснить, как она может подойти к известным целям Pegasus там. Это была непростая задача. Руанда была опасным местом для работы иностранного журналиста. Она знала, что за ней, скорее всего, будут наблюдать и следить правительственные службы безопасности. Даже после десятилетий работы над источниками в этом регионе у нее не было никого, кому она могла бы полностью довериться, чтобы сохранить необходимую секретность.

Крейг Тимберг из The Washington Post получал хороший справочный материал от специалистов по кибербезопасности, которые хотя бы в общих чертах представляли себе уязвимости приложения iMessage от Apple. "Отправляйте неограниченное количество текстов, фотографий, видео, документов и многого другого", — так рекламировала приложение компания Apple. Эта программа "один сервис — все" была очень удобна для пользователя, но за это удобство приходилось платить, что мало кто понимал. По словам одного киберэксперта, когда iMessage был просто версией SMS от Apple, он был достаточно защищенным, но когда приложение позволило айфонам загружать видео, GIF-файлы и игры, оно стало значительно менее безопасным. По мере того как Apple добавляла в iMessage все новые и новые аспекты, она создавала все большую "поверхность атаки".

Мартин Унтерсингер из Le Monde смог дополнить репортаж Крейга информацией от источника, который провел некоторое время в команде безопасности Apple. "Вначале в iOS было мало уязвимостей, но в последние несколько лет ситуация ухудшилась", — предложил Мартин команде общую информацию. iPhone, вероятно, был самым защищенным мобильным телефоном на рынке, и у Apple все еще была "колоссальная" команда, играющая в защиту, объяснил он. Но на эту команду обрушилось множество проблем, как с точки зрения внешних исследователей, ищущих недостатки, так и с точки зрения кодеров, случайно создающих их. Разработчики вносят ошибки, когда плохо пишут код, когда начинают со сложной кодовой базы или потому, что их заставляют работать быстро". В последние несколько лет релизы Apple ускорились".

Хольгер Старк только что вернулся из Тель-Авива с целым мешком очень полезных материалов, в том числе с подтверждением некоторых ключевых фактов о НСО и его отношениях с израильским правительством и его спецслужбами. Репортер по вопросам национальной безопасности Шейн Харрис и еще один его коллега из "Вашингтон пост" запланировали свою поездку в Израиль на начало июля. Амитай Зив тем временем собирался взять интервью у Ури Ансбахера о его сомнительных делах в Мексике, о которых он теперь знал гораздо больше, имея доступ к документам, которыми поделился с группой Кармен Аристеги. Амитай только что получил звонок на от партнера-основателя NSO Шалева Хулио, Омри Лави, который хотел посидеть за чашечкой кофе в последнюю неделю июня. Амитай только что опубликовал в "Гаарец" статью о недавних финансовых проблемах NSO, так что, скорее всего, Омри пытался устранить последствия. Но приглашение все равно заставило меня на секунду задуматься, не следит ли НСО за нами.

Мои нервы уже были немного взвинчены, когда 17 июня пришел Лоран и показал мне тревожное сообщение от Фабриса Арфи, нашего друга и коллеги из Mediapart, который помог убедить Эдви Пленеля позволить нам провести экспертизу его телефона еще в апреле. Фабрис прислал Лорану сообщение, в котором говорилось, что в Париже ходят разговоры о том, что Эдви заразился "Пегасом". Ни Фабрис, ни Эдви не были этому рады. Mediapart готовил свой собственный репортаж о киберслежке отдельно от нашего консорциума, но они сделали коллегиальное предложение придержать свои материалы до нашей публикации. Фабрис беспокоился, что история о заражении "Пегаса" в Mediapart просочится, и это опозорит уважаемый сайт. Эдви нервничал. Фабрис нервничал. Я и сам был немного обеспокоен. До публикации оставался еще месяц, и я должен был следить за тем, чтобы это расследование оставалось в тайне до тех пор, пока мы не будем готовы нажать кнопку "Выход".

Кристоф Клерикс был полон решимости дописать историю Карин Канимба для Knack, когда 24 июня 2021 года он отправился к ней в Бельгию. Кристоф с энтузиазмом участвовал в проекте "Пегас", и он знал, что Карин в то время жила в Бельгии. Ее отец, Пол Русесабагина, был похищен руандийскими властями годом ранее, в настоящее время его судили по весьма сомнительным обвинениям, и казалось, что ему вынесут приговор, который гарантирует, что он умрет в тюрьме.

Карин покинула Руанду совсем юной девушкой, вскоре после того, как пережила геноцид; она поступила в колледж в США и работала в Нью-Йорке на протяжении всей своей карьеры. С тех пор как ее отец был похищен, она жила в Бельгии. У Карин было два телефона: один с бельгийским номером, другой — с американским. Ни один из телефонов не оказался особенно сговорчивым.

За последние три недели Кристоф уже трижды ездил к Карине в Бельгию, чтобы провести экспертизу двух ее телефонов, но анализ так и не был завершен никем. Во время первого визита Кристоф попытался сделать резервную копию одного телефона, но файл оказался слишком большим; во время второго визита при загрузке в лабораторию безопасности пропал ключевой файл. План четвертого визита Кристофа состоял в том, чтобы получить более полную резервную копию бельгийского телефона для анализа Клаудио. В тот день возникли дополнительные сложности. Когда Кристоф попытался собрать диагностические журналы с телефона Карин, процесс застыл, чего Клаудио никогда раньше не видел. "Я подумал: "Ну, это странно", — вспоминает Клаудио. Он предложил Карин выключить телефон и перезагрузить его, что она и сделала, и на этот раз извлечение журнала прошло без проблем. В тот день Клаудио пришло в голову, что, возможно, телефон был заражен Pegasus в тот самый момент, когда он пытался извлечь данные, и вредоносная программа блокировала его. Когда он проверил диагностические журналы на временной шкале, то обнаружил выполнение процессов Pegasus, которые он неоднократно наблюдал в течение нескольких предыдущих месяцев: otpgrefd, launchafd, vrn_stats. "Там были записи вплоть до той минуты, когда я сказал ей выключить телефон. Она заражалась каждые несколько дней, и мы случайно оказались рядом".

"Мы думали, что сели им на хвост, когда начали находить случаи месячной давности", — говорит Донча. "Потом мы начали находить дела недельной давности. А потом [с Карин] мы нашли человека, чей телефон был взломан в тот самый момент, когда мы его анализировали. Теперь мы действительно столкнулись лицом к лицу. Они нацелились на нас, а мы активно находим инфекции, которые происходят прямо сейчас. Мы действительно, действительно у них на хвосте".

К этому времени, после почти четырех месяцев работы криминалистов, все большая близость к атакам принесла свои плоды. По мере того как Клаудио и Доннча переходили от изучения исторических случаев к активным атакам и заражениям в реальном времени — можно сказать, преступлениям в процессе совершения — они собрали достаточно доказательств на разных мобильных телефонах, чтобы составить цепочку эксплойтов для iMessage нулевого дня, которые Pegasus использовал на протяжении 2021 года. Клаудио и Доннча назвали эту новую сложную атаку Megalodon — так она называлась в их файле доказательств Pegasus. (Мегалодон — это также название самого крупного вида акул, который когда-либо жил, что, вероятно, не осталось незамеченным разработчиками эксплойтов NSO). Впервые криминалистический инструмент Security Lab обнаружил следы Megalodon на мобильном телефоне французского адвоката по правам человека еще в марте, а Клаудио и Донча видели его на других телефонах в апреле, мае и вот теперь, в конце июня, на iPhone Карин.

Проблема, конечно, заключалась в том, что если Лаборатория безопасности могла видеть, как новая лучшая версия Pegasus работает в телефоне, это увеличивало вероятность того, что Pegasus тоже мог видеть, как Лаборатория безопасности работает в телефоне. Клаудио и Донча уже несколько недель стремились как можно скорее завершить это расследование. Теперь им не терпелось поскорее закончить его.

Я очень ценил эти опасения, особенно после того, как через несколько дней со мной связался Амитай Зив и сообщил, что один из его источников в Израиле, связанный с киберпромышленностью, спросил его, нет ли у нас "списка". По всей видимости, по Израилю ходили слухи о списке, связанном с НСО.

Я попросил Амитаи организовать для меня встречу с его источником. Я предложил Амитаю сказать ему, что нам нужны его технические сведения об индустрии киберэксплойтов в том виде, в каком она существует в Израиле.

Когда я наводил справки о нем, он казался небольшим оводом в киберпространстве Израиля — самопровозглашенный эксперт по безопасности, который всегда присутствовал на крупных киберконференциях, где премьер-министр Нетаньяху поддерживал индустрию. Но он говорил так, словно был заинтересован в том, чтобы контролировать инструменты киберслежения вроде Pegasus, так что кто знает. Может быть, я был параноиком. Может быть, ему есть что добавить.

Когда я дозвонился до него, он сказал, что хочет быть нам полезным, но разговор очень быстро стал странным. Первое, что он сделал, — предложил нелепую математическую формулу, согласно которой общее число людей, на которых нацелились клиенты NSO, за десять лет составило, возможно, 1,8 миллиона человек. Классическая красная селедка.

Затем он начал выпытывать информацию. Он никогда не спрашивал меня о списке, но требовал конкретики о нашем расследовании. "Сандрин, вы не сказали мне, о чем эта история, — сказал он.

"Речь идет о киберугрозах против журналистов", — сказал я, объясняя, насколько это было возможно для человека, не входящего в консорциум репортеров и редакторов. "Как в нашей мексиканской истории и в нашей марокканской истории, в общем-то. Мы продолжаем начатое и пытаемся выяснить, какие виды киберугроз возможны в отношении журналистов и кто может быть их объектом. И, в принципе, технически, как это работает".

По его словам, этого ему было недостаточно. Ему нужно что-то более "конкретное", например, новые "признаки", которые он мог бы проверить по своей собственной базе данных. Я сказал, что пришлю ему список вопросов, на которые он сможет ответить по электронной почте. Затем я вышел на связь.

Он был настойчив и не очень деликатен. "Если у вас действительно есть база данных, о которой произошла утечка, а это, скорее всего, просто слухи, — написал он после окончания разговора, — не могли бы вы поискать там мое имя?" Теперь я задавался вопросом, не действует ли он от имени НСО.

Через несколько дней мы получили известие от Шейна Харриса, одного из дюжины репортеров "Вашингтон пост", участвовавших в проекте. Шейн решил отказаться от запланированной поездки в Израиль. За несколько недель до этого к власти пришло новое правительство. Нетаньяху ушел с поста премьер-министра, и им стал Нафтали Беннет. Но было очень маловероятно, что новая администрация будет меньше опекать NSO Group. По мнению The Post, израильские власти знали, что вокруг компании и ее технологий что-то назревает, и администрация Беннета опасалась "большого беспорядка". The Post начала слышать разговоры внутри Израиля о "списке жертв", связанных с Pegasus.

До публикации оставалось еще три недели, что казалось очень долгим сроком, чтобы держать расследование в секрете, и я не был до конца уверен, что мы все доберемся до тихой гавани.

OceanofPDF.com