Пегас - Лоран Ришар

озадачивающие находки. Потребовалась некоторая расшифровка, сравнение старых резервных копий с новыми резервными копиями тех же iPhone, но Клаудио и Донча убедились, что NSO использует новый обходной маневр. Кодеры и инженеры компании, осознав, что их эксплойты с нулевым кликом становятся доступными для киберисследователей, поскольку заражения оставляют обнаруживаемые следы Pegasus в файлах резервных копий, добавили дополнительный уровень защиты. Начиная с 2020 года эксплойты Pegasus стали гораздо тщательнее удалять все следы атак и заражений с телефонов, на которые они были направлены, и оставляли меньше следов.

Однако более загадочным, и это стало понятно Клаудио и Доннче только в последние недели мая, было то, что шпионская программа Pegasus от NSO теперь пыталась переписать историю. Когда устройство заражалось самой последней версией Pegasus, шпионская программа не только стирала следы новой атаки, но и пыталась стереть следы Pegasus, оставленные предыдущими атаками. Это было беспроигрышное открытие для Клаудио и Дончи. С другой стороны, инструмент Security Lab все же смог найти старые следы, потому что чистящие средства NSO были не слишком дотошными. Они вычистили имена вредоносных процессов почти из всех столбцов журналов использования данных в файлах резервных копий. Но не все. Оперативники НСО были небрежны, полагал Донча, потому что были самонадеянны. Им казалось, что они слишком хороши, чтобы быть пойманными.

Однако обратной стороной этого открытия стало тревожное подтверждение последних опасений Клаудио и Доннчи, что NSO может их раскусить. "То есть я не знаю, каким именно образом NSO может следить за нашей экспертизой, - сказал Клаудио нам с Сандрин, - но было бы глупо с их стороны не иметь какого-то контроля над телефоном, который им уже "принадлежит". Они, вероятно, могли бы видеть, если бы кто-то что-то делал".

 

Палома поняла, что скорость важна как никогда, когда отправилась обратно в Мексику в конце мая. Мы работали над историей "Пегаса" в Мексике дольше, чем над любой другой, начиная с проекта "Картель" в конце 2020 года. Палома и остальная команда разработали множество зацепок, которые пока что оказывались чем-то средним между манящими и безумно сложными для привязки. Мы рассчитывали на Палому и на наше все более тесное сотрудничество с Кармен Аристеги, одной из самых уважаемых и популярных журналисток Мексики.

Кармен обратилась к нам с поздравлениями после проекта "Картель", и мы воспользовались случаем, чтобы спросить ее, не хочет ли она присоединиться к нашему расследованию НСО. Она показалась нам заинтересованной. У Кармен была долгая и мучительная история отношений с компанией, ее посредниками в Мексике и государственными органами, которые должны были защищать права на частную жизнь и свободу прессы. Основанная ею медиакомпания Aristegui Noticias первой раскрыла факт распространения киберслежки в Мексике еще летом 2012 года, когда она и ее команда опубликовали оперативные и финансовые детали контрактов между мексиканской армией и реселлером NSO в стране, в то время Susumo Azano. Пять отдельных контрактов на сумму от 350 до 400 миллионов долларов, как сообщила Аристеги Нотисиас, "были оформлены без проведения торгов и утверждены путем прямого назначения компании Security Tracking Devices, SA de CV". В тот момент эта история не имела особого значения. Мексиканская армия провела пару беглых проверок секретных контрактов и закрыла дело в течение нескольких месяцев, не объяснив ничего, кроме "отсутствия элементов".

Первый доклад Кармен о киберслежке, а также ее критические репортажи о сомнительных сделках президента Энрике Пеньи Ньето с недвижимостью привлекли повышенное внимание мексиканских властей. Кармен сама стала одной из первых известных жертв Pegasus, вместе со своим шестнадцатилетним сыном. Их преследование было подтверждено Citizen Lab в 2017 году. Однако уголовное дело, которое она подала против мексиканского правительства, до сих пор тормозится прокурорами. Кармен занималась темой киберслежки в Мексике дольше, чем любой журналист в мире, и знала о ней больше, чем кто-либо другой. Но она была заинтригована тем, что мы смогли рассказать ей по незащищенной телефонной линии, и явно хотела узнать больше. Палома прилетела в Мехико в конце марта 2021 года, чтобы объяснить Кармен, что у нас есть.

Мы не могли показать Кармен или рассказать ей обо всех данных, к которым получили доступ еще в марте, но решили, что лучше всего будет запустить игру "совпадение имен" из ее файла контактов с нашим утечкой списка из пятнадцати тысяч возможных целей, выбранных мексиканскими клиентами NSO. Примерно через десять минут работы Кармен была поражена. Оказалось, что среди ее контактов было более шестидесяти совпадений. Десятки журналистов с сайта , родители студентов, задержанных местной полицией и убитых наркобаронами в Айотсинапе, правительственный чиновник, который должен был курировать затихшее расследование этих смертей, более десятка влиятельных политических деятелей, даже католический священник, получивший премии в области прав человека за свою работу с иммигрантами. "Политики, журналисты и священник", - пошутила Кармен. "Кто может стать нашим спасением?"

В определенные моменты обсуждения Кармен смотрела на то или иное имя и восклицала: "О боже", "О нет", "Только не она" и "Жестокая". Одним из сюрпризов стала гнусная и очень энергичная игра в политический шпионаж, в которую, похоже, играл кто-то из администрации Пеньи Ньето. Самые близкие друзья и советники оппозиционного кандидата Андреса Мануэля Лопеса Обрадора (известного как AMLO), который выиграл президентский пост в 2018 году, попали в эти данные. "Он один из самых доверенных людей нынешнего президента", - сказала Кармен Паломе, указывая на одно совпадение из наших данных.

"Мы уже нашли его водителя, кардиолога, директора его бейсбольного клуба", - ответила Палома.

"Посмотрим, - сказала Кармен, просматривая свой собственный список совпадений, - вот его водитель и кардиолог. Потом его жена, трое детей. Его дети? Сколько детей [в вашем списке]?"

"У него четверо детей, - ответила Палома, - и трое из них в списке".

"Только младшая? Только старшие трое?"

"Да".

Некоторые из совпадений оказались в кругу близких Кармен людей, большинство из которых были выбраны в то самое время, когда она впервые стала объектом нападения: ее личный помощник, один из ее давних продюсеров, даже ее сестра. Когда на следующий день Кармен встретилась с сестрой, Тереса Аристеги указала на полученное ею в тот момент SMS-сообщение, похожее на сообщение от подруги. "Мой отец скончался. Мы очень расстроены. Я отправляю тебе адрес, чтобы ты сопровождала нас". Тереза Аристеги должна была перейти по ссылке. Это совпадало с типом SMS-сообщений и ссылок, которые Кармен получала еще в 2016 году: "Прошло пять дней с тех пор, как моя дочь объявилась. Я буду благодарна, если вы поделитесь этой фотографией. Мы в отчаянии". И "Дорогая