"Пока ничего окончательного, но команда техников нашла несколько потенциальных инфекций в вашем старом телефоне", — объяснил Финеас Сиддхарту. "На самом деле они просят нас, если вы согласитесь, отправить ваш старый телефон к ним [в Берлин] для личного анализа. Так они смогут получить более убедительные результаты".
"Вы имеете в виду сам телефон?" спросил Сиддхарт.
"Так они смогут взломать его, по сути, — пояснил Финеас, — и получить больше информации, чем дается через онлайн-платформу".
"Да", — сказал Сиддхарт. "Я могу это сделать".
ФОРЕНСИЧЕСКИЙ ИНСТРУМЕНТ, который Клаудио Гуарниери и Доннча О Сеарбхайль разработали за два с половиной года, прошедшие с момента расследования заражения шпионским ПО телефона их коллеги по Amnesty, был совершенно новым и уникальным. В середине 2019 года они обнаружили, что испытанный метод — поиск ссылки в SMS-сообщении и последующее сканирование всего IP-адреса на предмет того, не связан ли он каким-то образом с инфраструктурой, созданной NSO, — больше не является достаточным для решения этой задачи. Частично сложность заключалась в проворных контрмерах NSO.
Например, когда Лаборатория безопасности опубликовала отчеты летом и осенью 2018 года, NSO уже закрыла третью версию своей инфраструктуры и восстановила четвертую. Инженеры компании также построили дополнительные барьеры для обнаружения как на новых командно-контрольных серверах, так и на серверах, с которых запускались шпионские инфекции. Эти новые меры предосторожности, получившие название "port-knocking" или "DNS knocking", были эквивалентны тайному сигналу у дверей питейного заведения времен сухого закона. Потенциальный преступник должен был выполнить серию попыток подключения к серверу C&C. При правильной последовательности — "секретный стук" — предоставлялся доступ, возможно, к совершенно другому серверу, с которого можно было начать атаку Pegasus. Что еще более важно, NSO усовершенствовала гораздо более коварный метод заражения.
Клаудио и Донча впервые заметили это новое оружие осенью 2019 года, когда к ним обратились за анализом телефона откровенного критика короля Марокко Мохаммеда VI. Маати Монджиб, безостановочно призывавший к свободе слова в своей стране, стал мишенью на спине после "арабской весны", а в 2015 году на него было заведено уголовное дело по обвинению в "угрозе внутренней безопасности государства". Большую часть 2019 года Маати провел во Франции, в основном потому, что в Рабате его заочно судили как пропагандиста государственной измены. Ему почти наверняка грозил пятилетний тюремный срок. Маати не замолчал, но, подозревая, что марокканские власти держат его под постоянным цифровым наблюдением, он значительно убавил паруса. "Мне нужно постоянно анализировать последствия своих слов и риск того, что это может привести к клеветническим обвинениям в мой адрес", — объяснил он свое желание выяснить, не заражен ли его мобильный телефон шпионской программой. "Это касается даже таких практических вещей, как организация встреч или ужина в центре города".
Клаудио и Доннча очень быстро обнаружили несколько ссылок в старых SMS-сообщениях, сохранившихся на iPhone Маати Монджиба, и очень быстро связали эти ссылки с серверами и доменами, которые, как известно, являются частью системы Pegasus. Когда они спросили его, не согласится ли он позволить им провести более глубокое погружение в его телефон, чтобы собрать дополнительные доказательства, Маати согласился позволить двум исследователям кибербезопасности выполнить джейлбрейк его iPhone.
Джейлбрейк — это то, на что он похож: взлом, который не соответствует всем юридическим тонкостям. Вот как это работает: Apple Inc. позволяет покупателям iPhone использовать устройство не так, как они хотят, а так, как задумано Apple Inc. Каким бы дорогим и фундаментальным ни стал для каждого из нас мобильный телефон, почти как продолжение нашей личности, мы не столько владеем своим телефоном, сколько арендуем его под негибкие ограничения, установленные компанией. Компания Avis ведь не позволит кому-то ремонтировать двигатель автомобиля в течение срока аренды, верно? Так вот, Apple не хочет, чтобы ее клиенты даже заглядывали под капот, не говоря уже о том, чтобы что-то там переделывать.