истории

«Давайте-ка поймем, не шпионы ли они» Программу Pegasus (которой взломали телефон Галины Тимченко) нашли на устройствах еще семи журналистов и активистов. Большинство атак произошло в странах Балтии

Источник: Meduza

В сентябре 2023 года стало известно, что неизвестные установили шпионскую программу Pegasus на телефон издателя «Медузы» Галины Тимченко (это выяснили специалисты из Access Now и Citizen Lab, а также независимый эксперт по цифровой безопасности Николай Кванталиани). С тех пор эти исследователи протестировали устройства еще нескольких десятков русскоязычных журналистов и активистов — живущих в Европе граждан России, Беларуси, Латвии и Израиля — и обнаружили, что как минимум семеро из них тоже были атакованы. Корреспондент «Медузы» Лилия Яппарова рассказывает о результатах этого расследования.  


Три из семи новых жертв Pegasus живут в Риге. Это:

  • Мария Епифанова — генеральный директор «Новой газеты Европа» и директор «Новой газеты Балтия»;
  • Евгений Павлов — бывший корреспондент «Новой газеты Балтия», бывший продюсер программы «Балтия. Неделя» и репортер передачи «Балтия» (обе выпускает телеканал «Настоящее время»);
  • а также Евгений Эрлих — бывший шеф-редактор все той же программы «Балтия. Неделя».

Все они обратили внимание на пришедшие от Apple оповещения о возможной хакерской атаке после того, как стало известно о взломе телефона Галины Тимченко. Тогда же появились подозрения, что их устройства тоже атакованы с помощью Pegasus, журналисты связались с Access Now.

Шпионская программа может дать хакерам полный доступ к содержимому телефонов, включая домашний адрес, расписание встреч, фотографии и даже переписку в зашифрованных мессенджерах.

Эта программа — разработка компании NSO Group, которую основали выходцы из израильских спецслужб. Фирма утверждает, что продает Pegasus исключительно государственным клиентам по всему миру — то есть в первую очередь силовикам и разведчикам.

По утверждению разработчиков, программа предназначена для слежки за террористами, но правительства по всему миру используют ее против независимых журналистов и оппозиционеров — после чего их нередко арестовывают или даже убивают. Например, активистов из ОАЭ и Таиланда после заражения их смартфонов посадили в тюрьму. Мексиканского независимого репортера Сесилио Пинеду Бирто застрелил неизвестный всего через несколько недель после того, как местные власти решили следить за ним с помощью программы. А у журналиста Джамаля Хашогджи, которого в 2018 году убили и расчленили спецслужбы Саудовской Аравии, посредством софта NSO взломали телефон жены.

Согласно выводам Access Now и Citizen Lab, айфон Эрлиха действительно заразили 28 или 29 ноября 2022-го. В те дни журналист был в Австрии с женой. «Ездили в Инсбрук прокачивать горнолыжные скиллы, — рассказывает Эрлих „Медузе“. — В восемь утра выезжали — и в пять вечера возвращались с горы. Телефоны все время были при нас. Порочащих связей не было никаких: катались с украинцем из Мюнхена, живущим в Цюрихе сотрудником Google и москвичом, который уехал из России сразу после начала войны» (впрочем, операторам Pegasus и не нужен физический доступ к устройству — чтобы заразить смартфон, им достаточно знать номер телефона).

Примерно в те же даты в конце ноября 2022-го неизвестные атаковали смартфон Евгения Павлова, а через полгода — 24 апреля 2023-го — сделали это еще раз. Access Now и Citizen Lab не удалось выяснить, насколько успешными были эти попытки (вскоре после первой из них журналист обновил все свои устройства, что могло уничтожить необходимые для анализа цифровые следы Pegasus). Во время обеих атак Павлов был в Латвии.

Евгений Павлов

Телефон Марии Епифановой взломали значительно раньше — 18 августа 2020-го (в докладе Access Now подчеркивается, что это самая ранняя из известных атак на «представителя российского гражданского общества»). В этот момент Епифанова тоже находилась в Латвии. Однако всего через три дня журналистка поехала в Вильнюс на пресс-конференцию лидера белорусской оппозиции Светланы Тихановской. В теории организаторы взлома могли дистанционно включать камеру и микрофон во время этой поездки Епифановой — но сделали ли они это, неизвестно.

Четвертый журналист, чей телефон тоже был заражен, попросил исследователей не раскрывать его имени. Его устройство взломали 15 июня 2023-го в Вильнюсе — журналист переехал туда вскоре после нападения России на Украину. На следующий день после заражения журналист отправился в Ригу на мероприятие «Балтийского центра развития СМИ», «Академии Deutsche Welle» и Sustainability Foundation. На него пришли десятки россиян, эмигрировавших из-за войны. «Устройство могли решить заразить, чтобы потом использовать его для прослушки», — рассуждает представитель Access Now Наталья Крапива (именно она опрашивала жертву этой атаки).

Еще трое пострадавших от Pegasus — граждане Беларуси.

Телефон белорусской активистки, живущей в Вильнюсе (она просила не раскрывать ее имя), заразили примерно 25 марта 2021 года. В этот день диаспора отмечала очередной День воли — годовщину провозглашения независимости первого национального государства, Белорусской Народной Республики, и по совместительству одну из важнейших дат для оппозиции режиму Александра Лукашенко.

Еще двое пострадавших от Pegasus граждан Беларуси живут в Варшаве. Устройство одного из них — бывшего кандидата в президенты Беларуси Андрея Санникова — взломали примерно 7 сентября 2021 года (почему его атаковали именно в этот день — неизвестно).

А смартфон Натальи Радиной — белорусской журналистки, главного редактора сайта «Хартия'97» — заражали шпионским софтом трижды: 2 и 7 декабря 2022-го, а также 16 января 2023-го. Причем первая атака произошла сразу после антивоенной конференции, организованной «Форумом свободной России» в Вильнюсе. Радина принимала в ней участие — и на момент заражения еще могла находиться в Литве.

Наталья Радина

Радина сказала «Медузе»:

Это нарушение неприкосновенности частной жизни, тайны переписки и телефонных переговоров. Ранее мой телефон незаконно прослушивался в Беларуси, где я преследовалась по политическим мотивам, подвергалась уголовному преследованию и была заключена в тюрьму КГБ.

Я знаю, что уже много лет моя абсолютно законная журналистская деятельность может интересовать только белорусские и российские спецслужбы. И я опасаюсь только возможного сотрудничества в данном вопросе нынешних операторов [атаки с помощью Pegasus], кто бы они ни были, с КГБ или ФСБ. 

«Как минимум за тремя атаками в Латвии, Литве и Польше стоит один оператор»

Как выяснили Access Now и Citizen Lab, для заражения российских и белорусских журналистов неизвестные использовали одни и те же Apple ID. Их создали специально для этой атаки (имейлы, к которому привязали аккаунты, оставили цифровые отпечатки в устройствах): 

  • Один и тот же имейл хакеры использовали, чтобы проникнуть в устройства Евгения Павлова в Латвии и Евгения Эрлиха в Австрии (28–29 ноября 2022 года). 
  • Уже другой имейл использовался для повторной атаки на Павлова в Латвии, а также для заражений российского журналиста в Литве и Натальи Радиной в Литве или Польше (эти взломы произошли с января по июнь 2023-го).

Это дает основания полагать, что за каждой из этих серий атак стоит только по одному оператору шпионского софта. «Мы считаем, что разные правительства не могут атаковать людей с одного имейла, — объясняет Крапива. — Но не исключаем, что один и тот же оператор мог создать два электронных адреса, [с которых и прошли обе серии атак]».

Это значит, рассуждает Крапива, что «за взломами как минимум трех человек в Латвии, Литве и Польше стоит один оператор. [А позже] или тот же самый оператор, или кто-то другой заразил цели одновременно в Латвии и Австрии». Такой разброс — не беспрецедентный случай, уточняет эксперт. Например, пользующиеся Pegasus Саудовская Аравия и Марокко заражают цели в разных странах. Государства — клиенты шпионского софта от NSO Group покупают у этой компании «разные виды лицензий», объясняют специалисты из Access Now: одни приобретают права только на атаки внутри своей страны, а другие — «особое разрешение» на заражения за собственными границами.

У Евгения Эрлиха есть своя версия, почему его с Павловым устройства могли одновременно вызвать интерес у кого-то из операторов Pegasus: оба журналиста с 2016 по 2022 год делали программу «Балтия. Неделя» для телеканала «Настоящее время». А сим-карты журналистов, атакованные в ноябре 2022-го, были куплены на эстонское юрлицо Эрлиха Mediaframe, зарегистрированное им специально под производство телепередачи.

Евгений Эрлих

«Может быть, решили для надежности заразить сразу все телефоны нашей компании, — рассуждает Эрлих в разговоре с „Медузой“. — Мы делали программу про весь регион: Литва, Латвия, Эстония. И были единственными представителями „Настоящего времени“ в странах Балтии. Четверть нашей повестки при этом была плотно связана с российской угрозой: мы делали материалы про соотношение сил НАТО и РФ, брали интервью у военных экспертов и у российского посла в Латвии».

Соглашается с этой версией и Павлов: «Это единственное объяснение. Другой причины я не вижу, потому что как латвийский журналист я не занимаюсь расследованиями, а мое основное место работы — это бумажная региональная газета [„Миллион“ в Даугавпилсе]».

Мария Епифанова

И Павлов, и Эрлих сотрудничали с «Новой газетой Балтия», которую возглавляет третья живущая в Латвии жертва Pegasus, Мария Епифанова. Она подчеркивает:

Наше издание, конечно, воспринимает эту ситуацию как атаку на своих журналистов. С телефона я часто веду рабочую переписку, там хранится важная информация, которая иногда касается не только меня, но и моих коллег, сотрудников и спикеров. Pegasus — это программа, которой пользуются не обычные хакеры, а государственные спецслужбы; никакая цель и ничьи интересы не могут оправдывать вмешательства в частную жизнь. Это делает нашу работу, и так непростую и небезопасную, еще менее простой и безопасной.

С ней заочно соглашается директор канала «Настоящее время» Павел Буторин: «Мы очень обеспокоены целенаправленным использованием шпионского программного обеспечения Pegasus против журналистов и продолжаем строго соблюдать соответствующие протоколы безопасности, чтобы гарантировать защиту наших сотрудников».

«Даже если бы я знал, что мой телефон все время был на прослушке, я бы жил как раньше»

С сентября 2023-го, когда Access Now опубликовала доклад о взломе айфона Галины Тимченко, организация подробно изучила все семь попыток заразить находящихся в эмиграции журналистов и активистов. И чем больше расширялась эта выборка, тем серьезнее становились подозрения экспертов о возможной причастности стран Балтии к организации атак.

«Все жертвы либо живут в странах Балтии, либо находились там в поездке, как белорусская журналистка, а работа многих посвящена именно Балтийскому региону, — рассуждает Крапива. — Многие из них не так давно переехали в Европу из России или Беларуси. Понятно, что они могли бы попасть под подозрение местных спецслужб как потенциальные шпионы».

Изученные Access Now и Citizen Lab заражения произошли на территории Латвии, Литвы, Польши и Австрии. Однако на момент зафиксированных атак только Латвия пользовалась (и, полагают эксперты, до сих пор пользуется) Pegasus.

«Заражения в Варшаве прошли в 2022-м и 2023-м, а у Польши доступ к Pegasus был только до 2021 года: когда об использовании страной шпионского софта написала пресса и прогремел скандал, NSO Group разорвала с ними контракт. Причем польское правительство и сейчас признает все и ведет работу над ошибками», — объясняет Наталья Крапива.

Австрия, Литва, Россия и Беларусь тоже не пользуются Pegasus, уточняет эксперт со ссылкой на данные Citizen Lab, исследующей инфраструктуру этой программы по всему миру.

Однако Латвия ни разу не атаковала устройства за границей, утверждают специалисты Citizen Lab. Впрочем, как считает Крапива, заражения на территории Литвы, Польши и Австрии могло бы объяснить «сотрудничество Латвии с Эстонией» (последняя купила права на Pegasus в 2019 году, и исследователи Citizen Lab фиксировали, как она «заражает цели… сразу во многих странах Евросоюза»):

У Эстонии есть активность по всей Европе, а также эта страна тесно сотрудничает с Латвией в сфере безопасности и противостояния России и Беларуси, которые для стран Балтии являются общей угрозой.

Представляет интерес для исследователей Pegasus и Литва. «На территории этой страны происходили атаки, — говорит Крапива. — И несмотря на то, что Литва не является пользователем этого шпионского софта, было бы интересно узнать, есть ли у Латвии с Литвой какое-то сотрудничество в сфере [информационной] безопасности — и знали ли в Вильнюсе о готовящихся заражениях».

* * *

Неприятно, что «твое нижнее белье кто-то полоскал — пусть даже в узких обсуждениях в тайных кабинетах», говорит «Медузе» Евгений Эрлих. Он оговаривается: «Но они реально боятся России. И у меня нет злости на местное правительство, если это и правда были они. На борьбу с российской угрозой латвийским силовикам приходят большие деньги, от них требуют результатов. И тут в стране появляется несколько русских журналистов, которые заявляют, что они против аннексии Крыма. Но так ли это? Давайте-ка поймем, не шпионы ли они».

Мария Епифанова добавляет, что планирует обратиться в Службу госбезопасности Латвии: «В момент взлома моего телефона я была на территории Латвии, здесь мое постоянное место жительства. Если никакие латвийские органы не имели отношения к этому взлому, им должно быть как минимум интересно, что делают на их территории спецслужбы других стран».

Евгений Павлов в свою очередь признается, что по-прежнему остается «в полном недоумении»: «Сам себе я вовсе не кажусь объектом, на который можно потратить такие деньги и столько усилий. Даже если бы я знал, что мой телефон все это время был на прослушке, я бы жил как раньше, ни в чем себя, как говорится, не ограничивая, — потому что мне нечего скрывать».

Хаим Гельфанд, вице-президент NSO Group по комплаенсу, так ответил на вопросы «Медузы» об атаках на русскоязычных активистов и журналистов:

Мы не раскрываем информацию о конкретных клиентах, но хотим подчеркнуть, что NSO продает свои разработки только странам-союзникам Израиля и США.

Мы немедленно рассмотрим содержащуюся в вашем запросе информацию и при необходимости начнем расследование… Ряд проведенных NSO расследований привел к приостановке, а в некоторых случаях и прекращению работы с клиентами.

NSO Group привержена защите уязвимых лиц и сообществ, включая журналистов. Однако журналистское удостоверение не предоставляет иммунитета от законодательного контроля. Задокументированы случаи, когда люди с аккредитациями журналистов оказывались вовлечены в преступную деятельность, совершение терактов, а также работали на спецслужбы

Гельфанд, впрочем, не привел конкретные примеры таких ситуаций — а также не пояснил, какое они могут иметь отношение к атакам на русскоязычных журналистов.

Служба внешней разведки Эстонии, Департамент государственной безопасности и Национальный центр кибербезопасности Литвы, а также Центральное антикоррупционное бюро Польши не ответили на вопросы «Медузы». В службе государственной безопасности Латвии уже после публикации текста заявили, что не располагают информацией об атаках на перечисленных в тексте активистов и журналистов.

Лилия Яппарова

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.