«Пегас»
Шрифт:
Настоящим героем дня стала Сандхья Равишанкар, внештатный репортер, которая приехала из своего дома в Ченнае в Дели, чтобы лично встретиться с Сиддхартом и М. К. Это была долгая поездка в неподходящее для Сандхьи время: два трехчасовых перелета и как минимум день встреч от нашего имени, и все это в то время, когда она была занята освещением местных выборов, до которых оставалось всего три недели. Но когда за две недели до этого мы сказали ей, что не сможем осуществить этот проект без нее и рассчитываем на нее как на посредника между нами и редакторами Wire, Сандхья согласилась. "Вы можете полностью на меня рассчитывать", — пообещала
Сандхья была одним из наших самых важных и преданных партнеров в серии Forbidden Stories "Зеленая кровь". Она также принимала участие в недавнем проекте "Картель". У себя на родине Сандхья пользовалась репутацией упорного репортера: она произвела впечатление на Сиддхарта и других, опубликовав в газете Wire серию из четырех частей о финансовой коррупции и экологических нарушениях в пескодобывающей промышленности в ее родном районе. Ее преследовали интернет-тролли, ее преследовали, топливопровод ее машины был загадочно перерезан, и ей пришлось защищаться (успешно) в уголовном процессе по обвинению в клевете. Поэтому, когда Сандхья связалась с Сиддхартом и сказала, что ей нужно срочно встретиться с ним лично, он согласился. Сиддхарт знал Сандхью, но, что еще важнее, он доверял и уважал ее. "Она сказала, что не может ничего сказать о цели встречи, — писал он позже, — но по ее молчаливости я догадался, что речь идет о чем-то важном".
Перед отъездом в Дели Сандхья выкроила время для подготовки репортажа о выборах, чтобы научиться выполнять резервное копирование iPhone на своем компьютере и загружать файл в Security Lab. Ее день в Дели начался в шесть утра, когда она по адресу уговорила известного журналиста, писателя и ученого по имени Паранджой Гуха Тхакурта разрешить нам провести экспертизу его телефона, а затем выполнила операцию резервного копирования и загрузки. Успех с телефоном Паранджоя, возможно, дал нам всем ложное ощущение легкости. В тот же день днем в доме Сиддхарта все пошло не так, как планировалось.
В первые же минуты попыток создать резервную копию телефона Сиддхарта Сандхья столкнулась с неприятным препятствием. По умолчанию для резервного копирования используется iTunes, и оказалось, что многие люди уже делали резервные копии своих iPhone там в далеком прошлом, причем с паролем, который мало кто помнит. Сиддхарт не стал исключением. iTunes не позволил ему создать еще один файл резервной копии без оригинального пароля. Финеасу удалось подключить Клаудио к нашему офису из Берлина, чтобы он помог нам справиться с техническими трудностями. Он был терпелив, как всегда, но не совсем обнадеживал. "Если запрашивается пароль, а сменить его невозможно, то ничего особенного делать не нужно", — сказал он. "К сожалению, его нужно просто сбросить или восстановить. Так уж сложилось".
Эти и другие подобные неполадки продолжали возникать в течение последующих часов, но Сандхья сохраняла самообладание и свой естественный солнечный настрой на протяжении всего жаркого дня и начала вечера. Она просто продолжала пить кокосовую воду, пока над головой жужжал вентилятор, а по кабинету носился ребенок, требуя внимания, или бигль Сиддхарта облизывал ее лицо, или сам Сиддхарт, с сигарой на губах, заглядывал ей через плечо. Финеас тоже не терял бодрости духа. "Нас предупреждали, — признался Финеас людям в Дели. "Палома уже делала это раньше, и она сказала, что нужно быть готовым к долгому пути". На это Финеас и Сандхья захихикали. Теперь вы мне
Я только что вернулся к видеосвязи, чтобы услышать, как Сандхья докладывает Финеасу, что программа iTunes сообщает ей, что до конца резервного копирования второго телефона Сиддхарта осталось тридцать минут и что он готов подписать некоторые бумаги, необходимые нам для включения "Провода" в проект. "Вообще-то, — сказала Сандхья, когда я устроился поудобнее, пытаясь понять, что происходит, — сейчас там сорок семь минут…. Это очень больно. Он ползет".
"Извините, что мне пришлось исчезнуть на два часа", — сказал я ей. "Что ты успел сделать за это время?"
"Итак, старый телефон Сиддхарта был сохранен и загружен. А новый телефон в данный момент находится в резервной копии". Она перешла к телефону М. К., подкрепилась кокосовой водой и успокоила очень игривого бигля Сиддхарта.
M. К., на телефоне которого было около пятидесяти пяти тысяч неудаленных сообщений WhatsApp, загрузка заняла почти в четыре раза больше времени, чем ожидалось. К тому времени, когда лаборатория безопасности получила резервную копию телефона М. К., Клаудио уже успел предоставить нам некоторые первые результаты из файлов Сиддхарта.
"Пока ничего окончательного, но команда техников нашла несколько потенциальных инфекций в вашем старом телефоне", — объяснил Финеас Сиддхарту. "На самом деле они просят нас, если вы согласитесь, отправить ваш старый телефон к ним [в Берлин] для личного анализа. Так они смогут получить более убедительные результаты".
"Вы имеете в виду сам телефон?" спросил Сиддхарт.
"Так они смогут взломать его, по сути, — пояснил Финеас, — и получить больше информации, чем дается через онлайн-платформу".
"Да", — сказал Сиддхарт. "Я могу это сделать".
ФОРЕНСИЧЕСКИЙ ИНСТРУМЕНТ, который Клаудио Гуарниери и Доннча О Сеарбхайль разработали за два с половиной года, прошедшие с момента расследования заражения шпионским ПО телефона их коллеги по Amnesty, был совершенно новым и уникальным. В середине 2019 года они обнаружили, что испытанный метод — поиск ссылки в SMS-сообщении и последующее сканирование всего IP-адреса на предмет того, не связан ли он каким-то образом с инфраструктурой, созданной NSO, — больше не является достаточным для решения этой задачи. Частично сложность заключалась в проворных контрмерах NSO.
Например, когда Лаборатория безопасности опубликовала отчеты летом и осенью 2018 года, NSO уже закрыла третью версию своей инфраструктуры и восстановила четвертую. Инженеры компании также построили дополнительные барьеры для обнаружения как на новых командно-контрольных серверах, так и на серверах, с которых запускались шпионские инфекции. Эти новые меры предосторожности, получившие название "port-knocking" или "DNS knocking", были эквивалентны тайному сигналу у дверей питейного заведения времен сухого закона. Потенциальный преступник должен был выполнить серию попыток подключения к серверу C&C. При правильной последовательности — "секретный стук" — предоставлялся доступ, возможно, к совершенно другому серверу, с которого можно было начать атаку Pegasus. Что еще более важно, NSO усовершенствовала гораздо более коварный метод заражения.