Пегас - Лоран Ришар

"Но он не может получить доступ к зашифрованным сообщениям, которые я получаю и читаю?" спросил Саболч. "Только то, что я печатаю?"

"Они могут получить доступ ко всему, что вы видите", - сказал ему Фредерик. "Если вы получаете сообщение Signal, которое было зашифровано по дороге, как только вы его прочитаете и увидите здесь [на своем телефоне], они смогут получить к нему доступ".

"Хорошо, - сказал Саболч, улыбаясь сквозь явную боль.

"В этом и заключается огромная опасность, - сказал ему Фредерик, - потому что все мы, журналисты, чувствовали себя в некоторой безопасности, даже после всех разоблачений АНБ Сноудена. Что как только мы используем такую технологию, как Signal, наши коммуникации становятся безопасными. Это огромная угроза для всех нас и наших источников".

Когда на следующий день Фредерик и Бастиан явились в офис Direkt36 на вторую встречу, Клаудио и Донча уже сопоставили более десятка номеров из списка контактов Саболча с номерами в наших данных. Саболч взял один из совпавших номеров и набрал его в своем телефоне. "Что ж, - вздохнул он, - похоже, это наш коллега, работающий здесь".

"В газете?" спросил Бастиан. "У нас нет названия для этого номера".

Саболч определил, что номер принадлежит Андрашу Сабо, который работал в соседней комнате.

"Итак, второй коллега из Direkt36", - сказал Бастиан. "Это раздражает".

Саболч вызвал Андраша Сабо в конференц-зал, чтобы получить его разрешение на проведение экспертизы. Затем команда загрузила резервную копию iPhone Андраша в лабораторию безопасности, и через час или около того были получены предварительные результаты. Фредерик представил результаты Саболчу, Андрашу Петё и Андрашу Сабо. Это была практически половина редакции Direkt36.

"Похоже, что он был скомпрометирован 13 июня 2019 года и еще раз 24 сентября того же 2019 года", - сказал им Фредерик.

"Я?" сказал Андраш Сабо, выглядя ошеломленным.

"Да, ты".

"Ух ты!"

"Думаю, было бы неплохо просмотреть ваш календарь и воспоминания", - предложил Фредерик.

"У меня проблема", - объясняет Андраш Сабо. "В прошлом году венгерская полиция пригласила меня в качестве свидетеля по одному делу, и перед тем как эти полицейские пришли за мной, я удалил много вещей из своего календаря".

Саболч уже сканировал архивы Direkt36, чтобы найти материалы, которые его коллега опубликовал в соответствующие месяцы 2019 года. Незадолго до первой кибератаки Андраш опубликовал расследование о министре связи Орбана. Чиновник Fidesz и его жена получили в подарок роскошные автомобили от компании, связанной с Россией. Затем он написал статью об оппозиционере, подозреваемом в финансовых махинациях. Затем - о контракте на строительство венгерской атомной электростанции, который был отдан российской корпорации "Росатом".

Андраш объяснил, что у него есть важные анонимные источники по истории с атомной станцией.

"Это может быть кто-то, кто пытается выяснить, кто ваши источники", - предположил Фредерик. "Или, может быть, ваши источники сообщили правительству".

"Может быть", - сказал Андраш. Он не знал, что и думать. Но для команды Direkt36 было ясно несколько вещей. Это будет большая история, и работы предстоит много.

"Думаю, было бы неплохо, если бы вы еще раз просмотрели свои записи и подумали, какие источники могут быть в опасности", - предложил Фредерик.

"Только эти два дня?" спросил Андраш.

"Насколько мы сейчас понимаем систему, заражения происходили именно в эти дни", - сказал им Фредерик. "Но это не значит, что только в эти дни. Может быть, кто-то слушал и читал и после этого".

Андраш Петё, как всегда, редактор, напомнил Саболчу и Андрашу Сабо, что они должны держать всю эту информацию между собой. Пока, сказал он, будет лучше, если они не скажут об этом никому из своих коллег.

"Даже не записывайте в свой компьютер, что эта встреча состоялась", - предостерег Фредерик. "Ни с кем не говорите об этом".

ПОДТВЕРЖДЕНИЕ заражения iPhone Андраша Сабо ознаменовало конец очень продуктивного месяца в Лаборатории безопасности в Берлине. Включая недавнее подтверждение iPhone, принадлежащего репортеру из Мексики, Клаудио и Доннча за это короткое время нашли следы Pegasus на десяти разных мобильных телефонах, по крайней мере в четырех разных странах. По опыту Клаудио, процент успеха был просто зашкаливающим. Даже те несколько iPhone, которые оказались чистыми, помогли команде кибербезопасности Amnesty International, состоящей из двух человек, составить каталог миллионов законных названий процессов в iOS или в приложениях, установленных из магазина Apple. "Ни на одно из них нет никакой документации", - сказал нам Клаудио. "Apple не публикует подробностей. Так что процесс понимания и знакомства с операционной системой [iPhone] тоже был".

Внезапный наплыв криминалистических анализов увеличил список легитимных имен процессов iOS в Лаборатории безопасности, но также увеличил и список нелегитимных имен процессов, сгенерированных Pegasus. В глаза бросался тот факт, что кто-то в NSO ловко переименовывал вредоносные процессы Pegasus, чтобы замаскировать атаки, добавляя или вычитая или перемещая букву здесь, меняя цифру там. Например, легитимный ckkeyrolld от Apple стал вредоносным ckkeyrollfd от NSO; fseventsd стал eventsfssd; nehelper стал nehelprd; CommCenterRootHelper стал CommsCenterRootHelper; xpcroleaccountd стал roleaccountd. "Чем больше мы смотрим на телефоны, - сообщает Доннча, - тем больше собираем показателей. Мы как бы создаем базу данных индикаторов".

Увеличение этой базы данных имело решающее значение. Вводя в свой мозг этот растущий список имен вредоносных процессов, криминалистический инструмент Security Lab учился побеждать, как позже сказал один из наших партнеров, в "самой сложной в мире игре "Найди отличия"".

В конце апреля Клаудио и Доннча явно обрели уверенность в своем развивающемся криминалистическом инструменте, и на то были веские причины. Они только что обнаружили следы атаки Pegasus на iPhone индийского журналиста М. К. Вену, который казался чистым, когда они впервые проанализировали его еще в марте. Но оказалось, что по крайней мере одно имя процесса, сгенерированное Pegasus, которое Клаудио и Доннча обнаружили в iPhone Ленаига Бреду -otpgrefd - также находилось в резервной копии iPhone М. К., хранившейся на диске в Security Lab. "Как только вы чувствуете, что открыли что-то новое, чего не знали раньше, вы возвращаетесь назад и просматриваете предыдущие улики", - сказал нам Клаудио. "Возможно, вы обнаружите какие-то вещи, которые раньше упускали или интерпретировали по-другому".

Стали вырисовываться закономерности и сходства, связывающие конечных пользователей Pegasus. Клаудио и Донча обнаружили, что множество вредоносных шпионских процессов, созданных NSO, работали на множестве зараженных iPhone, независимо от того, находился ли клиент NSO в Индии, Марокко, Мексике,