«Пегас»
Шрифт:
Увеличение этой базы данных имело решающее значение. Вводя в свой мозг этот растущий список имен вредоносных процессов, криминалистический инструмент Security Lab учился побеждать, как позже сказал один из наших партнеров, в "самой сложной в мире игре "Найди отличия"".
В конце апреля Клаудио и Доннча явно обрели уверенность в своем развивающемся криминалистическом инструменте, и на то были веские причины. Они только что обнаружили следы атаки Pegasus на iPhone индийского журналиста М. К. Вену, который казался чистым, когда они впервые проанализировали его еще в марте. Но оказалось, что по крайней мере одно имя процесса, сгенерированное Pegasus, которое Клаудио и Доннча обнаружили в iPhone Ленаига Бреду — otpgrefd — также находилось в резервной копии iPhone М. К., хранившейся на диске в Security Lab. "Как
Стали вырисовываться закономерности и сходства, связывающие конечных пользователей Pegasus. Клаудио и Донча обнаружили, что множество вредоносных шпионских процессов, созданных NSO, работали на множестве зараженных iPhone, независимо от того, находился ли клиент NSO в Индии, Марокко, Мексике, Венгрии или любой другой стране из нашего списка.
Недавняя экспертиза также выявила некоторые различия в сигнатурах клиентов NSO, что позволило отследить и подтвердить, откуда именно исходили конкретные цифровые атаки. Как оказалось, каждый лицензиат NSO, судя по уликам в телефонах, использовал свой собственный набор сфабрикованных учетных записей iCloud для совершения атак. Клаудио и Доннча обнаружили множество случаев, когда на ранних этапах использования Pegasus iPhone тайно связывались с созданными NSO учетными записями iCloud с определенными адресами электронной почты. Записи этих контактов в iCloud или iMessage, все из которых использовали вымышленные имена, затем записывались в файл в глубине телефона. С жертвами марокканских клиентов NSO могли связываться такие подделки, как bergers.o79@gmail.com или naomiwerff772@gmail.com или bogaardlisa803@gmail.com или linakeller@gmail.com, с жертвами индийских клиентов — lee.85.holland@gmail.com или bekkerfred@gmail.com или taylorjade0303@gmail.com. Телефон М. К. Вену и двух других клиентов из Индии был получен по адресу herbruud2@gmail.com. Венгерские цели Саболч Паньи и Андраш Сабо тайно связывались с вымышленной Джессикой vies1345@outlook.com и ее вымышленной сестрой emmadavies8266@gmail.com.
Глубокий и все более широкий криминалистический анализ также позволил Клаудио и Доннче по-новому взглянуть на возможности инженеров и кодеров, которые разрабатывали и создавали систему Pegasus. Гениальность технической команды в штаб-квартире NSO к северу от Тель-Авива не проявилась во вредоносном ПО, которое лицензиаты Pegasus использовали для шпионажа за iPhone и его владельцем. Отчасти "дерьмовое", — говорит Клаудио, когда на него нажимают. "По-настоящему сложная часть Pegasus — это не сама вредоносная программа Pegasus", — говорит Донча. "Но эксплойт, фактический способ внедрения шпионского ПО в телефон, довольно сложен, и это то, что постоянно меняется".
Сложное оружие, которое система Pegasus от NSO использовала для внедрения своих вполне обычных шпионских программ, было разработано для использования уязвимостей, скажем, в программном обеспечении Apple и приложениях, запущенных на iPhone. Лаборатория безопасности уже обнаружила эксплойты, предназначенные для атак через iMessage и Apple Photos. Такое оружие известно в сфере кибербезопасности как "эксплойты нулевого дня", потому что именно столько времени технологические компании вроде Apple, Google или Microsoft знают о проблеме, и именно столько времени у них есть, чтобы устранить проблему до атаки. Ноль дней! Ни одного. Уже слишком поздно.
Если эксплойту удастся обойти достаточное количество средств защиты и технических мер, то в конечном итоге он сможет сделать джейлбрейк устройства и записать в iPhone любой вредоносный код, который пожелает. Но, как объяснили нам Клаудио и Доннча, одного эксплойта редко бывает достаточно, чтобы сломать современную киберзащиту и получить доступ к устройству. Исследователям часто требуется цепочка из трех или более эксплойтов, чтобы сделать трюк. Это означает, что для разработки такого оружия требуется много человеко-часов и денег, и все они начинаются с того, что действительно опытный хакер или киберисследователь обнаруживает слабое место в программном обеспечении Apple
Клаудио и Донча достаточно разбирались в рынке "нулевых дней", чтобы понять, что одна надежная цепочка эксплойтов может стоить миллион долларов или больше. Они также видели и слышали достаточно, чтобы поверить, что NSO, скорее всего, тратит значительные средства на собственные исследования для разработки собственного оружия нулевого дня. Масштабы деятельности NSO — платящие клиенты в десятках стран — почти требовали этого. "Для NSO совершенно оправданно тратить пять миллионов в год на эксплойт для iPhone, — сказал нам Клаудио, — если они могут продать [Pegasus] пятидесяти разным клиентам, и все они заплатят миллионы".
Увиденное убедило Клаудио в том, что исследователи, кодеры и инженеры NSO ведут постоянную игру в прятки с одной из самых заботящихся о безопасности компаний на планете — Apple.
"Apple ставит заплатки, когда узнает об этом", — говорит Клаудио. "Но Apple может бороться только с теми, о ком знает. Если они не знают об этом, они не могут исправлять". Модель Apple заключается в том, чтобы исправлять то, что можно исправить, но при этом создавать как можно больше трудностей".
Помните, когда вы говорите: "Мне нужен один эксплойт для iMessage", — это никогда не один эксплойт", — пояснил он. Когда iPhone взламывают с помощью эксплойта для iMessage, они используют, возможно, три, четыре, пять различных эксплойтов, упакованных в один".
"В случае с iPhone приходится идти на компромисс со многими вещами, что значительно усложняет задачу. Им приходится нарушать целый ряд [различных] мер безопасности, которые Apple ввела специально, чтобы создать дополнительные сложности, прежде чем вы сможете успешно получить полное право собственности на устройство".
"Сложность взлома iPhone заключается в том, что вам нужно иметь действующий эксплойт для всех этих различных уровней безопасности, и все они должны быть надежными и работать одновременно. Им приходится подрывать все остальные компоненты операционной системы. Один из них может быть исправлен ночью, и им нужно найти что-то другое, чтобы заменить его. Так что все не так просто. Это довольно сложный процесс".
У нас с Лораном все еще оставались серьезные опасения — Омар Ради и Хадиджа Исмайлова в первую очередь, — но в апреле проект "Пегас" продвинулся далеко вперед как в области судебной экспертизы, так и в журналистике. Мы нашли новых важных партнеров, подтвердили ряд инфекций, определились с ключевыми сюжетными линиями. Мы уже начали планировать встречу с гораздо более широким кругом партнеров, которые помогут нам в работе над этими историями. Кроме того, я чувствовал, что мы начинаем понимать, что послужило толчком к подъему и росту НСО. А также последовавший за этим впечатляющий размах. Самая известная (и печально известная) в мире компания по киберслежке — от ее основателей до изможденных исследователей — явно осознала силу и возможности уязвимости. Можно сказать, что они построили всю свою бизнес-модель на уязвимости. Они сделали это в стране, которая научилась жить со страхом и побеждать его.
Глава 14
Первые НЕ
Когда генеральный директор Тим Кук и его гуру решали, где разместить крупнейший научно-исследовательский центр Apple Inc. за пределами США, у них было мало ограничений. Годовая чистая прибыль компании составляла около 40 миллиардов долларов в год и постоянно росла, как и доля ее мобильных телефонов на мировом рынке. У Кука и компании была целая планета, и они выбрали пригород среднего размера, зажатый между морем и пустыней, в 7500 милях от своей штаб-квартиры в Купертино, штат Калифорния, в стране с населением менее девяти миллионов человек и валовым внутренним продуктом, сопоставимым с показателями Норвегии и Нигерии. В этом далеком месте Apple построила сверкающую стеклянную коробку экологичного здания XXI века и зарезервировала 180 000 квадратных футов офисных площадей для семисот своих сотрудников с возможностью расширения. В здании и за его пределами поговаривали, что этот новый объект станет стартовой площадкой для будущих версий фирменного продукта Apple — iPhone.