«Пегас» - Лоран Ришар
Когда Дана впервые обратилась к ней, Ханан не решалась помочь. Она потеряла работу в авиакомпании Emirates и жила в подполье, боясь, что за ней и ее семьей следят службы безопасности Саудовской Аравии и ОАЭ. Но Дана, заручившись поддержкой адвоката Ханан, убедила ее помочь нам. Ханан позволила Дане сделать резервные копии двух телефонов на базе Android, которыми она пользовалась за несколько месяцев до убийства Джамаля, и Дана загрузила их на криминалистическую платформу Клаудио и Доннча. Некоторые строки кода выглядели интересно на экранах в Берлине, но Клаудио не смог сделать никаких определенных выводов, потому что, как он уже понял на собственном опыте, резервные копии Android предоставляли так мало данных для работы. Клаудио попросил Дану взять телефоны с собой на нашу общую встречу в Париже во вторую неделю мая 2021 года. Ханан согласилась, доверив Дане телефоны и все необходимые пароли. Так что в Париже один из этих телефонов лежал лицом вверх на ботинке Клаудио, пока он печатал на своем ноутбуке в течение тех трех долгих минут.
"Так, это одно", — наконец сказал Клаудио Дане, показывая ей SMS-сообщение на телефоне Ханан. "Это одно сообщение".
"Это к ней?" спросила Дана.
"Да."
Дана отметила, что сообщение выглядело так, будто его отправила сестра Ханан, которая предлагала Ханан загрузить новую фотографию с Photobucket.
"Да, такую тактику мы видели много раз", — объяснил Клаудио. "Они отправляют сообщение, довольно типичное, и включают в него ссылку".
Дана записывала доменное имя ссылки, отправленной Ханан: https://myfiles[.]photo/sVIKHJE.
"Это определенно сообщение, которое, скорее всего, спровоцировало бы эксплуатацию браузера", — говорит Клаудио.
"И что, человек должен будет нажать на эту ссылку?" спросила Дана.
"Да. Они должны были нажать на это, и открывался браузер на телефоне. А затем, открыв браузер, они попытались бы запустить эксплойт".
Дана спросила, есть ли у Клаудио дата подвига, и он прочитал временную отметку на сообщении прямо с телефона: 15 апреля 2018 года.
"Думаю, это также отображается в истории браузера", — пояснил Клаудио, указывая на вредоносное доменное имя. "Это означает, что она, вероятно, перешла по ссылке в то время".
"Подождите, простите, а что говорит о том, что она, вероятно, нажала на него?"
"Возможно, потому, что она также появилась в истории проектов [мобильного телефона]", — объяснил Клаудио.
"Хорошо."
"А вот еще одно", — сказал Клаудио, прокручивая в телефоне SMS-сообщения. "Это немного старше".
"Так вот, хочу заметить", — сказала Дана, все еще переваривая услышанное о первом свидании: 15 апреля 2018 года. "Это до убийства".
Разоблачения того вечера были похожи на многие другие, сделанные на средних этапах проекта "Пегас", — большой скачок вперед и все же немного не дотягивающий до цели. Можно было с уверенностью сказать, что конечный пользователь Pegasus попытался заразить мобильный телефон, принадлежащий кому-то из самого близкого окружения Хашогги, его жене. Но телефоны на базе Android просто не сохраняют достаточно цифровой информации — например, нет журнала использования данных, который бы фиксировал выполнение вредоносных процессов, — чтобы быстро и легко предоставить доказательства успешного заражения. Или для того, чтобы с уверенностью сказать, кто из конечных пользователей Pegasus совершал атаки.
В тот вечер Клаудио отправился в путь с двумя мобильными телефонами Ханан, засунутыми в рюкзак, и пообещал, что вечером вернется в свой отель и все внимательно изучит. "Я собираюсь еще немного покопаться", — сказал он.
Сеанс цифровой экспертизы один на один с Даной ознаменовал конец двух долгих и трудных дней для Клаудио, а также для Лорана, меня и всех остальных участников проекта "Пегас". Мы находились в середине трех с половиной дней конференции, которую мы с Лораном созвали, чтобы рассказать о нашем расследовании более широкому кругу журналистов и выработать план дальнейших действий. За этот короткий срок мы добились огромного прогресса, но у нас оставалось еще много вопросов без ответов и много нервных новых партнеров, решающих, как поступить с большой горячей картошкой киберслежки, которую мы только что бросили им в руки.
Первый круг партнеров — Le Monde, Die Zeit, Süddeutsche Zeitung и Washington Post — прислал репортеров и редакторов, некоторые из которых были новичками в команде. Новые партнеры, присоединившиеся к проекту, когда согласились разрешить Лаборатории безопасности проводить экспертизу телефонов сотрудников, также прислали репортеров. Среди них были Wire из Индии, Direkt36 из Венгрии, Aristegui Noticias и Proceso из Мексики, а также Проект по освещению организованной преступности и коррупции (OCCRP), который специализировался на Восточной Европе, Кавказе и Центральной Азии. Меньше всего в Париже было журналистов из СМИ, которые впервые узнали о деталях проекта "Пегас" — тех, кто ничего не знал о специфике утечки и о наших репортажах: бельгийская ежедневная газета Le Soir и бельгийский еженедельный журнал расследований Knack, бейрутский медиасайт Daraj и лондонская газета Guardian со штаб-квартирой.
The Guardian, редакция которого насчитывает более шестисот человек, а средняя ежедневная аудитория приближается к миллиону, предоставил проекту Pegasus возможность поразительного охвата и солидную команду репортеров и редакторов. Нам не терпелось сообщить Guardian об утечке данных и привлечь их к сотрудничеству, потому что мы точно знали, что их команда принесет проекту "Пегас" пользу. У газеты были огромные ресурсы, а Стефани Кирхгаесснер и несколько других журналистов Guardian уже много лет делали очень хорошие репортажи о киберразведке. Кроме того, Guardian была надежным партнером Forbidden Stories еще с самого первого проекта. Не включать лондонское СМИ в первый круг проекта "Пегас" было очень непросто, но мы с Лораном так боялись за безопасность нашего источника, что сделали сложный выбор в пользу меньшего круга, чем хотели. И как только мы связались с Полом Льюисом, редактором отдела расследований Guardian, в конце апреля, он начал собирать небольшую команду, чтобы присоединиться к нам на встрече в Париже. Позднее Пол признался, что его привлекала возможность выбраться из Лондона, где он застрял на целый год во время пандемии Ковида.
Не то чтобы в нашем городе в этот момент было очень весело. Президент Эммануэль Макрон только что продлил третий во Франции "ковид", в результате чего все бары, рестораны, музеи и театры остались закрытыми. Улицы были жутко тихими днем и призрачными после семи вечера — часа, когда официально вводится комендантский час. Все партнеры и потенциальные партнеры, которые впервые собрались днем
