«Пегас»
Шрифт:
Уверенность Клаудио в результатах экспертизы, проведенной лабораторией безопасности, росла, как и его желание поскорее закончить расследование. Клаудио и Донча буквально настигали НСО. Самые ранние экспертизы "Проекта Пегас" касались телефонов, зараженных в 2018 и 2019 годах, на заре появления эксплойтов с нулевым кликом. Но по крайней мере один мобильный телефон, который они анализировали в мае, был заражен в течение предыдущих четырех недель.
Недавно зараженные iPhone предложили новые и несколько озадачивающие находки. Потребовалась некоторая расшифровка, сравнение старых резервных копий с новыми резервными копиями тех же iPhone, но Клаудио и Донча убедились, что NSO использует новый обходной маневр. Кодеры и инженеры компании, осознав, что их эксплойты с нулевым кликом становятся доступными для киберисследователей,
Однако более загадочным, и это стало понятно Клаудио и Доннче только в последние недели мая, было то, что шпионская программа Pegasus от NSO теперь пыталась переписать историю. Когда устройство заражалось самой последней версией Pegasus, шпионская программа не только стирала следы новой атаки, но и пыталась стереть следы Pegasus, оставленные предыдущими атаками. Это было беспроигрышное открытие для Клаудио и Дончи. С другой стороны, инструмент Security Lab все же смог найти старые следы, потому что чистящие средства NSO были не слишком дотошными. Они вычистили имена вредоносных процессов почти из всех столбцов журналов использования данных в файлах резервных копий. Но не все. Оперативники НСО были небрежны, полагал Донча, потому что были самонадеянны. Им казалось, что они слишком хороши, чтобы быть пойманными.
Однако обратной стороной этого открытия стало тревожное подтверждение последних опасений Клаудио и Доннчи, что NSO может их раскусить. "То есть я не знаю, каким именно образом NSO может следить за нашей экспертизой, — сказал Клаудио нам с Сандрин, — но было бы глупо с их стороны не иметь какого-то контроля над телефоном, который им уже "принадлежит". Они, вероятно, могли бы видеть, если бы кто-то что-то делал".
Палома поняла, что скорость важна как никогда, когда отправилась обратно в Мексику в конце мая. Мы работали над историей "Пегаса" в Мексике дольше, чем над любой другой, начиная с проекта "Картель" в конце 2020 года. Палома и остальная команда разработали множество зацепок, которые пока что оказывались чем-то средним между манящими и безумно сложными для привязки. Мы рассчитывали на Палому и на наше все более тесное сотрудничество с Кармен Аристеги, одной из самых уважаемых и популярных журналисток Мексики.
Кармен обратилась к нам с поздравлениями после проекта "Картель", и мы воспользовались случаем, чтобы спросить ее, не хочет ли она присоединиться к нашему расследованию НСО. Она показалась нам заинтересованной. У Кармен была долгая и мучительная история отношений с компанией, ее посредниками в Мексике и государственными органами, которые должны были защищать права на частную жизнь и свободу прессы. Основанная ею медиакомпания Aristegui Noticias первой раскрыла факт распространения киберслежки в Мексике еще летом 2012 года, когда она и ее команда опубликовали оперативные и финансовые детали контрактов между мексиканской армией и реселлером NSO в стране, в то время Susumo Azano. Пять отдельных контрактов на сумму от 350 до 400 миллионов долларов, как сообщила Аристеги Нотисиас, "были оформлены без проведения торгов и утверждены путем прямого назначения компании Security Tracking Devices, SA de CV". В тот момент эта история не имела особого значения. Мексиканская армия провела пару беглых проверок секретных контрактов и закрыла дело в течение нескольких месяцев, не объяснив ничего, кроме "отсутствия элементов".
Первый доклад Кармен о киберслежке, а также ее критические репортажи о сомнительных сделках президента Энрике Пеньи Ньето с недвижимостью привлекли повышенное внимание мексиканских властей. Кармен сама стала одной из первых известных жертв Pegasus, вместе со своим шестнадцатилетним сыном. Их преследование было подтверждено Citizen Lab в 2017 году. Однако уголовное дело, которое она подала против мексиканского правительства, до сих пор тормозится прокурорами. Кармен занималась темой киберслежки в Мексике дольше, чем любой журналист в мире, и знала о ней больше, чем кто-либо другой. Но она была заинтригована тем, что мы смогли рассказать ей по незащищенной телефонной линии, и явно хотела узнать больше. Палома прилетела в Мехико в конце марта 2021 года, чтобы объяснить Кармен, что у нас есть.
Мы не могли показать Кармен или рассказать ей обо всех данных, к которым получили доступ еще в марте, но решили,
В определенные моменты обсуждения Кармен смотрела на то или иное имя и восклицала: "О боже", "О нет", "Только не она" и "Жестокая". Одним из сюрпризов стала гнусная и очень энергичная игра в политический шпионаж, в которую, похоже, играл кто-то из администрации Пеньи Ньето. Самые близкие друзья и советники оппозиционного кандидата Андреса Мануэля Лопеса Обрадора (известного как AMLO), который выиграл президентский пост в 2018 году, попали в эти данные. "Он один из самых доверенных людей нынешнего президента", — сказала Кармен Паломе, указывая на одно совпадение из наших данных.
"Мы уже нашли его водителя, кардиолога, директора его бейсбольного клуба", — ответила Палома.
"Посмотрим, — сказала Кармен, просматривая свой собственный список совпадений, — вот его водитель и кардиолог. Потом его жена, трое детей. Его дети? Сколько детей [в вашем списке]?"
"У него четверо детей, — ответила Палома, — и трое из них в списке".
"Только младшая? Только старшие трое?"
"Да".
Некоторые из совпадений оказались в кругу близких Кармен людей, большинство из которых были выбраны в то самое время, когда она впервые стала объектом нападения: ее личный помощник, один из ее давних продюсеров, даже ее сестра. Когда на следующий день Кармен встретилась с сестрой, Тереса Аристеги указала на полученное ею в тот момент SMS-сообщение, похожее на сообщение от подруги. "Мой отец скончался. Мы очень расстроены. Я отправляю тебе адрес, чтобы ты сопровождала нас". Тереза Аристеги должна была перейти по ссылке. Это совпадало с типом SMS-сообщений и ссылок, которые Кармен получала еще в 2016 году: "Прошло пять дней с тех пор, как моя дочь объявилась. Я буду благодарна, если вы поделитесь этой фотографией. Мы в отчаянии". И "Дорогая Кармен, мой брат погиб в результате несчастного случая. Я опустошена. Я посылаю информацию о поминках. Надеюсь, вы придете". И еще хуже то, что получил ее шестнадцатилетний сын: "Обезглавленный журналист найден в Веракрусе после того, как угрожал наркотикам. Подробности на фотографиях".
"Эта технология находилась в руках кучки операторов, которые вели себя как головорезы и не могли удержаться от насмешек, даже когда пытались заразить людей", — отметил один ужаснувшийся киберисследователь.
В какой-то момент, когда мы с Паломой подбирали имена, стало ясно, что Кармен хочет поучаствовать в этом расследовании. Она упомянула нечто очень заманчивое: тайник с более чем двадцатью тысячами документов, который она получила от источника, работавшего на предполагаемого торгового агента NSO в Мексике Ури Ансбахера. Но Кармен хотела подумать, как использовать эти сокровища; она еще не была готова поделиться всем этим с группой.
Самый важный момент за всю сессию произошел довольно рано — в матче номер двенадцать. "Этот телефон принадлежит Ксавьеру Олеа", — указала Кармен, явно заинтригованная. "Он адвокат по уголовным делам, был прокурором штата Герреро, а также прокурором, который вел расследование смерти Сесилио Пинеды". Сесилио был журналистом, о котором Палома знала все. Его необъяснимое убийство в одном из самых опасных районов Мексики — достаточно близко к горам, чтобы обеспечить хорошее прикрытие для производства наркотиков, и достаточно близко к Тихому океану, чтобы легко экспортировать наркотики на голодный американский рынок, — "Запретные истории" отслеживали с первых дней своей работы. Прокурор Олеа, который настаивал на круглосуточной охране своей жены и детей и передвигался на бронированном автомобиле, позже скажет нам, что ему сообщали об угрозах в адрес Сесилио, и было совершенно очевидно, что его убили из-за его репортажей о наркокартелях, особенно об их практике похищения местных жителей и выкупа их за деньги. Олеа назвал Сесилио "смелым", но то, как он это сказал, не было похоже на комплимент.