«Пегас» - Лоран Ришар

К началу февраля эти совпадения происходили с поразительной скоростью, потому что Клаудио и Донча запускали из Лаборатории безопасности свою собственную операцию по автоматическому определению номера. Они начали этот процесс с приложений, которые представляли собой международные цифровые телефонные справочники. Самым лучшим и всеобъемлющим было приложение Truecaller, у которого было более двухсот миллионов пользователей по всему миру. Именно эта огромная клиентская база делала Truecaller лучшим и самым полным телефонным справочником, потому что каждый раз, когда пользователь мобильного телефона загружал приложение, Truecaller автоматически считывал все содержимое файла контактов нового пользователя и добавлял его в базу данных. Если у каждого из этих пользователей было пятьдесят, или сотни, или, может быть, даже тысячи контактов, что ж… цифры растут очень быстро.

Но это также означало, что Клаудио и Доннча должны были принять меры предосторожности, чтобы их контакты не попали в публичную базу данных. Они создали учетную запись на анонимном телефоне, успешно загрузили код Truecaller из приложения для Android, затем извлекли его, чтобы увидеть, как именно коммуникационный портал приложения взаимодействует с сервером Truecaller. Затем они переработали код и использовали полученные знания для написания собственного скрипта на Python, который мог бы просматривать базу данных Truecaller с сохранением конфиденциальности через Tor или виртуальную частную сеть. Доннче потребовалось несколько долгих дней, чтобы довести новый инструмент до совершенства и убедиться, что утечки данных и конфиденциальности не будет. Но даже этом случае он был ограничен в скорости поиска, так что вначале краулер мог делать только около шестидесяти совпадений в день.

Это было хорошо, когда проект ограничивался "Запретными историями", и в ранних поисках обнаружилось много интересных людей, например, несколько членов правительства Макрона во Франции. И сын турецкого президента Эрдогана. Доннча вспоминает, что этот процесс мог вызвать привыкание. Он каждый день приходил сюда и думал, какой новый мрачный сюрприз обнаружился в ходе круглосуточной охоты за цифровыми сокровищами.

К тому моменту, когда в феврале 2021 года четыре других наших партнера по репортажам приступили к серьезной работе, и внезапно появились новые рты, Клаудио и Донча разработали еще более эффективную систему. Они выделили для этого предприятия двадцать различных анонимных телефонов и зарегистрировали для каждого новый аккаунт Truecaller — это означало, что за день они могли обнаружить двенадцать сотен новых совпадений. Они называли множество имен, личностей и лиц.

Партнерам предстояло сделать следующий шаг: попытаться получить информацию из нескольких источников, чтобы проверить имена и номера, которые уже совпали, или провести предварительное исследование тех людей, которые теперь определены как возможные цели шпионской программы Pegasus, или поискать закономерности в данных.

В нашем офисе Forbidden Stories Сандрин распределила работу по странам-клиентам и раздала задания. Палома сосредоточилась на Мексике. Пока ей удалось проработать лишь четверть из более чем пятнадцати тысяч мексиканских номеров, но она уже выделила в списке целый ряд людей из окружения нынешнего президента. В списке уже значилось более двадцати журналистов из всех крупных новостных изданий Мексики, и Палома прилагала все усилия, чтобы найти номера всех журналистов, убитых в стране за последние несколько лет. Особенно она старалась найти номер Сесилио Пинеды, репортера, убийство которого мы расследовали с 2017 года, когда основали "Запретные истории".

Старый бумажный блокнот Финеаса Рюккерта тем временем заполнялся именами журналистов, на которых нацелился клиент или клиенты НСО в Индии. Он проверил номера репортеров из Hindustan Times, Hindu и журнала расследований Tehelka. Только из "Уир" их было четверо, включая двух из четырех основателей сайта. Финеас также заинтересовался списком номеров, выбранных конечными пользователями в Венгрии. Венгрия не входила в число стран, уже упоминавшихся в СМИ как клиент NSO, но сотни номеров, фигурировавших в данных, вели в Будапешт. Финеас уже смог определить по собственным контактным файлам мобильный телефон репортера-расследователя в Венгрии, который занимался критикой правого, антииммигрантского премьер-министра Виктора Орбана.

Одри занималась Саудовской Аравией и другими странами Персидского залива; это привлекло ее и в Турцию. Мы уже заметили несколько интересных аномалий в данных примерно в то время, когда в консульстве Саудовской Аравии в Стамбуле был убит Джамаль Хашогги. Клаудио увидел доказательства того, что турецкое правительство блокирует URL-адреса, связанные со шпионским ПО Pegasus. Они заблокировали все домены Pegasus, которые Amnesty International опубликовала в предыдущих отчетах. Что еще более интересно, в турецком списке блокировки появились новые домены Pegasus, которые еще не были опубликованы, что говорит о том, что турецкие эксперты по кибербезопасности сами выявляли новые случаи заражения Pegasus.

У Сесиль были две самые интригующие страны, включая еще одного недавно выявленного клиента Pegasus — Азербайджан. Хадиджа Исмайлова была одним из первых людей в данных, которые мы идентифицировали, но Сесиль каталогизировала многочисленные случаи, когда люди, связанные с Хадиджей, были выбраны для таргетинга, включая ее личного адвоката. Сесиль также изучала цели, выбранные клиентом из Марокко, который, как оказалось, был самым плодовитым пользователем Pegasus после Мексики.

Команда Le Monde очень заинтересовалась набором данных, связанных с Марокко, поскольку оказалось, что кто-то в Марокко выбрал президента Эммануэля Макрона, а также почти всех ключевых министров в администрации Макрона. Цифровой репортер Le Monde выстроил хронологию и обнаружил скопления выборов, сделанных практически в одно и то же время. Возможно, это связано с попытками марокканского правительства подавить движение за независимость Западной Сахары или с ростом общественных протестов, угрожающих алжирскому президенту. Но эти закономерности, как и многие другие, только начинали проявляться в данных; они подсказывали, с чего следует начать отчетность. Места, куда нужно было отправиться, чтобы подтвердить нацеленность выбранных телефонов с помощью инструмента киберслежения Security Lab. Места, где можно пошарить, чтобы получить реальный и пригодный для публикации материал, а также понять его контекст.

Именно там мы находились в начале марта 2021 года, когда партнеры по проекту впервые собрались в одном зале, на открытии трехдневного симпозиума в новом, но прохладном амфитеатре Le Monde. Две дюжины мужчин и женщин, приглашенных на встречу, были в масках и позаботились о том, чтобы расположиться на безопасном расстоянии от сидений стадиона, поднимающихся от помоста. В это время в Париже действовал комендантский час до 18:00 из-за растущего числа случаев заболевания Ковидом, поэтому большая часть утренних разговоров была посвящена тому, где и как люди могут получить еду на ужин вечером. Комендантский час также означал, что каждый день нам придется рано прерываться, так что эти занятия должны были быть бодрыми и эффективными.

Прежде чем начать официальную встречу, сотрудники Forbidden Stories прошли по проходам, собрали все мобильные телефоны и ноутбуки,