«Молчать я не буду». Девять вопросов о взломе телефона издательницы «Медузы»

Что случилось?

В июне 2023 года на iPhone Галины Тимченко пришло SMS-сообщение от компании Apple. В нем было сказано, что смартфон мог подвергнуться атаке «проправительственных хакеров».

Когда технический отдел стал разбираться. Оказалось, что угроза не дежурная. Телефон был исследован. Специалисты выяснили, что шпионскую программу Pega­sus установили в феврале 2023 года, когда издатель «Медузы» была в Германии.

О какой программе речь?

Шпионская программа Pega­sus предоставляет доступ к звуку, камере и памяти телефона, в который вставлена сим-карта. Благодаря ей неизвестные могли получить доступ к полному содержимому смартфона, включая домашний адрес, расписание встреч, фотографии и переписку в зашифрованных мессенджерах.

Pega­sus — разработка компании NSO Group, которую основали выходцы из израильских спецслужб. Фирма продает свои программы исключительно государственным клиентам по всему миру — то есть в первую очередь силовикам и разведчикам.

По утверждению разработчиков, Pega­sus предназначена для слежки за террористами, но правительства по всему миру используют программу против независимых журналистов и оппозиционеров — после чего их нередко арестовывают или даже убивают.

За доступ к этой программе правительства платят NSO Group десятки миллионов долларов, рассказал «Медузе» исследователь кибербезопасности из лаборатории Cit­i­zen Lab Джон Скотт-Рейлтон.

Противостоять установке Pega­sus практически невозможно. Спецслужбы успешно взломают гаджет, если на телефоне есть хотя бы одно приложение, уязвимое для этой шпионской программы. Как показал анализ Cit­i­zen Lab, в случае Галины Тимченко, вероятнее всего, использовались сервисы Home­K­it и iMes­sage.

Как заметить?

По информации «Медузы», Галина Тимченко стала первой российской журналисткой, которую атаковали с помощью Pega­sus.

Идентифицировать такие заражения непросто еще и потому, что они почти никак себя не проявляют. У Тимченко, например, не было никаких оснований думать, что с телефоном что-то не так. Разве что он грелся сильнее обычного; издательница списала это на особенности работы своей новой скоростной зарядки.

Заражение Pega­sus часто происходит «именно под какое-то мероприятие», указала в разговоре с «Медузой» интернет-правозащитница Access Now Наталья Крапива:

— Телефон могли использовать как жучок — чтобы послушать, что планируют российские журналисты.

Это была Россия?

Заражение произошло всего через две недели после того, как «Медузу» в России объявили «нежелательной организацией». Однако свидетельств того, что Москва обладает доступом к израильской шпионской программе, у Cit­i­zen Lab нет, говорит Джон Скотт-Рейлтон.

В то же время отказ покупать Pega­sus для слежки мог быть стратегическим решением Москвы, считает исследователь российских спецслужб Андрей Солдатов: у ФСБ есть все основания подозревать, что израильская NSO Group «сотрудничает с разведкой своей родной страны», и заключение такого контракта может «скомпрометировать российские операции».

Сама NSO в 2021 году публично утверждала, что Россия пыталась купить Pega­sus, но получила отказ. Израильский разработчик позиционирует себя как компанию, ориентированную в первую очередь на страны блока НАТО — «соратников США и Израиля».

Если не РФ, то кто по ее просьбе?

В соответствии с докладом Access Now не исключено, что эту атаку по просьбе Москвы могли инициировать две другие страны, предположительно имеющие Pega­sus, — Казахстан и Азербайджан.

Однако для исполнения такой просьбы казахстанским или азербайджанским спецслужбам пришлось бы впервые в своей истории атаковать с помощью Pega­sus цель в Европе: в день заражения телефона Галина Тимченко находилась на территории Германии.

При этом Казахстан, согласно собранным Cit­i­zen Lab свидетельствам, вообще не заражает цели за пределами собственной страны. Что касается Азербайджана, уточняет Скотт-Рейлтон, то он хоть и применяет шпионскую программу за рубежом, но, предположительно, только против целей в Армении.

А могут быть в этом замешаны европейские спецслужбы? Например, Латвии?

Во взломанном телефоне была установлена латвийская сим-карта. Cit­i­zen Lab впервые зафиксировала в Латвии активность, связанную с Pega­sus, еще в 2018 году. Эксперты до сих пор предполагают, что балтийская страна использует продукцию NSO, говорит Скотт-Рейлтон.

Доклад Access Now, с которым ознакомилась «Медуза», также не исключает, что инициатором атаки могла быть Рига, где сейчас находится редакция российского СМИ.

— Из-за вторжения в Украину не доверяют всем без исключения россиянам, — считает Наталья Крапива.

Однако эксперты Cit­i­zen Lab ни разу не наблюдали, чтобы Латвия заражала цели за своими территориальными границами, — а издатель «Медузы» в момент атаки находилась в Берлине (кому именно латвийские власти устанавливали Pega­sus, неизвестно).

Или же Эстонии?

Эстония тоже приобретала права на Pega­sus. Это произошло в 2019 году. Cit­i­zen Lab предполагает, что эта балтийская страна, как и соседняя Латвия, использует продукцию NSO.

— Что еще важнее, исследователи лаборатории «видели, как Эстония заражает цели за своими границами — сразу во многих странах Евросоюза, в том числе в Германии, — расказал «Медузе» Скотт-Рейлтон.

Хм, а Германии?

Заражение произошло во время поездки Галины Тимченко в Берлин. Поэтому, как считают исследователи, Германия тоже могла быть замешана в этой истории.

ФРГ купила Pega­sus в 2019‑м «в строжайшей тайне» — и признала использование шпионской программы только два года спустя.

Что дальше?

— Я не могу восстановить логику европейских спецслужб, которые могли установить Pega­sus, и не хочу заниматься предположениями, — говорит Тимченко. — Дальше мы будем действовать в соответствии с тем, что нам говорят наши юристы. Молчать я не буду.

Читайте ещё:

Кодекс самурая» и вера в лучшее. Правила работы редакции Zerkalo.io

Цифровая безопасность и мы: касается ли это каждого?

Задачка со звездочкой: свобода слова, права человека или национальная безопасность?