«Пегас» - Лоран Ришар

Ленаиг нервничала, но охотно позволила сотрудникам Лаборатории безопасности провести экспертизу ее телефона, и Клаудио и Донча нашли доказательства успешного заражения с нулевого клика. Анализ мобильного телефона Ленаиг помог прояснить одну небольшую часть картины, подтвердив закономерность, которую заметили наши технические партнеры из Лаборатории безопасности. Судя по всему, NSO обнаружила уязвимость в iMessage, и ее клиенты в Марокко совершили несколько атак, используя эту слабость.

Сообщить Ленаиг о том, что она стала жертвой шпионского ПО, оказалось сложнее, чем я ожидал. Мы с Сандрин объяснили ей, что, судя по данным экспертизы, киберслежка за ней велась кем-то в Марокко еще в июле 2019 года, а в июле 2020 года она все еще была под прицелом. В Лаборатории безопасности не могли точно сказать, когда это прекратилось и прекратилось ли вообще. Ленайг немного помолчала. Мы все были в масках из-за Ковида, поэтому мне было трудно уловить ее реакцию. Она начала рассказывать, что боится, что ее выбрали в качестве мишени, чтобы добраться до ее мужа, алжирца — страны, которая в то время находилась в центре обострения дипломатической вражды с Марокко. Ей не нужно было этого говорить, но было ясно, что она боится, что подвергла опасности своего мужа и, возможно, даже их детей. Я видел, как глаза Ленаиг стали влажными, и чувствовал, что сам начинаю наполняться эмоциями.

"Хотите стакан воды?" — это все, что я смог придумать, чтобы сказать.

Она быстро пришла в себя и начала сосредотачиваться на деталях судебной экспертизы. Из письменного отчета Клаудио следовало, что за один месяц 2020 года "Пегас" извлек из iPhone Ленаиг более 220 мегабайт данных. Она хотела знать, что именно украли у нее марокканцы, но Клаудио не мог сказать наверняка. Криминалистическое средство не давало таких подробностей.

Она также хотела знать, как ей защитить себя (и свою семью) в дальнейшем, но мы объяснили, что абсолютного решения проблемы нет. Она могла отключить iMessage, где в программном обеспечении iOS была открыта дверь для кибератаки, и, возможно, FaceTime — еще один предполагаемый путь атаки. Она также могла перейти на новый iPhone и сменить номер, но это не гарантировало, что она сможет уберечься от конечных пользователей этого кибероружия, если они захотят атаковать ее снова.

Никто из нас не мог с уверенностью сказать, что именно спровоцировало кибершпионаж за Ленаиг. Она упомянула о своих репортажах о Хаммуши, который сейчас возглавляет внутреннюю разведку и национальную полицию Марокко и, скорее всего, руководит программой киберслежки в королевстве. Она также рассказала нам, что находится в контакте с группой журналистов, сообщающих о последних событиях в уголовном деле Омара Ради. Она не может припомнить, чтобы писала об Омаре в последнее время, но она обменивалась текстовыми сообщениями с источниками и другими репортерами, которые работали над этой историей.

Нам еще предстояло ответить на множество вопросов о Pegasus, NSO и Марокко, но экспертиза Mediapart стала для нас большим шагом вперед, просто с точки зрения уверенности в проекте. Два телефона в наших данных. Два положительных результата. 100-процентный процент успеха. У нас были доказательства фактического заражения, привязанные к временным меткам в данных, на обоих телефонах. Цифровые отпечатки пальцев совпадали с теми, которые Лаборатория безопасности обнаружила в других телефонах, предназначенных для марокканских конечных пользователей, — это означало, что мы на верном пути.

Эдви Пленель оказался благодарным и великодушным, даже после того, как мы объяснили, что пока не чувствуем себя комфортно, раскрывая Фабрису и Эдви подробности нашего большого расследования. Мы даже не упомянули НСО и "Пегас". Мы заверили их, что Mediapart не был главным объектом нашего расследования, что было гораздо больше жертв в разных новостных изданиях, но они не стали допытываться о размере или масштабах утечки. Эдви и Фабрис сказали нам, что их команда в Mediapart займется собственным расследованием, но они дали нам слово, что их сайт будет воздерживаться, пока Forbidden Stories и наши партнеры не расскажут о нашей истории. Эдви просто хотел предупредить нас о сроках, чтобы не казалось, что их застали врасплох.

В апреле Лаборатория безопасности обнаружила следы заражения Pegasus в журналах iPhone еще двух марокканских целей — одного адвоката по правам человека, живущего во Франции, и другого репортера из Le Monde. Еще одна марокканская цель помогла Клаудио и Доннче определить то, что выглядело как ранее неизвестный вектор атаки: Хакеры NSO, по-видимому, нашли способ открыть черный ход в Apple Photos. "Телефон французского адвоката по правам человека был взломан, и процесс 'bh' был выполнен через несколько секунд после того, как впервые был записан сетевой трафик приложения iOS Photos (com.apple.mobileslideshow)", — сообщают Клаудио и Доннча. "И снова, после успешной эксплуатации, отчет о сбоях был отключен путем записи на устройство файла com.apple.CrashReporter[.]plist". Эта атака произошла в октябре 2019 года. В журналах резервного копирования Ленаига Бреду была обнаружена атака в мае 2020 года с почти таким же шаблоном. Оба взломанных устройства также показали связь с созданной Pegasus учетной записью iCloud — bogaardlisa803[@]gmail.com. Эти новые находки означали, что у Клаудио и Доннча появились дополнительные маркеры, которые они могли ввести в свой криминалистический инструмент.

Не могу сказать, что кто-то из нас в Forbidden Stories или Security Lab ожидал подобных результатов; особенно удивительным был показатель положительной активности iPhone в списке, привязанном к марокканским конечным пользователям. Мы все чувствовали, что ось расследования НСО/Марокко теперь прочно стоит на ногах, но это уже начинало казаться слишком мало и слишком поздно для слишком многих журналистов в Рабате и Касабланке.

Несколькими неделями ранее закрылась осажденная Буахрином/Райсуни газета "Ахбар аль-Юм". Отказавшись от помощи Ковида, газета не смогла выбраться из финансовой ямы, вырытой для нее внешними сторонами. При Хасане II журналисты исчезли", — объясняет автор книги "Наш друг король" в новом интервью, опубликованном во Франции. При М6 это были газеты…. Люди, размещающие рекламу в независимых газетах или газетах, критикующих Мохаммеда VI, получают телефонные звонки: "Его Величество очень огорчен тем, что вы размещаете рекламу в этой газете". Очевидно, что сообщение принимается в пяти случаях из пяти. Реклама прекращается, и газета тоже".

Еще более острой проблемой было продолжающееся преследование недавнего главного редактора газеты "Ахбар аль-Юм" Сулеймана Райсуни и Омара Ради. Райсуни находился в марокканской тюрьме десять месяцев, а Омар — восемь, причем большую часть этого времени он провел в одиночной камере. Каждому из них было предоставлено несколько скудных возможностей представить показания и доказательства следственным судьям, но ни один из обвиняемых не был подвергнут официальному судебному разбирательству