«Пегас»
Шрифт:
В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы и доменные имена новой инфраструктуры NSO версии 4. Они также усердно работали над каталогизацией миллионов имен легитимных процессов Apple, чтобы было легче выделить имена процессов шпионских программ, которые были тайно внедрены в iPhone, — те, которые им не принадлежали.
Тем временем утечка списка дала Клаудио и Доннче новые важные данные: временные метки, указывающие на то, когда телефон был выбран для атаки. Поэтому, когда криминалистический инструмент Security Lab построил подробную временную шкалу всех предыдущих действий с резервными копиями iPhone из Индии, Клаудио и Доннча знали, на чем сосредоточить свою детективную работу.
Самое важное, что у них была горстка имен процессов, основанных на Pegasus, найденных в телефоне Маати и Омара, которые помогли им выявить другие возможные случаи заражения "нулевым кликом". Теперь Клаудио и Доннча могли провести цифровой поиск этих процессов в журнале DataUsage.sqlite и журнале истории браузера. У нас были основания надеяться, что анализ Лабораторией безопасности наших делийских айфонов принесет первые маленькие самородки золота из нашего утечки.
На следующий день Клаудио позвонил Финеасу и мне с отчетом.
"Итак, с телефона М. К. ничего не поступало", — гласила статья Клаудио. "Похоже, он совсем не совпадает с нашими записями". Но на этом он не остановился и даже не сделал паузы. "Более интересен старый телефон Сиддхарта, я полагаю. И у Паранджоя тоже есть похожие артефакты". Телефон Сиддхарта действительно дал нам первые полезные улики, которые помогли создать проект "Пегас". "В общем, похоже, что произошло следующее: [Сиддхарта] начали выбирать примерно в апреле 2018 года, и, похоже, у них ничего не получалось, пока, по иронии судьбы, он не обновил свой телефон", — объяснил Клаудио. "И вот на следующий день, похоже, им это удалось".
Клаудио хотел, чтобы мы поняли, что они не обнаружили никаких дымящихся улик, но все равно это было хорошим началом. В логах Сиддхарта были записаны точно такие же имена процессов, как и в зараженных "Пегасом" айфонах, принадлежащих Маати и Омару. Первые две неудачные атаки на телефон Сиддхарта, похоже, произошли как одно целое, в течение минуты. Третья попытка принесла результат. 27 апреля 2018 года, в 4:41 утра пятницы, в корневом домене был создан CrashReporter[.]plist. Заражение заняло.
"Мы снова видим несколько процессов, которые вызывают подозрения", — сказал нам Клаудио. "И я имею в виду очень большие подозрения на то, что это компоненты NSO. Затем мы видим еще один процесс, который загрузил более трехсот мегабайт с телефона Сиддхарта. Этот же процесс мы видели и на телефоне Маати".
Клаудио объяснил, что эксплойт мог использовать уязвимость в iMessage или FaceTime, но у него не было достаточно доказательств, чтобы знать наверняка. Клаудио, как я успел понять, был не из тех, кто любит строить догадки. Нам с Финеасом не терпелось узнать больше. "Значит, если у вас лично будет телефон Сиддхарта, — спросил Финеас, — как это позволит вам пойти дальше, чтобы подтвердить это или получить больше информации?"
"Мы надеемся, что, получив физический доступ, сможем извлечь больше данных", — объяснил Клаудио. "Мы попытаемся сделать джейлбрейк и получить root-доступ к телефону. Резервные копии дают лишь ограниченное количество данных".
"Один вопрос", — сказал я. "Вы сказали, что у вас нет дымящегося пистолета. Так можете ли вы доказать с помощью имеющихся у вас деталей, что телефон был заражен? Но вы не можете связать это с НСО? Или все еще есть сомнения в том, что телефон был заражен?"
"Я думаю, то, что мы имеем на данный момент, достаточно убедительно, чтобы доказать, что что-то произошло, но нам нужно провести дополнительную проверку", — предостерегает Клаудио.
Он сказал нам, что мы можем попытаться связаться с бывшим или нынешним инженером Apple, который, возможно, подтвердит, что у них наблюдалось то же самое, но он не возлагал на это больших надежд. Когда Финеас предложил связаться с Apple по корпоративным каналам, Клаудио отмахнулся от него. По его словам, компания настолько обеспокоена любой оглаской, которая может запятнать ее репутацию в области безопасности, что предпочитает обструкцию прозрачности. "Если вы поговорите с представителями Apple, — сказал он нам, — они просто закроют вас почти сразу".
Быстрого и аккуратного решения не было. Лучшим вариантом на данный момент было проведение дополнительных экспертиз ряда iPhone, отобранных для атак в разных странах. "Если мы обнаружим больше таких закономерностей, это тоже будет дополнительным элементом", — сказал нам Клаудио. "Например, тот факт, что в разных случаях есть повторяющиеся закономерности. Тот факт, что в разных случаях повторяются названия процессов и т. д., — все это способствует установлению способа действий. Это будет дополнительным подтверждением и последовательностью. Поэтому мы будем наблюдать за другими подобными [одинаковыми] паттернами и посмотрим, не появятся ли они снова".
Нам не пришлось долго ждать очередных результатов. Уже на следующий день Клаудио позвонил и сообщил, что Лаборатория безопасности обнаружила в резервных копиях файлов репортера, ведущего расследование в Будапеште, те же шпионские процессы, которые заразили Маати и Омара, Сиддхарта и Паранджоя. Я организовал удаленную видеосвязь с репортером и его редактором Direkt36, венгерского сайта, который был партнером Forbidden Stories в нашем самом первом совместном расследовании, проекте "Дафна". Венгерские журналисты не были удивлены моей просьбой.
Фредерик Обермайер связался с Direkt36 в начале марта, потому что один из проверенных телефонных номеров в нашем списке принадлежал Саболчу Паньи, репортеру, освещавшему вопросы, связанные с национальной безопасностью и внешней политикой Венгрии. "Мой редактор Андраш [Петё] случайно сказал мне, что, знаете, Фредерик Обермайер попросил ваш номер телефона, и я был очень рад, что такой известный журналист хочет со мной поговорить. А потом Андраш посоветовал мне оставить телефоны в офисе и просто прогуляться по кварталу, где мы работаем. Потом он сказал мне, что к нам обратились Фредерик и Бастиан Обермайер. И они говорят, что есть история, о которой они не могут говорить, но уверены, что нам было бы интересно с ними сотрудничать".