«Пегас» - Лоран Ришар

вряд ли когда-нибудь найдут копию шпионского ПО на зараженном телефоне. "[Вредоносная программа] на самом деле не хранится в телефоне", — сказал Клаудио в ответ на один из вопросов. Поэтому, если вы перезагружаете телефон или у вас разряжается батарея, заражение исчезает". Но [конечных пользователей Pegasus] это не волнует, потому что они просто собираются снова атаковать вас при следующей возможности. И это происходит автоматически. Они могут решить, что во вторник мы просто получим все SMS-сообщения, а потом снова получим их в четверг. Это максимально оппортунистично, потому что нет никаких условий, которые помешали бы им добиться успеха. Пока у них работает эксплойт, они могут эксплуатировать вас пять раз в день и просто загружать все, что им нужно в этот конкретный момент".

Он также предложил присутствующим в зале журналистам краткий урок истории, рассказав о различных этапах развития и совершенствования технологии Pegasus: от грубых эксплойтов в один клик, основанных на социальной инженерии и SMS, до многочисленных перестроек интернет-инфраструктуры Pegasus, хитроумно подстроенных имен выполнения процессов, которые имитировали имена легитимных процессов iOS, и, наконец, до мастерства NSO в создании эксплойтов нулевого дня, использующих уязвимости, обнаруженные исследователями в iMessage и Apple Photos. Даже если Apple находила брешь и устраняла ее, объяснил Клаудио, NSO часто была способна найти новую уязвимость и разработать новый эксплойт.

Крейг Тимберг, освещающий вопросы технологий и технологических компаний в газете Post, остановил Клаудио, чтобы получить разъяснения. Он был несколько удивлен тем, что самая заботящаяся о безопасности технологическая компания в мире не заблокировала Pegasus. "Если iMessage является основным вектором атаки на данный момент, есть ли что-то в том, как Apple разработала iMessage, что делает его особенно уязвимым?" — спросил он. "Есть ли что-то, что они должны сделать, чтобы усложнить задачу, сделать ее менее вероятной?"

Клаудио сделал небольшую паузу, как я видел сотни раз до этого, и задумался. Он хотел быть точным в своих словах. "Так что это не обязательно то, что Apple сделала что-то не так с iMessage", — объяснил он. "Причина его популярности та же, что и у SMS-сообщений со ссылками, которые в свое время были очень популярны, а потом [НСО] отказались от них, потому что их слишком часто ловили. Но причина, по сути, в том, что они знают, что приложение [iMessage] будет на каждом iPhone. Так что это очень привлекательная цель с точки зрения эксплуатации, потому что, получив один эксплойт, вы сможете использовать их все".

В конце своего выступления Клаудио сказал группе, что время расследования Лаборатории безопасности, возможно, истекает, поскольку атаки Pegasus становятся все более изощренными и их все труднее обнаружить. Он подозревал, что инженеры NSO могут даже знать, что Лаборатория безопасности или кто-то другой сейчас преследует Pegasus. Наблюдатели следили за наблюдателями.

"Они определенно обратили внимание на людей, занимающихся криминалистикой", — пояснил Клаудио. "Если телефон взломан, они могут увидеть, что кто-то делает резервную копию, например, или они могут это сделать. Поэтому проводить экспертизу становится все сложнее именно по этой причине. И когда я говорю, что становится, я имею в виду, что за последние четыре недели…. они явно предпринимают шаги, так что это становится сложнее — это первая проблема. Второй вопрос — чем больше мы это делаем, тем больше они обращают на это внимание. И поэтому, на мой взгляд, очень важно, чтобы мы действовали как можно быстрее. Мы ничего не можем сделать, чтобы быть незаметными в этом процессе с технической точки зрения".

Спустя почти два часа Пол Льюис поднял руку. "Могу я задать три очень быстрых вопроса?" — сказал он. "Но прежде всего я хочу поблагодарить вас, потому что это действительно впечатляющая работа". Вся аудитория разразилась аплодисментами. Группа была явно ошеломлена услышанным.

Вопрос о рецензировании постоянно поднимался на других заседаниях, и один из таких обменов мнениями вызвал у Клаудио, возможно, самое показательное заявление за всю конференцию. Честно говоря, это было даже удивительно. Не то, что сказал Клаудио, а то, что он произнес это вслух. К тому времени я тесно сотрудничал с Клаудио уже восемь или девять месяцев, и он всегда старался не преувеличивать результаты судебной экспертизы, которую проводили они с Доннчей. У него была почти аллергия на "перебор", особенно перед группой журналистов, поэтому он произнес эту мини-солилоквию в своей неподражаемой манере. Он не повысил громкость голоса, не изменил тон и даже не подался вперед в своем кресле в зале. "Я хотел сказать пару слов, чтобы объяснить, в чем, по моему мнению, заключается ценность полученных нами на данный момент улик", — сказал он собравшимся партнерам. "Зацепки, которые дают нам эти данные, необычны, потому что количество успехов, которых мы добиваемся с помощью криминалистики, на мой взгляд, беспрецедентно. И позвольте мне сказать, что я работаю в сфере видеонаблюдения уже десять лет. За эти годы я проверил, наверное, сотни компьютеров и телефонов, и если бы до этого у меня был ноль целых пять десятых процента успеха, это было бы хорошо. А сейчас, я думаю, мы близки к восьмидесяти процентам. Так что для меня это признак того, что все очень хорошо".

Это было самое смелое утверждение, которое я когда-либо слышал от Клаудио о его уверенности в данных и экспертизе. В этот момент он даже позволил себе короткую усмешку, как будто сам удивился. "У нас есть вся необходимая документация", — продолжил он. "Технические выводы готовы к обобщению и будут предоставлены, как только в этом возникнет необходимость, и мы предоставим их тем, кто решит, что группа должна проверить эту работу".

Остальные сессии включали в себя презентации первого круга партнеров о проделанной ими работе и историях, которые они уже реализуют. Мы рассказали о Мексике, Венгрии, Марокко, Индии, Азербайджане и других странах. Презентация о Саудовской Аравии была самой длинной, потому что дело Хашогги было центральным для этого проекта. "Это было бы очень важно, потому что НСО удалось как бы увильнуть от своей ответственности в этом деле", — сказал один из докладчиков. Обсуждалось, как разделить отчетность в разных странах, кто может быть инсайдером в NSO и какой реакции мы можем ожидать от компании в преддверии публикации. Мы нашли время, чтобы обсудить основные правила: никогда не упоминать NSO в разговоре с источником; проверять каждый номер телефона в данных, используя двойные или тройные источники, прежде чем публиковать имя; и спрашивать разрешения у жертв и выбранных целей, прежде чем публиковать их имена, по крайней мере для людей, которые не являются публичными фигурами.

Мы также