Пегас - Лоран Ришар
В 2014 году он разработал и выпустил инструмент, помогающий политическим диссидентам, журналистам и правозащитникам выявлять шпионские программы на своих личных устройствах. Его идея заключалась в том, чтобы дать людям инструменты для самостоятельного обнаружения. Сам инструмент, по словам Клаудио, был "халтурным" (в уничижительном смысле). Он был не до конца проработан и не имел того успеха, на который он рассчитывал. "В то время я был не самым лучшим инженером, - признается он.
Клаудио вернулся к чертежной доске в техническом и политическом плане, осознав, что ему нужно гораздо больше квалифицированных исследователей, кодеров и инженеров в своей команде. В то время как он подписывал контракт на должность старшего (и единственного) технолога в Amnesty International, он также стал одним из основателей хакерского коллектива под названием Security Without Borders и обратился к своим коллегам-гикам с призывом посвятить свое свободное время исправлению дисбаланса в борьбе за кибербезопасность между государством и гражданами. "Нам нужно признать, что мы обладаем привилегиями образованных людей и технических специалистов", - сказал он, объявляя о создании нового коллектива. "Посвятить свое время и свои способности на благо общества - это конкретный политический выбор, и вы должны принять его с сознанием и гордостью".
Компания "Безопасность без границ" так и не разгорелась, и к тому времени, когда Доннча через год перешел на работу в Amnesty Tech, Клаудио, похоже, был близок к выгоранию. В 2018 году разработчики киберслежки получали рекордные прибыли, распространяя свое навязчивое оружие по всему миру. Бесконечная борьба с врагом, которого хорошо финансировали и защищали богатые и влиятельные страны, была утомительной. Эта игра в "забей и брось" становилась все более старой и неудовлетворительной. "Он занимался этой работой гораздо дольше, чем я, - говорит Донча, - и он был немного циничен в том, что мы можем повлиять на ситуацию и действительно изменить ход событий".
"В принципе, Клаудио сказал, что вы можете работать над чем угодно. Хорошо, что у нас была такая гибкость, но в то же время мы думали: "Что мы будем делать?"".
Ответ на этот вопрос как бы сам упал к ним в руки через несколько месяцев работы Доннчи. Сотрудница Amnesty International из Саудовской Аравии связалась с ними по поводу сообщения в WhatsApp, которое она только что получила от незнакомого человека; это было срочное предупреждение о протесте, который должен был состояться перед посольством Саудовской Аравии в Вашингтоне. "Нам нужна ваша поддержка, пожалуйста", - говорилось в сообщении, и ей предлагалось перейти по ссылке для получения дополнительной информации. Сотрудницу ИИ уже предупреждали о новом оружии киберслежки, нацеленном на мобильные телефоны, и она беспокоилась, что кто-то пытается совершить подобную атаку на нее. Клаудио и Донча согласились, что у нее есть причины для беспокойства, и провели расследование.
Изучив сообщение и ссылку, они смогли выявить причуду подписи в настройках домена и сервера. Это сообщение WhatsApp и ссылка были тщательно продуманы, чтобы скрыть любую информацию об атаке и личность злоумышленника. Ссылка и конечный сервер были настроены особым образом. Любая попытка открыть несуществующую страницу на сервере не приводила к типичному сообщению "Not Found"; сервер просто не отвечал на запрос, чтобы не насторожить жертву. Это уже наводило Клаудио и Доннча на мысль, что они имеют дело не с обычным спамом или киберпреступной атакой.
Но это еще не все.
Алгоритм шифрования на сервере был тщательно настроен для обеспечения дополнительной безопасности. Парадоксально, но все эти дополнительные заботы операторов помогли Клаудио и Доннче изолировать и идентифицировать эти серверы, потому что они выделялись как уникальные. Они отличались от всех остальных серверов в Интернете.
Когда Клаудио и Донча составили карту этой конфигурации, у них появился своего рода цифровой отпечаток пальца. Затем они провели сканирование Интернета летом 2018 года, буквально подключившись к каждому серверу в сети, в поисках других, имеющих такую же конфигурацию, такой же цифровой отпечаток. Они обнаружили почти шестьсот отдельных совпадающих серверов, которые служили стартовыми площадками для соответствующих шпионских атак.
Шансы выяснить происхождение этих серверов и доменных имен, которыми они владели, были бы невелики, если бы не несколько ранних криминалистических расследований, проведенных Citizen Lab при Университете Торонто. Исследователи из Citizen Lab уже несколько лет преследовали одного конкретного провайдера киберслежки. В 2016 году они не только нашли доказательства того, что шпионское ПО этой компании успешно заразило мобильный телефон правозащитника в Объединенных Арабских Эмиратах, но и смогли собрать воедино всю сетевую инфраструктуру компании . Среди прочего, они обнаружили сотни доменных имен, связанных с серверами компании. Citizen Lab опубликовала многие из них для всеобщего обозрения.
Компания отреагировала мгновенно, перестроив всю систему, составляющую ее "анонимизирующую сеть передачи данных", и изменив доменные имена. Но компания допустила важную ошибку: она повторно использовала два доменных имени из своей предыдущей версии: pine-sales[.]com и ecommerce-ads[.]org.
Так Клаудио и Донча их и поймали. Они нашли эти доменные имена в новой инфраструктуре, и это подсказало им, кто управляет системой. Это была NSO Group. Это был Pegasus. "Каждый инсталляционный сервер Pegasus или сервер управления и контроля (C&C) размещал веб-сервер на порту 443 с уникальным доменом и сертификатом TLS", - пишут они. "Эти пограничные серверы затем проксировали соединения через цепочку серверов, названную NSO Group "анонимной сетью передачи данных Pegasus"".
Поиск новых доменов Pegasus, соответствующих отпечатку пальца, также привел Клаудио и Дончу ко второй жертве. Яхья Ассири был бывшим офицером королевских ВВС Саудовской Аравии, который стал нежелательной занозой в боку саудовской королевской семьи. Под угрозой физической расправы Ассири бежал из родной страны, однако ему удалось создать в Саудовской Аравии сеть правозащитников и продолжить острую критику правящей монархии. Он публично ставил под сомнение религиозность саудовской королевской семьи , ее управление, плохое обращение с обнищавшими подданными и склонность к варварским наказаниям, таким как побивание камнями, порка, отсечение конечностей и обезглавливание. Другими словами, Асири говорил такие вещи, которые сами по себе навлекали на него подобные наказания. "Это абсолютная монархия, которая не позволяет своим гражданам участвовать в управлении своей страной", - сказал Ассири одному западному изданию. "Они используют ислам как оправдание для эксплуатации собственного народа. Это противоречит фундаментальным исламским учениям". Он призвал королевскую
