«Пегас»
Шрифт:
Он был настойчив и не очень деликатен. "Если у вас действительно есть база данных, о которой произошла утечка, а это, скорее всего, просто слухи, — написал он после окончания разговора, — не могли бы вы поискать там мое имя?" Теперь я задавался вопросом, не действует ли он от имени НСО.
Через несколько дней мы получили известие от Шейна Харриса, одного из дюжины репортеров "Вашингтон пост", участвовавших в проекте. Шейн решил отказаться от запланированной поездки в Израиль. За несколько недель до этого к власти пришло новое правительство. Нетаньяху ушел с поста премьер-министра, и им стал Нафтали Беннет. Но было очень маловероятно, что новая администрация будет меньше опекать NSO Group. По мнению The Post, израильские власти знали, что вокруг компании и ее технологий что-то назревает, и администрация Беннета опасалась "большого
До публикации оставалось еще три недели, что казалось очень долгим сроком, чтобы держать расследование в секрете, и я не был до конца уверен, что мы все доберемся до тихой гавани.
OceanofPDF.com
ГЛАВА ДЕВЯТАЯ
"МЫ КАТИМСЯ"
Беспокойство о том, как сохранить проект "Пегас" в тайне еще несколько недель и уберечь наш источник от опасности до, во время и после публикации, вызывало у меня беспокойные ночи. В последние дни июня других партнеров больше всего беспокоил вопрос о судебной экспертизе. Клаудио и Донча на протяжении всего расследования вели себя спокойно и уверенно, и все члены консорциума, кто наблюдал за их работой вблизи или присутствовал на их презентациях, были уверены в их технической компетентности. Но у каждого из этих журналистов были редакторы на родине, перед которыми они должны были отчитываться, и у каждого из их изданий были адвокаты, которым платили за скептицизм, за требование предоставить как можно больше доказательств и за то, чтобы их клиенты не попали в суд. Редакторы и адвокаты хотели получить серьезное подкрепление выводов Лаборатории безопасности, и на нашей конференции в мае мы сошлись во мнении, что лучшим подкреплением будет экспертная оценка результатов экспертизы.
Для проведения технической экспертизы существовал единственный наилучший вариант. Золотым стандартом независимых исследовательских центров по кибербезопасности была Citizen Lab. Это учреждение и его сотрудники были известны в этой области и пользовались уважением во всем мире. Поэтому все участники проекта были рады, когда Citizen Lab и ее ведущий компьютерный ученый Билл Марчак, согласились провести экспертную оценку. Глава Amnesty Tech Дэнна Инглтон организовала механику вместе с Роном Дейбертом, директором Citizen Lab в Торонто. Первым этапом двухчастной экспертизы был судебный анализ нескольких iPhone, в которых Клаудио и Доннча нашли доказательства компрометации со стороны Pegasus. Анализ проводился вслепую, с использованием собственных криминалистических инструментов Citizen Lab, без знания методологии, которую использовала Security Lab в своем анализе. Предполагалось, что Citizen Lab повторит выводы Security Lab. Вторая часть экспертной оценки была бы более общей проверкой методологии, которую использовали Клаудио и Донча. Что-то вроде стороннего тренера, который смотрит фильм после игры и оценивает игры.
Я не предвидел никаких проблем, но это не означало, что я был свободен от беспокойства. Любые неожиданные проблемы в экспертной оценке могли оказаться губительными для расследования. Если бы Citizen Lab не смогла повторить наши выводы или обнаружила серьезные проблемы в нашей методологии, спасение проекта "Пегас" стало бы нелегкой задачей. С разрешения владельцев — Хадии Исмайловой, Саболча Паньи и Эдви Пленеля — 24 июня мы отправили в Торонто три отдельных файла резервных копий iPhone и попросили их быстро обработать. Первые результаты пришли через четыре дня, что показалось очень долгими четырьмя днями.
Билл Марчак и его коллега Джон Скотт-Рейлтон позвонили нам, чтобы сообщить о том, что они нашли, а затем прислали свой письменный отчет. Открыв файл, я пропустил короткий раздел с названиями процессов, сгенерированных Pegasus, которые Citizen Lab распознала в каждом из трех новых анализов, и перешел сразу к денежному абзацу: "Мы с высокой степенью уверенности заключаем, — говорилось в нем, — что все три iPhone "были успешно заражены шпионской программой Pegasus от NSO Group в указанные даты". Наш вывод с высокой степенью уверенности обусловлен тем, что мы никогда не видели, чтобы вышеуказанные имена процессов использовались в доброкачественном контексте, и только в случаях заражения шпионским ПО Pegasus от NSO Group мы видели, что вышеуказанные имена процессов
Я разместил свое резюме первого этапа экспертной оценки на защищенном сайте, к которому могли получить доступ все партнеры, вместе с pdf-файлом отчета, переданного Citizen Lab, и предвкушал коллективный вздох облегчения от коллабораторов проекта "Пегас" по всему миру. Крейг Тимберг почти сразу же опубликовал комментарий. "Это потрясающая новость!" — написал он. "Молодцы!" Миранда Патручич из OCCRP поддержала его: "Это превосходно".
Ни Клаудио, ни Донча не собирались кричать о том, что их работа получила одобрение, отчасти потому, что ни один из них не стремился оказаться в центре внимания. На протяжении всего нашего сотрудничества они оставались сдержанными мастерами. И это не собиралось меняться. Но когда два дня спустя Клаудио вышел на связь, чтобы взять интервью у небольшой подгруппы партнеров, которые хотели получить от него цитаты для своих репортажей о дне открытия, до которого оставалось всего восемнадцать дней, он выглядел почти жизнерадостным. Возможно, он даже несколько раз улыбнулся. Клаудио был на линии полтора часа, терпеливо отвечая на вопросы, готовый объяснить все, что угодно из первого черновика восьмидесятистраничного отчета, который они с Доннчей планировали выпустить в день нашей публикации. Клаудио предоставил черновик всем партнерам ранее в тот же день.
Он слышал те же вопросы, которые уже задавали ему некоторые из этих репортеров, иногда снова и снова: "Откуда вы знаете, что это Pegasus, а не какая-нибудь другая шпионская программа?" — но, похоже, он был рад ответить. "Имена этих процессов очень уникальны. Очень своеобразные. Их всего несколько десятков, и это не легитимные имена процессов iOS. И я могу сказать это точно, потому что я также проделал упражнение по загрузке всех версий iOS, которые были выпущены с 2016 года, и проверил все файлы, которые были выпущены вместе с ними. И ни один из них не появился на ней. Поэтому мы знаем, что эти появляющиеся процессы не являются легитимными процессами. Это вредоносные процессы. Мы знаем, что это процессы Pegasus, потому что они подключены к сетевой инфраструктуре, которую мы видели".
Он еще раз рассказал о возможностях шпионского ПО NSO: "Когда iPhone взламывают, это делается таким образом, что злоумышленники получают так называемые root-привилегии или привилегии администратора устройства, которые позволяют делать с телефоном практически все, что угодно". Это означает все, что угодно, что добавляет новую мысль к обсуждению. Если кто-то захочет узнать, с какой скоростью вы двигаетесь за рулем своего автомобиля, объяснил Клаудио, инженерам NSO достаточно будет написать код и подсунуть его в зараженный телефон.
Клаудио ответил на вопросы о динамике борьбы между NSO и производителями мобильных телефонов, такими как Apple, которая, вероятно, все еще лучше всех умеет играть в защиту. "Надо отдать должное, — сказал он об Apple, — но кое-кто очень талантливый, мотивированный высоким вознаграждением, которое он получает за поиск таких проблем, работает над всеми возможными способами обхода и поиска обходных путей". Он напомнил журналистам о том, что NSO может предложить своим лицензиатам Pegasus целый мешок обходных эксплойтов. "Я полагаю, что значительную часть из них они обнаружат и разработают сами, — пояснил он, — а еще большую часть, вероятно, можно будет приобрести у внешних исследователей и брокеров".
К концу интервью я не мог не задуматься о ценности этого сотрудничества между журналистами и техническими экспертами. Вся настороженность, которую Клаудио, Донча, Лоран и я испытывали друг к другу во время той первой встречи в Берлине в 2020 году, испарилась. Каждый из нас стал лучше выполнять свою работу, и это немаловажно. Техническая экспертиза Клаудио и Доннча не только дала репортерам проекта гораздо более глубокое понимание системы "Пегас", НСО и всей индустрии киберслежения, но и открыла им путь к поиску самых ярких и впечатляющих личных историй. А выехав на место и взяв на экспертизу более шестидесяти различных телефонов, репортеры проекта "Пегас" смогли предоставить эмпирикам из Лаборатории безопасности средства для новых открытий. "Чем больше записей атак вы видите, чем больше сравниваете следы, тем яснее становится картина", — сказал Клаудио группе в тот день. "Вы начинаете складывать все кусочки головоломки, и она становится все более очевидной. Так что все складывается в единое целое".