«Пегас» - Лоран Ришар

Билл Марчак и его коллега Джон Скотт-Рейлтон позвонили нам, чтобы сообщить о том, что они нашли, а затем прислали свой письменный отчет. Открыв файл, я пропустил короткий раздел с названиями процессов, сгенерированных Pegasus, которые Citizen Lab распознала в каждом из трех новых анализов, и перешел сразу к денежному абзацу: "Мы с высокой степенью уверенности заключаем, — говорилось в нем, — что все три iPhone "были успешно заражены шпионской программой Pegasus от NSO Group в указанные даты". Наш вывод с высокой степенью уверенности обусловлен тем, что мы никогда не видели, чтобы вышеуказанные имена процессов использовались в доброкачественном контексте, и только в случаях заражения шпионским ПО Pegasus от NSO Group мы видели, что вышеуказанные имена процессов использовались с высокой степенью уверенности".

Я разместил свое резюме первого этапа экспертной оценки на защищенном сайте, к которому могли получить доступ все партнеры, вместе с pdf-файлом отчета, переданного Citizen Lab, и предвкушал коллективный вздох облегчения от коллабораторов проекта "Пегас" по всему миру. Крейг Тимберг почти сразу же опубликовал комментарий. "Это потрясающая новость!" — написал он. "Молодцы!" Миранда Патручич из OCCRP поддержала его: "Это превосходно".

Ни Клаудио, ни Донча не собирались кричать о том, что их работа получила одобрение, отчасти потому, что ни один из них не стремился оказаться в центре внимания. На протяжении всего нашего сотрудничества они оставались сдержанными мастерами. И это не собиралось меняться. Но когда два дня спустя Клаудио вышел на связь, чтобы взять интервью у небольшой подгруппы партнеров, которые хотели получить от него цитаты для своих репортажей о дне открытия, до которого оставалось всего восемнадцать дней, он выглядел почти жизнерадостным. Возможно, он даже несколько раз улыбнулся. Клаудио был на линии полтора часа, терпеливо отвечая на вопросы, готовый объяснить все, что угодно из первого черновика восьмидесятистраничного отчета, который они с Доннчей планировали выпустить в день нашей публикации. Клаудио предоставил черновик всем партнерам ранее в тот же день.

Он слышал те же вопросы, которые уже задавали ему некоторые из этих репортеров, иногда снова и снова: "Откуда вы знаете, что это Pegasus, а не какая-нибудь другая шпионская программа?" — но, похоже, он был рад ответить. "Имена этих процессов очень уникальны. Очень своеобразные. Их всего несколько десятков, и это не легитимные имена процессов iOS. И я могу сказать это точно, потому что я также проделал упражнение по загрузке всех версий iOS, которые были выпущены с 2016 года, и проверил все файлы, которые были выпущены вместе с ними. И ни один из них не появился на ней. Поэтому мы знаем, что эти появляющиеся процессы не являются легитимными процессами. Это вредоносные процессы. Мы знаем, что это процессы Pegasus, потому что они подключены к сетевой инфраструктуре, которую мы видели".

Он еще раз рассказал о возможностях шпионского ПО NSO: "Когда iPhone взламывают, это делается таким образом, что злоумышленники получают так называемые root-привилегии или привилегии администратора устройства, которые позволяют делать с телефоном практически все, что угодно". Это означает все, что угодно, что добавляет новую мысль к обсуждению. Если кто-то захочет узнать, с какой скоростью вы двигаетесь за рулем своего автомобиля, объяснил Клаудио, инженерам NSO достаточно будет написать код и подсунуть его в зараженный телефон.

Клаудио ответил на вопросы о динамике борьбы между NSO и производителями мобильных телефонов, такими как Apple, которая, вероятно, все еще лучше всех умеет играть в защиту. "Надо отдать должное, — сказал он об Apple, — но кое-кто очень талантливый, мотивированный высоким вознаграждением, которое он получает за поиск таких проблем, работает над всеми возможными способами обхода и поиска обходных путей". Он напомнил журналистам о том, что NSO может предложить своим лицензиатам Pegasus целый мешок обходных эксплойтов. "Я полагаю, что значительную часть из них они обнаружат и разработают сами, — пояснил он, — а еще большую часть, вероятно, можно будет приобрести у внешних исследователей и брокеров".

К концу интервью я не мог не задуматься о ценности этого сотрудничества между журналистами и техническими экспертами. Вся настороженность, которую Клаудио, Донча, Лоран и я испытывали друг к другу во время той первой встречи в Берлине в 2020 году, испарилась. Каждый из нас стал лучше выполнять свою работу, и это немаловажно. Техническая экспертиза Клаудио и Доннча не только дала репортерам проекта гораздо более глубокое понимание системы "Пегас", НСО и всей индустрии киберслежения, но и открыла им путь к поиску самых ярких и впечатляющих личных историй. А выехав на место и взяв на экспертизу более шестидесяти различных телефонов, репортеры проекта "Пегас" смогли предоставить эмпирикам из Лаборатории безопасности средства для новых открытий. "Чем больше записей атак вы видите, чем больше сравниваете следы, тем яснее становится картина", — сказал Клаудио группе в тот день. "Вы начинаете складывать все кусочки головоломки, и она становится все более очевидной. Так что все складывается в единое целое".

После этого, в первую неделю июля, у меня начались реальные дела, потому что в мои обязанности входила координация масштабной пятидневной публикации по всему миру с участием семнадцати независимых редакций, каждая из которых имела свои прерогативы, своих редакторов и своих адвокатов. Мы все еще обсуждали детали порядка распространения материалов за десять дней до даты публикации. Чтобы добиться максимального эффекта и минимального отклика, необходимо было синхронизировать распространение материалов, и сделать их содержание как можно более единообразным. Общие очертания графика, который я набросал, устраивали всех. В первый день консорциум должен был рассказать о масштабах использования шпионской системы Pegasus от NSO, но основное внимание должно было быть уделено журналистам и правозащитникам, которые стали жертвами. Почти все партнеры планировали в первый день сделать главной темой нападения на членов семьи Джамаля Хашогги (жену, невесту и одного сына), друзей и коллег. Но не все. Direkt36 предпочла рассказать о том, что за ее собственными репортерами следят с помощью Pegasus, любезно предоставленного правительством Орбана; The Wire вынесла бы в заголовок истории о журналистах, подвергающихся кибершпионажу в Индии, включая тех, кого скомпрометировали в их собственном отделе новостей. OCCRP планировал осветить историю Хадиджи Исмаиловой.

Партнеры договорились не раскрывать имена мировых лидеров и правительственных чиновников, отобранных НСО для слежки, до третьего дня, чтобы более серьезные вопросы о киберслежке за частными лицами не были заслонены заголовками о геополитических шпионских играх. Шансы на то, что это произойдет, значительно возросли всего несколькими днями ранее, когда команда Le Monde наконец смогла подтвердить, что номер мобильного телефона в данных действительно принадлежит действующему