Пегас - Лоран Ришар

Именно это пара и решила сделать с iPhone Маати Монджиб. Попутно они сделали два важнейших открытия: одно относилось к iPhone вообще, а другое - к телефону Маати в частности. Первое произошло, когда Клаудио и Доннча создали полную резервную копию и образ файловой системы телефона Маати в iTunes и обнаружили, что из нее был извлечен необычный кэш данных, которого они раньше не видели. В отличие от телефонов на базе Android, где многие важные данные стираются при перезагрузке или просто исчезают за несколько месяцев, iPhone хранит информацию годами в различных журналах резервного копирования. Так что у техников Security Lab был доступ к стандартным резервным копиям, таким как старые текстовые сообщения и ссылки на них, а также история браузера. Кроме того, они получили доступ к журналу iOS под названием DataUsage.sqlite, в котором фиксировалось четкое название каждого процесса, происходящего на устройстве, а также то, когда и сколько именно мобильных данных было использовано. DataUsage.sqlite открывал совершенно новый путь для отслеживания Pegasus.

Поскольку Клаудио и Донча имели полный и неограниченный доступ к резервным копиям файлов Маати прямо в своем берлинском офисе, они могли уделить время поиску каждой иголки в этом цифровом стоге сена. Они могли написать и обновить свой собственный код для поиска специфических шпионских программ-маркеров, уже обнародованных или опубликованных в частном порядке в сообществе кибербезопасности. В журналах резервного копирования Маати они обнаружили процесс под названием "bh". Впервые процесс bh был обнаружен летом 2016 года, когда Citizen Lab совместно с частной компанией по кибербезопасности Lookout раскрыла попытку заразить iPhone программой Pegasus. По словам инженеров Lookout, разработанный NSO bh.c был инструментом, помогающим доставлять "полезную нагрузку следующего этапа" и "правильно размещать ее на iPhone жертвы". Эти полезные нагрузки, как они определили, были ранними стадиями эксплойтов для веб-браузера Pegasus. Lookout также обнаружил в пакете со шпионским ПО доказательства того, что "bh" - это сокращение от "Bridgehead".

Спустя три года Клаудио и Доннча обнаружили в телефоне Маати модуль bh, который, как они сообщили миру, "завершает эксплуатацию браузера, коренит устройство и готовит его к заражению полным набором Pegasus".

Дуэт из Security Lab сделал еще более удивительное открытие, изучив криминалистический снимок телефона Маати. Когда Клаудио и Доннча прочесали базу данных истории просмотров Safari и журналы ресурсов сеансов, они начали отмечать, а затем реконструировать некоторые странные цифровые обходные пути , которые они наблюдали. Пытаясь определить, открывал ли телефон Маати какие-либо известные Pegasus ссылки, они обнаружили, что весной и летом 2019 года телефон (уже подвергавшийся восемнадцать месяцев стандартной атаке Pegasus с помощью SMS-сообщений) переходил на странные и ранее неизвестные сайты. Клаудио и Донча не были уверены, что именно они увидели в базах данных, но это "выглядело подозрительно", - говорит Донча, - "и время было подходящим".

Например, когда Маати попытался зайти на домашнюю страницу Yahoo в июле 2019 года, он менее чем за три миллисекунды был перенаправлен на подозрительно выглядящую веб-страницу под названием Free247downloads.com по адресу https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz.

Несколько секунд спустя Free247downloads сбросил в телефон бомбу с вредоносным кодом, не предупредив Маати о том, что произошло нечто необычное.

Клаудио и Донча не только обнаружили попытку атаковать iPhone Маати, но и нашли внутри самого телефона следы успешного заражения шпионским ПО. Они также нашли доказательства нового и гораздо более опасного вида эксплойта, называемого "атакой с внедрением в сеть". Говоря простым языком, это был эксплойт "нулевого клика". Попытка заражения была предпринята не тогда, когда Маати Монджиб перешел по вредоносной ссылке, отправленной ему в текстовом сообщении. Внешняя атакующая сеть, возможно, "неавторизованная сотовая вышка или специальное оборудование, установленное у оператора мобильной связи", - подозревает Клаудио, - захватила браузер Маати, пока он просто просматривал Интернет.

Для Клаудио и Дончи это было впервые. У них были реальные доказательства существования эксплойта с нулевым кликом. У них также было довольно сильное подозрение, что шпионское ПО, о котором идет речь, - это Pegasus. Но, готовя свой публичный отчет, ни один из них не был достаточно уверен в себе, чтобы действительно связать новые эксплойты 2019 года с NSO... пока они не получили небольшую помощь от NSO. Примерно за неделю до того, как Клаудио и Донча должны были опубликовать результаты судебной экспертизы iPhone Маати Монджиб, они связались с NSO, чтобы поделиться результатами и, возможно, получить комментарий. На следующий день сервер со шпионским ПО, который должен был быть указан в отчете, был отключен от сети. "Мы поделились этой информацией только в частном порядке с NSO", - говорит Доннча. "Это как бы подтвердило для нас, что НСО действительно контролировала эту инфраструктуру и смогла ее отключить".

Клаудио и Доннча подтвердили свои революционные выводы, проведя экспертизу iPhone, которым пользовался марокканский журналист по имени Омар Ради. Сайт Free247downloads также был обнаружен в резервной копии телефона Омара. Как и свидетельства выполнения неавторизованных процессов bh в моменты после перенаправления на установочный домен Pegasus. Как и еще один вредоносный файл конфигурации, зарытый глубоко в телефоне, - CrashReporter[.]plist. Этот хитроумно сконструированный файл блокировал выполнение телефоном своей запрограммированной обязанности - автоматически сообщать инженерам Apple о любом сбое программного обеспечения. Файл CrashReporter был простым и эффективным способом для NSO и их клиентов замести следы Pegasus и убедиться, что они не предупредили людей из Apple о наличии уязвимости в системе безопасности, которую необходимо устранить.

Шквал цифровых поисков помог Клаудио и Доннче определить доменные имена и выполнение процессов, которые могли бы позволить им связать других жертв с Pegasus; это также помогло им начать понимать сложную механику эксплойта с нулевым кликом. Но эти открытия также предупредили их о серьезности предстоящей задачи. Им нужно было разработать новый, более совершенный инструмент для судебной экспертизы и продолжать оттачивать его. "Большая проблема мобильных устройств - отсутствие видимости", - говорит Донн-Ча. "На настольных и портативных компьютерах у нас есть антивирусы или комплекты EDR [безопасности], но для мобильных устройств не было ничего подобного". Такие сложные атаки, особенно атаки с нулевым кликом, явно оставались незамеченными".

В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы