Сообщить Ленаиг о том, что она стала жертвой шпионского ПО, оказалось сложнее, чем я ожидал. Мы с Сандрин объяснили ей, что, судя по данным экспертизы, киберслежка за ней велась кем-то в Марокко еще в июле 2019 года, а в июле 2020 года она все еще была под прицелом. В Лаборатории безопасности не могли точно сказать, когда это прекратилось и прекратилось ли вообще. Ленайг немного помолчала. Мы все были в масках из-за Ковида, поэтому мне было трудно уловить ее реакцию. Она начала рассказывать, что боится, что ее выбрали в качестве мишени, чтобы добраться до ее мужа, алжирца — страны, которая в то время находилась в центре обострения дипломатической вражды с Марокко. Ей не нужно было этого говорить, но было ясно, что она боится, что подвергла опасности своего мужа и, возможно, даже их детей. Я видел, как глаза Ленаиг стали влажными, и чувствовал, что сам начинаю наполняться эмоциями.
"Хотите стакан воды?" — это все, что я смог придумать, чтобы сказать.
Она быстро пришла в себя и начала сосредотачиваться на деталях судебной экспертизы. Из письменного отчета Клаудио следовало, что за один месяц 2020 года "Пегас" извлек из iPhone Ленаиг более 220 мегабайт данных. Она хотела знать, что именно украли у нее марокканцы, но Клаудио не мог сказать наверняка. Криминалистическое средство не давало таких подробностей.
Она также хотела знать, как ей защитить себя (и свою семью) в дальнейшем, но мы объяснили, что абсолютного решения проблемы нет. Она могла отключить iMessage, где в программном обеспечении iOS была открыта дверь для кибератаки, и, возможно, FaceTime — еще один предполагаемый путь атаки. Она также могла перейти на новый iPhone и сменить номер, но это не гарантировало, что она сможет уберечься от конечных пользователей этого кибероружия, если они захотят атаковать ее снова.
Никто из нас не мог с уверенностью сказать, что именно спровоцировало кибершпионаж за Ленаиг. Она упомянула о своих репортажах о Хаммуши, который сейчас возглавляет внутреннюю разведку и национальную полицию Марокко и, скорее всего, руководит программой киберслежки в королевстве. Она также рассказала нам, что находится в контакте с группой журналистов, сообщающих о последних событиях в уголовном деле Омара Ради. Она не может припомнить, чтобы писала об Омаре в последнее время, но она обменивалась текстовыми сообщениями с источниками и другими репортерами, которые работали над этой историей.
Нам еще предстояло ответить на множество вопросов о Pegasus, NSO и Марокко, но экспертиза Mediapart стала для нас большим шагом вперед, просто с точки зрения уверенности в проекте. Два телефона в наших данных. Два положительных результата. 100-процентный процент успеха. У нас были доказательства фактического заражения, привязанные к временным меткам в данных, на обоих телефонах. Цифровые отпечатки пальцев совпадали с теми, которые Лаборатория безопасности обнаружила в других телефонах, предназначенных для марокканских конечных пользователей, — это означало, что мы на верном пути.
Эдви Пленель оказался благодарным и великодушным, даже после того, как мы объяснили, что пока не чувствуем себя комфортно, раскрывая Фабрису и Эдви подробности нашего большого расследования. Мы даже не упомянули НСО и "Пегас". Мы заверили их, что Mediapart не был главным объектом нашего расследования, что было гораздо больше жертв в разных новостных изданиях, но они не стали допытываться о размере или масштабах утечки. Эдви и Фабрис сказали нам, что их команда в Mediapart займется собственным расследованием, но они дали нам слово, что их сайт будет воздерживаться, пока Forbidden Stories и наши партнеры не расскажут о нашей истории. Эдви просто хотел предупредить нас о сроках, чтобы не казалось, что их застали врасплох.
В апреле Лаборатория безопасности обнаружила следы заражения Pegasus в журналах iPhone еще двух марокканских целей — одного адвоката по правам человека, живущего во Франции, и другого репортера из Le Monde. Еще одна марокканская цель помогла Клаудио и Доннче определить то, что выглядело как ранее неизвестный вектор атаки: Хакеры NSO, по-видимому, нашли способ открыть черный ход в Apple Photos. "Телефон французского адвоката по правам человека был взломан, и процесс 'bh' был выполнен через несколько секунд после того, как впервые был записан сетевой трафик приложения iOS Photos (com.apple.mobileslideshow)", — сообщают Клаудио и Доннча. "И снова, после успешной эксплуатации, отчет о сбоях был отключен путем записи на устройство файла com.apple.CrashReporter[.]plist". Эта атака произошла в октябре 2019 года. В журналах резервного копирования Ленаига Бреду была обнаружена атака в мае 2020 года с почти таким же шаблоном. Оба взломанных устройства также показали связь с созданной Pegasus учетной записью iCloud — bogaardlisa803[@]gmail.com. Эти новые находки означали, что у Клаудио и Доннча появились дополнительные маркеры, которые они могли ввести в свой криминалистический инструмент.