«Пегас» - Лоран Ришар

"Даже не записывайте в свой компьютер, что эта встреча состоялась", — предостерег Фредерик. "Ни с кем не говорите об этом".

ПОДТВЕРЖДЕНИЕ заражения iPhone Андраша Сабо ознаменовало конец очень продуктивного месяца в Лаборатории безопасности в Берлине. Включая недавнее подтверждение iPhone, принадлежащего репортеру из Мексики, Клаудио и Доннча за это короткое время нашли следы Pegasus на десяти разных мобильных телефонах, по крайней мере в четырех разных странах. По опыту Клаудио, процент успеха был просто зашкаливающим. Даже те несколько iPhone, которые оказались чистыми, помогли команде кибербезопасности Amnesty International, состоящей из двух человек, составить каталог миллионов законных названий процессов в iOS или в приложениях, установленных из магазина Apple. "Ни на одно из них нет никакой документации", — сказал нам Клаудио. "Apple не публикует подробностей. Так что процесс понимания и знакомства с операционной системой [iPhone] тоже был".

Внезапный наплыв криминалистических анализов увеличил список легитимных имен процессов iOS в Лаборатории безопасности, но также увеличил и список нелегитимных имен процессов, сгенерированных Pegasus. В глаза бросался тот факт, что кто-то в NSO ловко переименовывал вредоносные процессы Pegasus, чтобы замаскировать атаки, добавляя или вычитая или перемещая букву здесь, меняя цифру там. Например, легитимный ckkeyrolld от Apple стал вредоносным ckkeyrollfd от NSO; fseventsd стал eventsfssd; nehelper стал nehelprd; CommCenterRootHelper стал CommsCenterRootHelper; xpcroleaccountd стал roleaccountd. "Чем больше мы смотрим на телефоны, — сообщает Доннча, — тем больше собираем показателей. Мы как бы создаем базу данных индикаторов".

Увеличение этой базы данных имело решающее значение. Вводя в свой мозг этот растущий список имен вредоносных процессов, криминалистический инструмент Security Lab учился побеждать, как позже сказал один из наших партнеров, в "самой сложной в мире игре "Найди отличия"".

В конце апреля Клаудио и Доннча явно обрели уверенность в своем развивающемся криминалистическом инструменте, и на то были веские причины. Они только что обнаружили следы атаки Pegasus на iPhone индийского журналиста М. К. Вену, который казался чистым, когда они впервые проанализировали его еще в марте. Но оказалось, что по крайней мере одно имя процесса, сгенерированное Pegasus, которое Клаудио и Доннча обнаружили в iPhone Ленаига Бреду — otpgrefd — также находилось в резервной копии iPhone М. К., хранившейся на диске в Security Lab. "Как только вы чувствуете, что открыли что-то новое, чего не знали раньше, вы возвращаетесь назад и просматриваете предыдущие улики", — сказал нам Клаудио. "Возможно, вы обнаружите какие-то вещи, которые раньше упускали или интерпретировали по-другому".

Стали вырисовываться закономерности и сходства, связывающие конечных пользователей Pegasus. Клаудио и Донча обнаружили, что множество вредоносных шпионских процессов, созданных NSO, работали на множестве зараженных iPhone, независимо от того, находился ли клиент NSO в Индии, Марокко, Мексике, Венгрии или любой другой стране из нашего списка.

Недавняя экспертиза также выявила некоторые различия в сигнатурах клиентов NSO, что позволило отследить и подтвердить, откуда именно исходили конкретные цифровые атаки. Как оказалось, каждый лицензиат NSO, судя по уликам в телефонах, использовал свой собственный набор сфабрикованных учетных записей iCloud для совершения атак. Клаудио и Доннча обнаружили множество случаев, когда на ранних этапах использования Pegasus iPhone тайно связывались с созданными NSO учетными записями iCloud с определенными адресами электронной почты. Записи этих контактов в iCloud или iMessage, все из которых использовали вымышленные имена, затем записывались в файл в глубине телефона. С жертвами марокканских клиентов NSO могли связываться такие подделки, как [email protected] или [email protected] или [email protected] или [email protected], с жертвами индийских клиентов — [email protected] или [email protected] или [email protected]. Телефон М. К. Вену и двух других клиентов из Индии был получен по адресу [email protected]. Венгерские цели Саболч Паньи и Андраш Сабо тайно связывались с вымышленной Джессикой [email protected] и ее вымышленной сестрой [email protected].

Глубокий и все более широкий криминалистический анализ также позволил Клаудио и Доннче по-новому взглянуть на возможности инженеров и кодеров, которые разрабатывали и создавали систему Pegasus. Гениальность технической команды в штаб-квартире NSO к северу от Тель-Авива не проявилась во вредоносном ПО, которое лицензиаты Pegasus использовали для шпионажа за iPhone и его владельцем. Отчасти "дерьмовое", — говорит Клаудио, когда на него нажимают. "По-настоящему сложная часть Pegasus — это не сама вредоносная программа Pegasus", — говорит Донча. "Но эксплойт, фактический способ внедрения шпионского ПО в телефон, довольно сложен, и это то, что постоянно меняется".

Сложное оружие, которое система Pegasus от NSO использовала для внедрения своих вполне обычных шпионских программ, было разработано для использования уязвимостей, скажем, в программном обеспечении Apple и приложениях, запущенных на iPhone. Лаборатория безопасности уже обнаружила эксплойты, предназначенные для атак через iMessage и Apple Photos. Такое оружие известно в сфере кибербезопасности как "эксплойты нулевого дня", потому что именно столько времени технологические компании вроде Apple, Google или Microsoft знают о проблеме, и именно столько времени у них есть, чтобы устранить проблему до атаки. Ноль дней! Ни одного. Уже слишком поздно.

Если эксплойту удастся обойти достаточное количество средств защиты и технических мер, то в конечном итоге он сможет сделать джейлбрейк устройства и записать в iPhone любой вредоносный код, который пожелает. Но, как объяснили нам Клаудио и Доннча, одного эксплойта редко бывает достаточно, чтобы сломать современную киберзащиту и получить доступ к устройству. Исследователям часто требуется цепочка из трех или более эксплойтов, чтобы сделать трюк. Это означает, что для разработки такого оружия требуется много человеко-часов и денег, и все они начинаются с того, что действительно опытный хакер или киберисследователь обнаруживает слабое место в программном обеспечении Apple и делает так, чтобы его держали в секрете до тех пор, пока не смогут продать тому, кто больше заплатит.

Клаудио и Донча достаточно разбирались в рынке "нулевых дней", чтобы понять, что одна надежная цепочка эксплойтов может стоить миллион долларов или больше. Они также видели и слышали достаточно, чтобы поверить, что NSO, скорее всего, тратит значительные средства на собственные исследования для разработки собственного оружия нулевого дня. Масштабы деятельности NSO — платящие клиенты в десятках стран — почти требовали этого. "Для NSO совершенно оправданно тратить пять миллионов в год на эксплойт для iPhone, — сказал нам Клаудио, — если они могут продать [Pegasus] пятидесяти разным клиентам, и все они заплатят миллионы".

Увиденное убедило Клаудио в том, что исследователи, кодеры и инженеры NSO ведут постоянную игру в прятки с одной из самых заботящихся о безопасности компаний на планете —