«Пегас»
Шрифт:
"Этот?" спросил Фредерик. "В Венгрии?"
"Да, в этой истории был и американский, и российский угол зрения".
"А венгерский?" — спросил Фредерик.
"И венгерский тоже", — пояснил Саболч. "А также с израильским уклоном. Парень, с которым я встречался, заметил, что рядом с нами сидит человек из какого-то посольства, который, как известно, работает на разведку этой иностранной страны".
"О, ничего себе", — сказал Фредерик.
И Бастиан надавил на Саболча. "Вы можете нам сказать?"
"Это были Соединенные Штаты".
Саболч хотел прояснить последний вопрос, касающийся криминалистики. Клаудио сказал ему,
"Мы должны опасаться худшего, — объяснил Фредерик.
"Я предполагаю, что это журналы чата, — сказал Саболч почти умоляюще.
"Предполагается, что все, что вы видели на своем мобильном телефоне, было доступно, а также все, что вы говорили и писали", — говорит Фредерик. "Даже сообщение Signal, которое теоретически зашифровано, может быть прочитано с помощью этой технологии. Ведь когда вы его набираете, оно, по сути, перехватывается там. То есть его не перехватят по дороге, когда оно уже зашифровано. Но во время ввода".
"Но он не может получить доступ к зашифрованным сообщениям, которые я получаю и читаю?" спросил Саболч. "Только то, что я печатаю?"
"Они могут получить доступ ко всему, что вы видите", — сказал ему Фредерик. "Если вы получаете сообщение Signal, которое было зашифровано по дороге, как только вы его прочитаете и увидите здесь [на своем телефоне], они смогут получить к нему доступ".
"Хорошо, — сказал Саболч, улыбаясь сквозь явную боль.
"В этом и заключается огромная опасность, — сказал ему Фредерик, — потому что все мы, журналисты, чувствовали себя в некоторой безопасности, даже после всех разоблачений АНБ Сноудена. Что как только мы используем такую технологию, как Signal, наши коммуникации становятся безопасными. Это огромная угроза для всех нас и наших источников".
Когда на следующий день Фредерик и Бастиан явились в офис Direkt36 на вторую встречу, Клаудио и Донча уже сопоставили более десятка номеров из списка контактов Саболча с номерами в наших данных. Саболч взял один из совпавших номеров и набрал его в своем телефоне. "Что ж, — вздохнул он, — похоже, это наш коллега, работающий здесь".
"В газете?" спросил Бастиан. "У нас нет названия для этого номера".
Саболч определил, что номер принадлежит Андрашу Сабо, который работал в соседней комнате.
"Итак, второй коллега из Direkt36", — сказал Бастиан. "Это раздражает".
Саболч вызвал Андраша Сабо в конференц-зал, чтобы получить его разрешение на проведение экспертизы. Затем команда загрузила резервную копию iPhone Андраша в лабораторию безопасности, и через час или около того были получены предварительные результаты. Фредерик представил результаты Саболчу, Андрашу Петё и Андрашу Сабо. Это была практически половина редакции Direkt36.
"Похоже, что он был скомпрометирован 13 июня 2019 года и еще раз 24 сентября того же 2019 года", — сказал им Фредерик.
"Я?" сказал Андраш Сабо, выглядя ошеломленным.
"Да, ты".
"Ух ты!"
"Думаю, было бы неплохо просмотреть ваш календарь и воспоминания", — предложил Фредерик.
"У меня проблема", — объясняет Андраш Сабо. "В прошлом году венгерская полиция пригласила меня в качестве свидетеля по одному делу, и перед тем как эти полицейские
Саболч уже сканировал архивы Direkt36, чтобы найти материалы, которые его коллега опубликовал в соответствующие месяцы 2019 года. Незадолго до первой кибератаки Андраш опубликовал расследование о министре связи Орбана. Чиновник Fidesz и его жена получили в подарок роскошные автомобили от компании, связанной с Россией. Затем он написал статью об оппозиционере, подозреваемом в финансовых махинациях. Затем — о контракте на строительство венгерской атомной электростанции, который был отдан российской корпорации "Росатом".
Андраш объяснил, что у него есть важные анонимные источники по истории с атомной станцией.
"Это может быть кто-то, кто пытается выяснить, кто ваши источники", — предположил Фредерик. "Или, может быть, ваши источники сообщили правительству".
"Может быть", — сказал Андраш. Он не знал, что и думать. Но для команды Direkt36 было ясно несколько вещей. Это будет большая история, и работы предстоит много.
"Думаю, было бы неплохо, если бы вы еще раз просмотрели свои записи и подумали, какие источники могут быть в опасности", — предложил Фредерик.
"Только эти два дня?" спросил Андраш.
"Насколько мы сейчас понимаем систему, заражения происходили именно в эти дни", — сказал им Фредерик. "Но это не значит, что только в эти дни. Может быть, кто-то слушал и читал и после этого".
Андраш Петё, как всегда, редактор, напомнил Саболчу и Андрашу Сабо, что они должны держать всю эту информацию между собой. Пока, сказал он, будет лучше, если они не скажут об этом никому из своих коллег.
"Даже не записывайте в свой компьютер, что эта встреча состоялась", — предостерег Фредерик. "Ни с кем не говорите об этом".
ПОДТВЕРЖДЕНИЕ заражения iPhone Андраша Сабо ознаменовало конец очень продуктивного месяца в Лаборатории безопасности в Берлине. Включая недавнее подтверждение iPhone, принадлежащего репортеру из Мексики, Клаудио и Доннча за это короткое время нашли следы Pegasus на десяти разных мобильных телефонах, по крайней мере в четырех разных странах. По опыту Клаудио, процент успеха был просто зашкаливающим. Даже те несколько iPhone, которые оказались чистыми, помогли команде кибербезопасности Amnesty International, состоящей из двух человек, составить каталог миллионов законных названий процессов в iOS или в приложениях, установленных из магазина Apple. "Ни на одно из них нет никакой документации", — сказал нам Клаудио. "Apple не публикует подробностей. Так что процесс понимания и знакомства с операционной системой [iPhone] тоже был".
Внезапный наплыв криминалистических анализов увеличил список легитимных имен процессов iOS в Лаборатории безопасности, но также увеличил и список нелегитимных имен процессов, сгенерированных Pegasus. В глаза бросался тот факт, что кто-то в NSO ловко переименовывал вредоносные процессы Pegasus, чтобы замаскировать атаки, добавляя или вычитая или перемещая букву здесь, меняя цифру там. Например, легитимный ckkeyrolld от Apple стал вредоносным ckkeyrollfd от NSO; fseventsd стал eventsfssd; nehelper стал nehelprd; CommCenterRootHelper стал CommsCenterRootHelper; xpcroleaccountd стал roleaccountd. "Чем больше мы смотрим на телефоны, — сообщает Доннча, — тем больше собираем показателей. Мы как бы создаем базу данных индикаторов".