«Пегас» - Лоран Ришар
Стефани Кирхгесснер из The Guardian опубликовала заметки из своего длинного интервью без протокола с источником, обладающим глубокими знаниями о НСО. Коллега Стефани по Guardian Майкл Сафи занимался расследованием возможного преследования Индией людей из ближайшего окружения Далай-ламы. "Сначала Макрон, теперь Далай-лама", — шутил один из друзей Сандрин. "Кто следующий? Иисус?"
Кристоф Клерикс из Knack присоединился к Süddeutsche Zeitung в своем репортаже о целях, выбранных Руандой. Среди людей, с которыми он хотел встретиться, была Карин Канимба, обличавшая правительство Руанды в преддверии предстоящего суда над ее отцом по обвинению в терроризме, похищении и убийстве. Отец Карин, Пол Русесабагина, был героем "Отеля Руанда", спасшим более 1200 хуту и тутси от убийства во время геноцида 1994 года. Его критическая позиция в отношении правящей партии Руанды в последующие годы привела его в 2020 году в тюрьму в Кигали, где его якобы пытали, и теперь ему грозит обвинительный приговор. В преддверии судебного процесса президент Руанды громко и публично заявлял о виновности Русесабагины.
Миранда Патручич из OCCRP уже проверила множество телефонных номеров в данных, отобранных операторами системы Pegasus в Азербайджане, включая пятнадцать журналистов, двадцать восемь активистов движения за гражданские права и адвокатов, а также пятьдесят лидеров азербайджанской оппозиционной партии. Даже заместитель министра обороны. Лучшей новостью из OCCRP было то, что Хадиджа Исмайлова может быть освобождена из-под домашнего ареста в Баку в конце той недели. Миранда и несколько других коллег Хадиджи из OCCRP планировали лично встретиться с Хадиджей в Анкаре (Турция), где наконец-то можно будет сообщить ей о заражении "Пегасом" по мобильному телефону.
Уверенность Клаудио в результатах экспертизы, проведенной лабораторией безопасности, росла, как и его желание поскорее закончить расследование. Клаудио и Донча буквально настигали НСО. Самые ранние экспертизы "Проекта Пегас" касались телефонов, зараженных в 2018 и 2019 годах, на заре появления эксплойтов с нулевым кликом. Но по крайней мере один мобильный телефон, который они анализировали в мае, был заражен в течение предыдущих четырех недель.
Недавно зараженные iPhone предложили новые и несколько озадачивающие находки. Потребовалась некоторая расшифровка, сравнение старых резервных копий с новыми резервными копиями тех же iPhone, но Клаудио и Донча убедились, что NSO использует новый обходной маневр. Кодеры и инженеры компании, осознав, что их эксплойты с нулевым кликом становятся доступными для киберисследователей, поскольку заражения оставляют обнаруживаемые следы Pegasus в файлах резервных копий, добавили дополнительный уровень защиты. Начиная с 2020 года эксплойты Pegasus стали гораздо тщательнее удалять все следы атак и заражений с телефонов, на которые они были направлены, и оставляли меньше следов.
Однако более загадочным, и это стало понятно Клаудио и Доннче только в последние недели мая, было то, что шпионская программа Pegasus от NSO теперь пыталась переписать историю. Когда устройство заражалось самой последней версией Pegasus, шпионская программа не только стирала следы новой атаки, но и пыталась стереть следы Pegasus, оставленные предыдущими атаками. Это было беспроигрышное открытие для Клаудио и Дончи. С другой стороны, инструмент Security Lab все же смог найти старые следы, потому что чистящие средства NSO были не слишком дотошными. Они вычистили имена вредоносных процессов почти из всех столбцов журналов использования данных в файлах резервных копий. Но не все. Оперативники НСО были небрежны, полагал Донча, потому что были самонадеянны. Им казалось, что они слишком хороши, чтобы быть пойманными.
Однако обратной стороной этого открытия стало тревожное подтверждение последних опасений Клаудио и Доннчи, что NSO может их раскусить. "То есть я не знаю, каким именно образом NSO может следить за нашей экспертизой, — сказал Клаудио нам с Сандрин, — но было бы глупо с их стороны не иметь какого-то контроля над телефоном, который им уже "принадлежит". Они, вероятно, могли бы видеть, если бы кто-то что-то делал".
Палома поняла, что скорость важна как никогда, когда отправилась обратно в Мексику в конце мая. Мы работали над историей "Пегаса" в Мексике дольше, чем над любой другой, начиная с проекта "Картель" в конце 2020 года. Палома и остальная команда разработали множество зацепок, которые пока что оказывались чем-то средним между манящими и безумно сложными для привязки. Мы рассчитывали на Палому и на наше все более тесное сотрудничество с Кармен Аристеги, одной из самых уважаемых и популярных журналисток Мексики.
Кармен обратилась к нам с поздравлениями после проекта "Картель", и мы воспользовались случаем, чтобы спросить ее, не хочет ли она присоединиться к нашему расследованию НСО. Она показалась нам заинтересованной. У Кармен была долгая и мучительная история отношений с компанией, ее посредниками в Мексике и государственными органами, которые должны были защищать права на частную жизнь и свободу прессы. Основанная ею медиакомпания Aristegui Noticias первой раскрыла факт распространения киберслежки в Мексике еще летом 2012 года, когда она и ее команда опубликовали оперативные и финансовые детали контрактов между мексиканской армией и реселлером NSO в стране, в то время Susumo Azano. Пять отдельных контрактов на сумму от 350 до 400 миллионов долларов, как сообщила Аристеги Нотисиас, "были оформлены без проведения торгов и утверждены путем прямого назначения компании Security Tracking Devices, SA de CV". В тот момент эта история не имела особого значения. Мексиканская армия провела пару беглых проверок секретных контрактов и закрыла дело в течение нескольких месяцев, не объяснив ничего, кроме "отсутствия элементов".
Первый доклад Кармен о киберслежке, а также ее критические репортажи о сомнительных сделках президента Энрике Пеньи Ньето с недвижимостью привлекли повышенное внимание мексиканских властей. Кармен сама стала одной из первых известных жертв Pegasus, вместе со своим шестнадцатилетним сыном. Их преследование было подтверждено Citizen Lab в 2017 году. Однако уголовное дело, которое она подала против мексиканского правительства, до сих пор тормозится прокурорами. Кармен занималась темой киберслежки в Мексике дольше, чем любой журналист в мире, и знала о ней больше, чем кто-либо другой. Но она была заинтригована тем, что мы смогли рассказать ей по незащищенной телефонной линии, и явно хотела узнать больше. Палома прилетела в Мехико в конце марта 2021 года, чтобы объяснить Кармен, что у нас есть.
Мы не могли показать Кармен или рассказать ей обо всех данных, к которым получили доступ еще в марте, но решили, что лучше всего будет запустить игру "совпадение имен" из ее файла контактов
