Издателя и соосновательницу «Медузы» Галину Тимченко 23 июня попросили срочно приехать в рижский офис медиа. Звонили из техотдела: Алексей, его руководитель, звучал необычно строго — но в чем дело, не объяснял. «Он просто говорил таким голосом, что я поняла это как приказ, — вспоминает Тимченко. — Было ясно: что-то случилось».
По пути на работу Тимченко пыталась вспомнить, везде ли у нее надежные пароли и не переходила ли она по подозрительным ссылкам. «Подумала, что в чем-то провинилась», — описывает свои тогдашние ощущения издатель «Медузы». Алексей встретил Галину прямо на пороге офиса и молча указал на ее сумку с компьютером и телефоном. «Сказать пока ничего не могу, — произнес он. — Мы проверяем». После этого технический директор забрал у Тимченко макбук и айфон.
Об СМС от компании Apple, которая накануне пришла Галине Тимченко, она в этот момент не вспомнила — хотя там говорилось, что ее телефон мог подвергнуться атаке «проправительственных хакеров» (о каком правительстве шла речь, не уточнялось). Переслав странное сообщение в техотдел, Тимченко «успокоилась» и перестала о нем думать; издатель «Медузы» рассказывает, что к таким грозным предупреждениям она «уже привыкла». Россия годами пытается взломать или разрушить инфраструктуру «Медузы»: речь и о DDoS, и о фишинге, и о прямой блокировке.
Что за хакеры могли атаковать Тимченко, Apple в своем уведомлении не объясняла. Чтобы это понять, Алексей связался с интернет-правозащитниками из Access Now, которые помогают жертвам подобных взломов, а также с исследователями кибербезопасности из лаборатории Citizen Lab. Обе организации защищают журналистов и активистов по всему миру: Citizen Lab расследует случаи шпионажа, Access Now помогает улучшить практики цифровой безопасности (в частности, именно Access Now добивались того, чтобы у россиян в принципе остался доступ к интернету; введенные после начала войны международные санкции могли обернуться изоляцией всех без исключения граждан РФ).
Эксперты проверили дампы с устройств Тимченко. На сленге сотрудников Access Now и Citizen Lab такая диагностика называется «экспресс-тестом на ковид». Результаты пришли действительно быстро. Выяснилось, что 10 февраля 2023 года смартфон издателя «Медузы» заразили шпионской программой Pegasus, которая дает хакеру доступ к звуку, камере и памяти айфона, в который вставлена сим-карта. Таким образом, неизвестные могли получить доступ к полному содержимому телефона, включая домашний адрес, расписание встреч, фотографии и даже переписку в зашифрованных мессенджерах: Pegasus позволяет читать сообщения прямо с экрана, пока они пишутся, — или просто выкачать каждое сообщение, изображение или электронное письмо.
Программа Pegasus — разработка компании NSO Group, которую основали выходцы из израильских спецслужб. Фирма продает свои программы исключительно государственным клиентам по всему миру — то есть в первую очередь силовикам и разведчикам.
По утверждению разработчиков, Pegasus предназначена для слежки за террористами, но правительства по всему миру используют программу против независимых журналистов и оппозиционеров — после чего их нередко арестовывают или даже убивают. Например, активистов из ОАЭ и Таиланда после заражения их смартфонов посадили в тюрьму. Мексиканского независимого репортера Сесилио Пинеду Бирто застрелил неизвестный всего через несколько недель после того, как местные власти решили следить за ним с помощью программы. У журналиста Джамаля Хашогги, которого в 2018 году убили и расчленили спецслужбы Саудовской Аравии, посредством софта NSO взломали телефон жены.
Сколько стоит взлом одного устройства, не знают даже исследователи Pegasus. В целом за доступ к этой программе правительства платят NSO Group десятки миллионов долларов, говорит «Медузе» старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон. Каждый такой контракт включает в себя сразу несколько «одновременных заражений», уточняет эксперт Access Now Наталья Крапива: «Например, государство-клиент может приобрести пакет с 20 заражениями — это означает, что одновременно под наблюдением могут находиться 20 человек».
Сразу после того, как о заражении стало известно, менеджмент «Медузы» заперся в кабинете у Тимченко на срочное совещание. Главный редактор Иван Колпаков (он находился в поездке, и его подключили по видеозвонку) был заметно растерян и продолжал вслух перечислять то, что могло утечь в результате взлома: корпоративные пароли и переписки, остатки на банковских счетах, имена сотрудников «Медузы». И самое опасное — список тех, с кем издание сотрудничает внутри России.
«Мы все испугались, — вспоминает Алексей встречу руководителей „Медузы“, посвященную ситуации с Pegasus, которая состоялась в тот же день, 23 июня. — Но делали вид, что нет».
Стало понятно, что оценить потенциальные риски просто невозможно, вспоминает Колпаков: «Они получили все. Все, что хотели».
По воспоминаниям участников совещания, внешне спокойным казался только технический директор «Медузы». Впрочем, сам он помнит эти минуты иначе: «Я сидел, заткнув уши, и пытался писать чек-лист для Гали: новый пароль, новый девайс, новый Apple ID, новая сим-карта». Тимченко же «пыталась отшучиваться», рассказывает Алексей — но в какой-то момент заплакала:
Самые неприятные вопросы задавал Иван: «А с какими документами ты работала с айфона? А двухфакторку точно везде установила?» И так [из-за взлома] было ощущение, как будто меня раздели на площади, как будто залезли в карман, как будто испачкали — руки хотелось помыть! А тут еще и мой напарник и лучший друг допрашивает, как будто это я всех подставила. Было жутко обидно… Но если бы я была на его месте, я бы точно так же требовала. Иван просто страшно нервничал.
При этом противостоять установке Pegasus практически невозможно. Спецслужбы успешно взломают гаджет, если на телефоне есть хотя бы одно приложение, уязвимое для этой шпионской программы (просчитать риски очень сложно: иногда такие уязвимости есть даже в приложениях, предустановленных самой Apple). Как показал анализ Citizen Lab, в случае Тимченко, вероятнее всего, использовались сервисы HomeKit и iMessage.
Совещание про Pegasus в кабинете у Тимченко затянулось до того момента, когда создатель ЧВК Вагнера Евгений Пригожин объявил о начале своего «похода на Москву». И перетекло в экстренную летучку по случаю мятежа, на которую собралась вся редакция (но ситуацию со взломом там не обсуждали).
В тот вечер, когда менеджмент размышлял над возможными причинами новой атаки на «Медузу», никто не вспомнил о странном совпадении: 11 февраля 2023 года, на следующий день после заражения, Тимченко и Колпаков участвовали в конфиденциальной встрече представителей российских независимых СМИ. На семинар в Берлине, организованный журналистской премией «Редколлегия», приехали медиаменеджеры и юристы, чтобы обсудить юридические аспекты работы в условиях полной цензуры и массового преследования журналистов и активистов. За две недели до этого съезда «Медуза» в РФ стала «нежелательной» организацией (то есть власти объявили издание вне закона). Собравшимся коллегам, вспоминает Тимченко, казалось, что это в ближайшее время ждет всех.
К моменту встречи в Берлине на айфоне издателя «Медузы» уже стоял Pegasus. Организовавшие взлом люди могли незаметно превратить его в устройство слежки и прослушки, дистанционно включив камеру и микрофон.
Заражение Pegasus часто происходит «именно под какое-то мероприятие», указывает в разговоре с «Медузой» эксперт Access Now Наталья Крапива, исследующая распространение этой программы: «Телефон Галины [вполне] могли использовать как жучок — чтобы послушать, что там планируют российские журналисты».
«Я, конечно, в первую очередь подумала на российское государство, на спецслужбы, — вспоминает Тимченко. — А кому я еще нужна?»
Россия, Казахстан, Азербайджан
Тимченко стала первой российской журналисткой, которую атаковали с помощью Pegasus. Наталья Крапива из Access Now в разговоре с «Медузой» признается, что в определенном смысле испытала облегчение, узнав, что первое связанное с Россией заражение наконец произошло.
На протяжении нескольких лет организация систематически тестировала гаджеты журналистов и активистов из РФ — казалось, что они подвергаются любым видам атак, кроме Pegasus. У Крапивы это вызывало не оптимизм, но опасения — возможно, «что-то страшное происходит невидимо»: «Я опасалась, что за российскими активистами и журналистами следят вредоносным ПО, которое мы не можем вычислить. Первый подтвержденный кейс вызвал у меня и шок, и азарт, и облегчение. Теперь, по крайней мере, у нас есть ниточка, за которую можно потянуть».
Идентифицировать такие заражения непросто еще и потому, что они почти никак себя не проявляют. У Тимченко, например, не было никаких оснований думать, что с айфоном что-то не так. Разве что он грелся сильнее обычного; Галина списала это на особенности работы своей новой скоростной зарядки.
Даже для технических специалистов обнаружение Pegasus — настоящий вызов. «Такие шпионские программы могут самостоятельно прятать логи, скрывать следы своего присутствия на устройстве, — объясняет „Медузе“ старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон. — Это постоянная гонка технологий».
Именно исследовательская лаборатория Citizen Lab в 2016 году первой обнаружила следы существования Pegasus. Уже шесть лет организация отслеживает цифровые отпечатки его использования. Благодаря этому исследователи видят, какие страны точно пользуются продуктом NSO Group.
Значительная часть работы канадской лаборатории — это поиск связанных с работой Pegasus серверов. «Pegasus — это сервис, и NSO Group продает подключение к нему, — объясняет Крапива. — При заключении сделки компания отправляет в страну-заказчика целую команду: устраивает тренинг, как запускать свой инструмент. Все это требует технической инфраструктуры, и Citizen Lab постоянно пытается ее отследить».
«Мы ищем не только инфраструктуру, которую используют для атаки, но и ту, что нужна для извлечения данных, — добавляет Скотт-Рейлтон. — То есть все серверы, куда в итоге уходит собранная с зараженных устройств информация».
Заражение произошло всего через две недели после того, как «Медузу» в России объявили «нежелательной организацией». Однако свидетельств того, что Москва обладает доступом к израильской шпионской программе, у Citizen Lab нет, говорит «Медузе» Джон Скотт-Рейлтон.
Российские телефонные номера не заражают и на территории других государств. «По крайней мере, с 2016 года мы не видели ни одного такого примера», — говорит Крапива.
В то же время отказ покупать Pegasus для слежки мог быть стратегическим решением Москвы, считает исследователь российских спецслужб Андрей Солдатов: у ФСБ есть все основания подозревать, что израильская NSO Group «сотрудничает с разведкой своей родной страны», и заключение такого контракта может «скомпрометировать российские операции».
Сама NSO в 2021 году публично заявляла, что Россия все-таки пыталась купить Pegasus, но получила отказ. Израильский разработчик позиционирует себя как компанию, ориентированную в первую очередь на страны блока НАТО — «соратников США и Израиля».
Отход от этой политики в NSO обсуждался лишь раз, летом 2022 года, когда после международного расследования, разоблачившего массовое использование Pegasus против правозащитников и независимых журналистов, на компанию обрушились судебные иски, а ее продажи стали стремительно падать. Сооснователь компании Шалев Хулио тогда вынес на внутреннее обсуждение идею начать продажи «клиентам с повышенным риском». Впрочем, вскоре он ушел со своего поста.
«Мы не видим свидетельств того, что Россия использует продукт NSO, — подтверждает „Медузе“ Джон Скотт-Рейлтон, — Но это не значит, что нам известно все».
ФСБ не ответила на вопросы «Медузы» про Pegasus; представитель NSO Group в ответ на обращение издания заявил, что разработки компании «продаются только союзникам США и Израиля, особенно в Западной Европе, и исключительно для борьбы с преступниками и террористами — в полном соответствии с глобальными интересами американской национальной безопасности».
Впрочем, согласно докладу Access Now о заражении телефона Галины Тимченко, не исключено, что эту атаку по просьбе Москвы могли инициировать две другие страны, предположительно имеющие Pegasus, — Казахстан и Азербайджан. «Есть промежуточная теория, что Россия могла попросить своих партнеров, — рассуждает Крапива. — Казахстан, например, и без всяких просьб дважды блокировал „Медузу“».
Однако для исполнения такой просьбы казахстанским или азербайджанским спецслужбам пришлось бы впервые в своей истории атаковать с помощью Pegasus цель в Европе: в день заражения Тимченко находилась на территории Германии.
При этом Казахстан, согласно собранным Citizen Lab свидетельствам, вообще не заражает цели за пределами собственной страны. Что касается Азербайджана, уточняет Скотт-Рейлтон, то он хоть и применяет шпионскую программу за рубежом, но, предположительно, только против целей в Армении: «Именно это может быть одним из объяснений, как телефоны армянских правозащитников оказываются заражены программой NSO».
К тому же на использование Pegasus за пределами своих границ спецслужбам Казахстана и Азербайджана, вероятно, пришлось бы получать отдельное разрешение. «Мы полагаем, что разные заказчики NSO могут приобретать различные виды лицензий, — объясняет Крапива. — Одни покупают права только на взлом внутри страны. Другие — права на заражение большого числа стран. Мы еще многого не понимаем в этих секретных контрактах, но, скорее всего, заражения за пределами собственного государства требуют особого разрешения».
Служба государственной безопасности Азербайджана и Комитет национальной безопасности Республики Казахстан на момент публикации не ответили на вопросы «Медузы».
Латвия, Эстония, Германия
Во взломанном телефоне Тимченко была латвийская сим-карта. Citizen Lab впервые зафиксировала в Латвии активность, связанную с Pegasus, еще в 2018 году. Эксперты до сих пор предполагают, что балтийская страна использует продукцию NSO, говорит Скотт-Рейлтон.
Доклад Access Now, с которым ознакомилась «Медуза», также не исключает, что инициатором атаки могла быть Рига. «Из-за вторжения в Украину не доверяют всем без исключения россиянам, — рассуждает Крапива. — Если такая слежка ведется, это очень резонирует со словами президента Чехии Петра Павела о том, что „за гражданами нации, начавшей агрессивную войну“ нужно „пристальнее“ следить западным спецслужбам. Или с тем, как „Дождю“ запретили вещать в Латвии „в связи с угрозой национальной безопасности“».
Однако эксперты Citizen Lab ни разу не наблюдали, чтобы Латвия заражала цели за своими территориальными границами, — а издатель «Медузы» в момент атаки находилась в Берлине (кому именно латвийские власти устанавливали Pegasus, неизвестно).
Впрочем, евродепутат от Латвии Иварс Иябс, который участвует в работе комитета Европарламента по вопросам использования Pegasus (PEGA), в январе 2023 года в интервью The Baltic Times сказал, что Латвия вообще не использует эту программу. НКО, мониторящие применение израильского шпионского софта, относятся к таким заявлениям со скепсисом. «Это не первый чиновник, который говорит такие вещи — даже несмотря на улики», — отмечает Крапива.
Служба государственной безопасности Латвии (СГБ) сказала «Медузе», что «не обладает информацией о возможной атаке на смартфон Галины Тимченко». На все остальные вопросы издания — о том, использует ли страна Pegasus против журналистов, граждан РФ или целей на территории других стран Европы — СГБ отвечать не стала, сославшись на засекреченность сведений «о материально-техническом обеспечении», «тактик контрразведки» и «приобретениях» ведомства.
Эстония тоже покупала права на Pegasus; это произошло в 2019 году (свидетельств использования программы Литвой нет). Citizen Lab предполагает, что эта балтийская страна, как и соседняя Латвия, использует продукцию NSO. Что еще важнее, исследователи лаборатории «видели, как Эстония заражает цели за своими границами — сразу во многих странах Евросоюза, в том числе в Германии», говорит «Медузе» Скотт-Рейлтон. Эстонская внешняя разведка к моменту публикации не ответила на вопросы «Медузы».
Наконец, заражение, произошедшее 10 февраля 2023 года, когда Тимченко находилась в Берлине, могло произойти по инициативе Германии. ФРГ купила Pegasus в 2019-м «в строжайшей тайне» — и признала использование шпионской программы только два года спустя.
«В докладе Европейского инспектора по защите данных прямо сказано, что в своем первозданном виде Pegasus несовместим с европейским законодательством, так что Германия, по их собственным словам, использует „особую версию, которая не противоречит законам приватности“ — некий „Pegasus-лайт“. Но мы не получили ни доказательств этому, ни даже представления, что это за лайт-версия такая, — говорит Крапива. — К тому же инспектор приходит к выводу, что Pegasus фундаментально несовместим с законодательством ЕС — ни в какой форме».
Часть функционала Pegasus якобы действительно была «заблокирована», чтобы избежать «злоупотреблений», рассказывали немецкой газете Die Zeit собеседники в немецкой разведке. Однако как это работает на практике, они не пояснили.
Скотт-Рейлтон считает случай заражения в Берлине «напоминанием о том, что у Европы есть нерешенная проблема с Pegasus». «Почему Германия не заинтересована в ее решении, для меня загадка, — говорит исследователь Citizen Lab. — Почему Берлин, например, не подписал „Совместное заявление об усилиях по противодействию распространению и неправомерному использованию коммерческого шпионского ПО“? Его подписали 11 стран, в том числе Дания, Франция, Швеция». Немецкое Федеральное ведомство по уголовным делам (BKA) — по словам властей страны, именно оно использует Pegasus — на момент публикации не ответило на вопросы «Медузы».
Как отмечается в докладе Access Now, все четыре страны Евросоюза, ставшие новыми центрами российской антивоенной эмиграции — Латвия, Эстония, Германия и Нидерланды, — являются предполагаемыми пользователями Pegasus. При этом Access Now рассматривает атаку на Галину Тимченко как по крайней мере четвертую в серии похожих атак, произошедших за последний год на территории Европы («Медузе» известны подробности, но жертвы атак не готовы публично рассказать о случившемся).
К журналистам все чаще относятся как угрозе даже в Европе, говорит Крапива; это проявляется и в законодательстве Евросоюза:
Еврокомиссия сейчас продвигает закон о защите журналистов в том числе от вредоносного софта — European Media Freedom Act. Он должен был защитить журналистов от слежки, и изначально там говорилось, что «журналистов нельзя заражать». Но некоторые страны Евросоюза — главным образом Франция и Швеция — стали размывать этот язык: «Нет, можно, если на кону стоит национальная безопасность». Получается, слежку за медиа потихоньку легитимизируют.
«Я абсолютно потрясен тем, что мы всерьез обсуждаем, что это могли сделать европейские правительства, — говорит главред „Медузы“ Иван Колпаков. — Наверное, я наивный, но мне это казалось невозможным. Последствия могут быть разрушительными, и речь не только о медиа в изгнании, но и вообще о медиа в Европе: если такой софт мог быть установлен на телефон журналиста из России, непонятно, что может удержать европейские спецслужбы от того, чтобы заразить вообще любого журналиста».
«Я не могу восстановить логику европейских спецслужб, которые могли установить Pegasus, и не хочу заниматься предположениями, — говорит Тимченко. — Дальше мы будем действовать в соответствии с тем, что нам говорят наши юристы. Молчать я не буду».
NSO Group не стала отвечать на вопросы «Медузы» о том, знает ли компания об атаке на Тимченко и кто из их клиентов мог ее организовать. Также в NSO не пояснили, известно ли им о случаях использования Pegasus против журналистов в странах Европы, против граждан РФ — или о ситуациях, когда одна страна ЕС шпионила бы за целью в другой.
Ответственности за атаку на Тимченко NSO в любом случае не признает. Представитель компании также подчеркнул, что фирма «расследует все заслуживающие доверия сообщения о злоупотреблениях», однако не стал отвечать на вопрос «Медузы», готова ли компания провести внутреннее расследование использования Pegasus против Тимченко.
«Да следите, гады. Чего вы там не видели»
Сейчас Галина Тимченко носит с собой два айфона. Один она купила после атаки; второй решила сохранить как сувенир (по данным Citizen Lab, программы Pegasus на нем уже нет). «Там нет ничего, кроме переписки с парикмахером и маникюршей, — рассказывает издатель „Медузы“. — Пусть будет, пусть лежит. И мне память: буду теперь три раза оглядываться».
Государства платят за доступ к Pegasus десятки миллионов долларов; Тимченко до сих пор удивляется, что кто-то решил потратить такие деньги, чтобы устроить слежку за ней. «Просто что они планировали найти? Рассматривали меня под лупой, хотели на чем-то поймать… Да следите, гады! Чего вы там не видели».
Вне зависимости от этой ситуации к NSO Group сейчас подано сразу несколько судебных исков. Один из них от Apple, которая прямо называет израильскую фирму «аморальными наемниками». США запретили вести бизнес с NSO и коммерческим компаниям, и правительственным агентствам. Спецдокладчик ООН в 2014–2020 годах Дэвид Кей, члены Европарламента и Amnesty International предложили установить глобальный мораторий на продажу любого шпионского софта.
«Поддерживаемые государством акторы вроде NSO Group тратят миллионы долларов на изощренные технологии слежки — и не несут за этой реальной ответственности. Это должно поменяться», — сказал старший вице-президент по разработке программного обеспечения в компании Apple Крейг Федериги.
NSO же в ответ занялась лоббизмом. «Они прилагают много усилий, чтобы снять американские санкции. Недавно к инвестициям NSO Group приценивался Роберт Саймондс, продюсер фильмов с Адамом Сэндлером, голливудский персонаж, — говорит Крапива. — Так что они остаются на плаву».
* * *
С июня 2023 года эксперты проанализировали телефоны еще нескольких десятков сотрудников «Медузы». Какие именно данные на айфоне Тимченко интересовали нападавших, по-прежнему неизвестно. Больше всего это беспокоит даже не саму Тимченко, а технического директора «Медузы» Алексея.
«Пока я не знаю мотива, приходится ждать самого ужасного, — объясняет Алексей. — Я занимаюсь безопасностью издания не только в техническом, но и в самом широком смысле: каждый день продумываю, как нас будут убивать и травить. Слежка, харассмент, угрозы — все эти сценарии я уже рассмотрел и в каком-то смысле отпереживал. И по Pegasus, пока у нас нет других подробностей, нельзя исключать варианта, что заражение могла заказать Россия — и что эта слежка может иметь самые серьезные последствия, вплоть до устранения человека».
Сама Тимченко о таких последствиях заражения Pegasus старается не думать. «Я и так хожу оглядываясь — и присматриваюсь, кто едет за мной на машине. Основатели „Медузы“ в этом сценарии живут все время, — говорит Галина Тимченко. — Если захотят — ну сделают же».
https://meduza.io/feature/2023/09/13/my-vse-ispugalis-no-delali-vid-chto-net
