«Пегас»

Звонок был срочным, поскольку раздался ближе к полуночи по тель-авивскому времени 5 августа 2020 года от кого-то из высшего руководства NSO Group. Шери Блэр, бывшая первая леди Соединенного Королевства, адвокат с большим стажем, известный защитник женщин-предпринимателей в Африке, Южной Азии и на Ближнем Востоке, видный борец за права человека во всем мире, была вынуждена взять трубку. Миссис Блэр недавно стала платным консультантом израильской компании NSO, чтобы помочь "включить соображения прав человека в деятельность NSO, включая взаимодействие с клиентами и развертывание продуктов NSO".

С этической точки зрения это было очень тонкой работой, поскольку фирменный продукт NSO — программное обеспечение для киберслежки под названием Pegasus — был замечательным и удивительно нерегулируемым

инструментом, чрезвычайно прибыльным для компании (в том году NSO заработала около 250 миллионов долларов) и опасно соблазнительным для ее клиентов. Успешно развернутый Pegasus, по сути, владеет мобильным телефоном; он может взломать встроенные в него средства защиты, включая шифрование, и получить почти полную свободу действий на устройстве, никогда не предупреждая владельца о своем присутствии. Сюда входят все текстовые и голосовые сообщения на телефон и с него, данные о местоположении, фото и видео, заметки, история посещений, даже включение камеры и микрофона устройства, при этом пользователь не имеет ни малейшего представления том, что это происходит. Полное удаленное наблюдение за личностью одним нажатием кнопки.

NSO настаивает на том, что ее программное обеспечение и вспомогательные услуги лицензированы только для суверенных государств, чтобы использоваться в правоохранительных и разведывательных целях. Они настаивают на том, что это правда, потому что, боже мой, представьте себе, если бы это было не так.

Система киберслежения, которую компания создала и постоянно обновляет и модернизирует для своих шестидесяти с лишним клиентов в более чем сорока разных странах, сделала мир намного безопаснее, утверждают в NSO. Десятки тысяч жизней были спасены, говорят они, потому что за террористами, преступниками и педофилами (педофилы — главный тезис компании в последние несколько лет) можно следить и останавливать их до того, как они начнут действовать. Цифры проверить невозможно, но, как утверждает NSO, преимущества Pegasus, используемого в рамках закона и этических норм, практически неоспоримы. Кто не хочет остановить педофилов? Или террористов? Кто может быть против этого?

"Управление полетами, у нас проблема", — такое сообщение получила Шери Блэр по телефону теплым летним вечером в августе 2020 года.

"До NSO дошло, что их программное обеспечение могло быть использовано не по назначению для слежки за мобильным телефоном баронессы Шеклтон и ее клиентки, Ее Королевского Высочества принцессы Хайи", — объяснил Блэр в ходе судебного разбирательства в Лондоне несколько месяцев спустя. "Старший менеджер NSO сказал мне, что NSO очень обеспокоена этим".

Согласно показаниям, полученным в лондонском суде, беспокойство НСО было двояким. Первое — это вопрос профиля. Pegasus был направлен против женщины, которая являлась членом двух влиятельных ближневосточных королевских семей, а также против ее очень хорошо связанного британского адвоката, баронессы Фионы Шеклтон. Шеклтон была не только известным адвокатом по бракоразводным процессам богатых и знаменитых людей, включая Пола Маккартни, Мадонну, принца Эндрю и принца Чарльза, но и сама являлась членом Палаты лордов. Еще более проблематичным для NSO было то, что атаки на баронессу и принцессу были обнаружены сторонним исследователем кибербезопасности. Если он выяснил только одну деталь того, как используется "Пегас", то что еще он выяснил? И как много из этого должно было стать достоянием общественности?

Звонивший из NSO попросил Шери Блэр "срочно связаться с баронессой Шак Летон, чтобы она могла уведомить принцессу Хайю", — пояснила она в своих показаниях. "Старший менеджер NSO сказал мне, что они предприняли шаги, чтобы исключить возможность повторного доступа к телефонам".

Подробности ночного звонка Блэру и слежки за принцессой и ее адвокатом стали достоянием общественности лишь спустя год с лишним, и то лишь потому, что это было частью процесса по опеке над ребенком принцессы Хайи и ее мужа, шейха Мохаммеда бен Рашида Аль Мактума, премьер-министра Объединенных Арабских Эмиратов и эмира Дубая. В заключении председателя Высокого суда по семейным делам, обнародованном в октябре 2021 года, говорится, что мобильные телефоны принцессы, ее адвоката, баронессы и еще четырех человек из их близкого окружения были атакованы программой киберслежения, причем "использовалась программа Pegasus компании NSO". Судья определил, что более чем вероятно, что слежка "осуществлялась слугами или агентами [мужа принцессы, шейха Мохаммеда бен Рашида Аль Мактума], эмирата Дубай или ОАЭ". По мнению судьи, слежка "велась с явных или подразумеваемых полномочий шейха".

История о принцессе, баронессе и Пегасе могла бы

попасть в колонки сплетен и через несколько недель кануть в Лету. Богатый и влиятельный человек использовал дорогую программу, чтобы шпионить за своей женой и ее адвокатом по бракоразводным процессам? Ну, если вы выходите замуж за шейха, а потом переходите ему дорогу, то вполне можете ожидать странных событий. NSO также провела довольно хорошую работу по очистке Aisle Spyware. Судебное решение в основном приняло слова NSO о том, что она полностью прекратила возможность ОАЭ использовать свою систему Pegasus, что обошлось компании, как отметил судья, "в десятки миллионов долларов". Возможно, так оно и было, но кто может сказать.

Однако на пути к этой статье в колонке сплетен о суде по бракоразводному процессу произошла забавная вещь. Как раз в то время, когда Шери Блэр получила звонок из Израиля, один очень смелый источник предложил двум журналистам из Парижа и двум исследователям кибербезопасности из Берлина получить доступ к удивительной части утечки данных. В списке были номера телефонов не одного или двух, не десяти эмиратских будущих разведенцев, и даже не двадцати или пятидесяти подозреваемых в педофилии или наркоторговле. Это было пятьдесят тысяч номеров мобильных телефонов, отобранных для возможного таргетинга Pegasus клиентами израильской фирмы NSO. Пятьдесят тысяч?

Что именно делать с этим первоначальным списком, ставшим известным благодаря утечке информации, этим решающим первым взглядом в бездну, — вопрос, на который потребовался почти год, чтобы получить ответ, с большим риском и серьезной работой. Ответ на этот вопрос имеет значение. Потому что либо это скандал, который мы поймем, поймем и найдем решения, либо это будущее, для всех нас, без всяких ограничений.

Эта книга — закулисная история проекта "Пегас", расследования смысла утечки данных, рассказанная Лораном Ришаром и Сандрин Риго из Forbidden Stories, двумя журналистами, получившими доступ к списку из пятидесяти тысяч телефонов. С этим списком они собрали и скоординировали международное сотрудничество более восьмидесяти журналистов-расследователей из семнадцати медиаорганизаций на четырех континентах, в одиннадцати часовых поясах и примерно на восьми языках. "Они держались вместе просто чудесным образом", — говорит редактор газеты Guardian, одного из партнеров проекта "Пегас". "У нас, наверное, шестьсот журналистов. Washington Post, возможно, вдвое больше. И то, что небольшая некоммерческая организация в Париже, на которую работает всего несколько человек, смогла собрать глобальный альянс медиа-организаций и противостоять не только одной из самых мощных компаний по киберслежке в мире, но и некоторым из самых репрессивных и авторитарных правительств в мире, — это впечатляет".

В ежедневной череде американских новостей и политики — моей рубрике — нечасто можно встретить новости, которые одновременно являются триллером и имеют реальное катастрофическое значение. Обычные гражданские лица, на которых нацелено военное оружие наблюдения — против их воли, против их ведома и без каких-либо средств защиты — это антиутопическое будущее, к которому мы действительно движемся, если не поймем эту угрозу и не предпримем меры, чтобы остановить ее. Сага "Проект Пегас" не только показывает нам, как ее остановить; это захватывающая история о героях, которые нашли этого дракона, а затем отправились его убивать. Я никогда не занимался подобными историями, но Лоран и Сандрин точно занимались, и это чертовски захватывающий материал.

Двигателем повествования, которое вы сейчас прочтете, является само рискованное расследование, начиная с момента, когда эти парни впервые получили доступ к утечке списка в последней половине 2020 года, и заканчивая публикацией в июле 2021 года. Но здесь также рассказывается история компании NSO, ее израильских правительственных благодетелей и государств-клиентов, которая ведет читателя из Тель-Авива в Мехико, Милан, Стамбул, Баку, Эр-Рияд, Рабат и далее. Десятилетний взлет компании — от ее маловероятного создания, первых схваток с конкурентами до золотой эры размаха и прибыльности — раскрывает всю историю разработки, вооружения и бездумного распространения опасной и коварной технологии. "Если вы продаете оружие, лучше убедиться, что вы продаете его тому, кто отвечает за свои действия", — говорит один молодой израильский эксперт по кибербезопасности. "Если вы даете полицейскому пистолет, а тот начинает стрелять в невинных людей, вас никто не обвинит. Но если вы даете шимпанзе пистолет, и шимпанзе стреляет в кого-то, вы не можете винить шимпанзе. Верно? Виноваты будете вы". Оказалось, что в этой истории вооруженных шимпанзе полным-полно. А также множество невинных людей, в которых стреляла пресловутая полиция.