Пегас - Лоран Ришар

Недавняя экспертиза также выявила некоторые различия в сигнатурах клиентов NSO, что позволило отследить и подтвердить, откуда именно исходили конкретные цифровые атаки. Как оказалось, каждый лицензиат NSO, судя по уликам в телефонах, использовал свой собственный набор сфабрикованных учетных записей iCloud для совершения атак. Клаудио и Доннча обнаружили множество случаев, когда на ранних этапах использования Pegasus iPhone тайно связывались с созданными NSO учетными записями iCloud с определенными адресами электронной почты. Записи этих контактов в iCloud или iMessage, все из которых использовали вымышленные имена, затем записывались в файл в глубине телефона. С жертвами марокканских клиентов NSO могли связываться такие подделки, как [email protected] или [email protected] или [email protected] или [email protected], с жертвами индийских клиентов - [email protected] или [email protected] или [email protected]. Телефон М. К. Вену и двух других клиентов из Индии был получен по адресу [email protected]. Венгерские цели Саболч Паньи и Андраш Сабо тайно связывались с вымышленной Джессикой [email protected] и ее вымышленной сестрой [email protected].

Глубокий и все более широкий криминалистический анализ также позволил Клаудио и Доннче по-новому взглянуть на возможности инженеров и кодеров, которые разрабатывали и создавали систему Pegasus. Гениальность технической команды в штаб-квартире NSO к северу от Тель-Авива не проявилась во вредоносном ПО, которое лицензиаты Pegasus использовали для шпионажа за iPhone и его владельцем. Отчасти "дерьмовое", - говорит Клаудио, когда на него нажимают. "По-настоящему сложная часть Pegasus - это не сама вредоносная программа Pegasus", - говорит Донча. "Но эксплойт, фактический способ внедрения шпионского ПО в телефон, довольно сложен, и это то, что постоянно меняется".

Сложное оружие, которое система Pegasus от NSO использовала для внедрения своих вполне обычных шпионских программ, было разработано для использования уязвимостей, скажем, в программном обеспечении Apple и приложениях , запущенных на iPhone. Лаборатория безопасности уже обнаружила эксплойты, предназначенные для атак через iMessage и Apple Photos. Такое оружие известно в сфере кибербезопасности как "эксплойты нулевого дня", потому что именно столько времени технологические компании вроде Apple, Google или Microsoft знают о проблеме, и именно столько времени у них есть, чтобы устранить проблему до атаки. Ноль дней! Ни одного. Уже слишком поздно.

Если эксплойту удастся обойти достаточное количество средств защиты и технических мер, то в конечном итоге он сможет сделать джейлбрейк устройства и записать в iPhone любой вредоносный код, который пожелает. Но, как объяснили нам Клаудио и Доннча, одного эксплойта редко бывает достаточно, чтобы сломать современную киберзащиту и получить доступ к устройству. Исследователям часто требуется цепочка из трех или более эксплойтов, чтобы сделать трюк. Это означает, что для разработки такого оружия требуется много человеко-часов и денег, и все они начинаются с того, что действительно опытный хакер или киберисследователь обнаруживает слабое место в программном обеспечении Apple и делает так, чтобы его держали в секрете до тех пор, пока не смогут продать тому, кто больше заплатит.

Клаудио и Донча достаточно разбирались в рынке "нулевых дней", чтобы понять, что одна надежная цепочка эксплойтов может стоить миллион долларов или больше. Они также видели и слышали достаточно, чтобы поверить, что NSO, скорее всего, тратит значительные средства на собственные исследования для разработки собственного оружия нулевого дня. Масштабы деятельности NSO - платящие клиенты в десятках стран - почти требовали этого. "Для NSO совершенно оправданно тратить пять миллионов в год на эксплойт для iPhone, - сказал нам Клаудио, - если они могут продать [Pegasus] пятидесяти разным клиентам, и все они заплатят миллионы".

Увиденное убедило Клаудио в том, что исследователи, кодеры и инженеры NSO ведут постоянную игру в прятки с одной из самых заботящихся о безопасности компаний на планете - Apple.

"Apple ставит заплатки, когда узнает об этом", - говорит Клаудио. "Но Apple может бороться только с теми, о ком знает. Если они не знают об этом, они не могут исправлять". Модель Apple заключается в том, чтобы исправлять то, что можно исправить, но при этом создавать как можно больше трудностей".

Помните, когда вы говорите: "Мне нужен один эксплойт для iMessage", - это никогда не один эксплойт", - пояснил он. Когда iPhone взламывают с помощью эксплойта для iMessage, они используют, возможно, три, четыре, пять различных эксплойтов, упакованных в один".

"В случае с iPhone приходится идти на компромисс со многими вещами, что значительно усложняет задачу. Им приходится нарушать целый ряд [различных] мер безопасности, которые Apple ввела специально, чтобы создать дополнительные сложности, прежде чем вы сможете успешно получить полное право собственности на устройство".

"Сложность взлома iPhone заключается в том, что вам нужно иметь действующий эксплойт для всех этих различных уровней безопасности, и все они должны быть надежными и работать одновременно. Им приходится подрывать все остальные компоненты операционной системы. Один из них может быть исправлен ночью, и им нужно найти что-то другое, чтобы заменить его. Так что все не так просто. Это довольно сложный процесс".

У нас с Лораном все еще оставались серьезные опасения - Омар Ради и Хадиджа Исмайлова в первую очередь, - но в апреле проект "Пегас" продвинулся далеко вперед как в области судебной экспертизы, так и в журналистике. Мы нашли новых важных партнеров, подтвердили ряд инфекций, определились с ключевыми сюжетными линиями. Мы уже начали планировать встречу с гораздо более широким кругом партнеров, которые помогут нам в работе над этими историями. Кроме того, я чувствовал, что мы начинаем понимать, что послужило толчком к подъему и росту НСО. А также последовавший за этим впечатляющий размах. Самая известная (и печально известная) в мире компания по киберслежке - от ее основателей до изможденных исследователей - явно осознала силу и возможности уязвимости. Можно сказать, что они построили всю свою бизнес-модель на уязвимости. Они сделали это в стране, которая научилась жить со страхом и побеждать его.

Глава 14. Первые НЕ

Когда генеральный директор Тим Кук и его гуру решали, где разместить крупнейший научно-исследовательский центр Apple Inc. за пределами США, у них было мало ограничений. Годовая чистая прибыль компании составляла около 40 миллиардов долларов в год и постоянно росла, как и доля ее мобильных телефонов на мировом рынке. У Кука и компании была целая планета, и они выбрали пригород среднего размера, зажатый между морем и пустыней, в 7500 милях от своей штаб-квартиры в Купертино, штат Калифорния, в стране с населением менее девяти миллионов человек и валовым внутренним продуктом, сопоставимым с показателями Норвегии и Нигерии. В этом далеком месте Apple