Pegasus - Laurent Richard

предоставила резервные копии файлов со своих двух айфонов. (Ханнес Мюнзингер из Süddeutsche Zeitung обратился к Карин после того, как немецкая газета обнаружила в этих данных номер мобильного телефона адвоката ее отца. Поскольку Карин активно защищала своего отца и выступала с критикой руандийского режима, Ханнес решил, что она может также быть целью "Пегаса"). Явных доказательств заражения Pegasus на обоих iPhone не было, но подозрительной активности было достаточно, чтобы мы спросили, не отправит ли она телефоны в Берлин для анализа джейлбрейка.

Стефани Кирхгасснер из "Гардиан" уговорила второго изгнанного правозащитника из Руанды разрешить Клаудио и Доннче провести экспертизу записей его телефонных разговоров. Репортеры "Проекта Пегас" обращались к людям со всего мира. Сиддхарт и его команда из Wire нашли четырех возможных жертв в Индии, готовых предоставить свои телефоны для экспертизы, - адвоката по правам человека, правозащитника, представителя профсоюза и журналиста. Финеас нашел еще двух журналистов из Индии, которые согласились провести экспертизу и выступить перед общественностью, если версия о нацеливании Pegasus подтвердится. Третий журналист отказался, сказав Финеасу, что у него сейчас очень деликатная работа и он не хочет рисковать и ставить ее под угрозу.

Жена марокканского политического диссидента, отбывающего тридцатилетний тюремный срок, согласилась на экспертизу. У Фредерика Обермайера, Бастиана Обермайера и Саболча Паньи появились новые кандидаты для анализа в Венгрии. Репортер из Süddeutsche Zeitung решила, что у нее есть шанс получить iPhone молодого азербайджанского диссидента, утонувшего в Стамбуле всего месяц назад; его номер был выбран еще в 2019 году, вскоре после того, как Хадиджа Исмаилова впервые стала объектом поиска.

Самые срочные экспертизы на тот момент, в середине июня, были связаны с делом Джамаля Хашогги. Следы улик в телефоне Android, принадлежавшем жене Хашогги, Ханан, указывали на то, что перед его убийством она подверглась атаке шпионской программы Pegasus, но не доказывали успешного заражения. Поэтому 15 июня Дана Прист из Washington Post вместе с Артуром Бувартом из Forbidden Stories вылетела в Стамбул, чтобы встретиться с ближайшими контактами Хашогги в Турции, включая его невесту Хатидже Ченгиз, которая ждала у консульства в Стамбуле в момент его убийства. Хатидже также была в наших данных. Если все пойдет по плану, Клаудио и Донча в любой день займутся анализом ее мобильного телефона.

Помимо постоянных запросов на проведение судебной экспертизы, двое исследователей в области кибербезопасности только начали готовить отчет с подробным описанием своих выводов, чтобы представить его NSO перед публикацией. Мы, как журналисты, обязаны были дать компании шанс прокомментировать, оспорить или исправить любые факты, которые мы считали достаточно убедительными для публикации. Amnesty International и Security Lab считали себя этически обязанными предоставить NSO возможность ответить на конкретные факты, содержащиеся в результатах экспертизы.

Клаудио и Донча также готовили материалы, которые они собирались выложить на всеобщее обозрение, когда 18 июля проект "Пегас" заработает. Пара решила совершить нечто беспрецедентное в кратких анналах исследований киберслежки. Они собирались быть полностью прозрачными. Они не собирались просто демонстрировать свои находки; они намеревались показать свою работу в деталях всему миру. Будет представлен полный отчет о методологии Security Lab, включая проектирование, разработку и внедрение их криминалистического инструмента. Клаудио и Доннча также готовились подробно рассказать о доказательствах, найденных ими по каждой подтвержденной атаке или заражению, и раскрыть все выявленные ими эксплойты "нулевого клика" и "нулевого дня", а также все сгенерированные Pegasus имена процессов и поддельные учетные записи, которые NSO предоставляла своим клиентам для доставки вредоносной шпионской полезной нагрузки.

Отчеты продолжали развиваться, потому что Клаудио и Доннча почти каждый день собирали новые доказательства. 14 июня, когда Доннча была в Ирландии, а Дана Прист и Артур Буварт отправлялись в Стамбул, Клаудио в своем офисе в Берлине взламывал один из мобильных телефонов Хадиджи Исмайловой. Миранда Патручич перевезла телефоны в Германию для дальнейшего анализа после встречи с Хадиджей в Анкаре. В то солнечное утро поздней весны Клаудио подключил один из айфонов Хадиджи к своему ноутбуку, а Миранда заглядывала ему через плечо, пытаясь разобраться в непроглядных строках кода, заполнявших экран и подсвеченных разными цветами. "Вот как это выглядит на самом деле", - объяснил Клаудио. "То есть это просто результат работы нашего инструмента. По сути, мы видим процессы, которые, как мы знаем, подключены к Pegasus. Мы видим некоторые учетные записи iMessage, которые связаны с атаками..."

"Это новые или те, которые вы уже видели в ее резервных файлах?" поинтересовалась Миранда.

"Я думаю, это те, которые мы уже видели, но позже мне придется сесть и просмотреть те, которые я, возможно, не видел", - объяснил Клаудио, указывая на различные строки на экране. Все это было довольно стандартно: строчки кода, которые они с Дончи наблюдали уже десятки раз. "Это может указывать на точку входа", - сказал он, а потом вдруг: "Что за хрень?... Это странно.... Здесь есть несколько новых следов, которых мы раньше не видели.... Они могут указывать на другие эксплойты, которых мы раньше не видели".

Он сказал Миранде, что ему нужно немного больше времени, "чтобы еще немного покопаться".

Донча тоже взглянул, и оба партнера согласились. Это было что-то новое, эксплойт, которого никто из них раньше не видел. По всей видимости, исследователи NSO нашли уязвимость в Apple Music еще летом 2020 года, поскольку система Pegasus использовала ее в качестве точки входа для доставки вредоносной шпионской программы на iPhone Хадиджи уже 10 июля того же года. Улики в телефоне Хадиджи не позволили Клаудио и Доннче точно определить, какое место в цепочке эксплойтов занимает Apple Music - был ли он средством для окончательной доставки полезной нагрузки или просто ранним этапом в открытии черного хода, - но они указывали на домен, созданный NSO, который Клаудио и Доннча идентифицировали еще в 2019 году. А шаблон URL, использованный для загрузки полезной нагрузки, показал еще одну ключевую связь между атаками на телефон Маати Монджиб в 2019 году, Хадиджи в 2020 году и цепочкой эксплойтов Pegasus zero-click, используемой в 2021 году. Это позднее открытие означало целый новый раздел, который Клаудио и Доннча должны были вписать в свой отчет о методологии криминалистики: "Apple Music Leveraged to Deliver Pegasus in 2020".

 

Дана Прист и Артур Буварт прибыли в Стамбул на следующий день, 15 июня 2021 года, и в течение следующих нескольких дней курсировали туда-сюда в Анкару, чтобы встретиться с невестой Хашогги, Хатидже Ченгиз, и его хорошим другом Ясином Актаем, чиновником турецкого правительства. Актай был не только экстренным контактным лицом Хашогги в