Увеличение этой базы данных имело решающее значение. Вводя в свой мозг этот растущий список имен вредоносных процессов, криминалистический инструмент Security Lab учился побеждать, как позже сказал один из наших партнеров, в "самой сложной в мире игре "Найди отличия"".

В конце апреля Клаудио и Доннча явно обрели уверенность в своем развивающемся криминалистическом инструменте, и на то были веские причины. Они только что обнаружили следы атаки Pegasus на iPhone индийского журналиста М. К. Вену, который казался чистым, когда они впервые проанализировали его еще в марте. Но оказалось, что по крайней мере одно имя процесса, сгенерированное Pegasus, которое Клаудио и Доннча обнаружили в iPhone Ленаига Бреду — otpgrefd — также находилось в резервной копии iPhone М. К., хранившейся на диске в Security Lab. "Как только вы чувствуете, что открыли что-то новое, чего не знали раньше, вы возвращаетесь назад и просматриваете предыдущие улики", — сказал нам Клаудио. "Возможно, вы обнаружите какие-то вещи, которые раньше упускали или интерпретировали по-другому".

Стали вырисовываться закономерности и сходства, связывающие конечных пользователей Pegasus. Клаудио и Донча обнаружили, что множество вредоносных шпионских процессов, созданных NSO, работали на множестве зараженных iPhone, независимо от того, находился ли клиент NSO в Индии, Марокко, Мексике, Венгрии или любой другой стране из нашего списка.

Недавняя экспертиза также выявила некоторые различия в сигнатурах клиентов NSO, что позволило отследить и подтвердить, откуда именно исходили конкретные цифровые атаки. Как оказалось, каждый лицензиат NSO, судя по уликам в телефонах, использовал свой собственный набор сфабрикованных учетных записей iCloud для совершения атак. Клаудио и Доннча обнаружили множество случаев, когда на ранних этапах использования Pegasus iPhone тайно связывались с созданными NSO учетными записями iCloud с определенными адресами электронной почты. Записи этих контактов в iCloud или iMessage, все из которых использовали вымышленные имена, затем записывались в файл в глубине телефона. С жертвами марокканских клиентов NSO могли связываться такие подделки, как bergers.o79@gmail.com или naomiwerff772@gmail.com или bogaardlisa803@gmail.com или linakeller@gmail.com, с жертвами индийских клиентов — lee.85.holland@gmail.com или bekkerfred@gmail.com или taylorjade0303@gmail.com. Телефон М. К. Вену и двух других клиентов из Индии был получен по адресу herbruud2@gmail.com. Венгерские цели Саболч Паньи и Андраш Сабо тайно связывались с вымышленной Джессикой vies1345@outlook.com и ее вымышленной сестрой emmadavies8266@gmail.com.

Глубокий и все более широкий криминалистический анализ также позволил Клаудио и Доннче по-новому взглянуть на возможности инженеров и кодеров, которые разрабатывали и создавали систему Pegasus. Гениальность технической команды в штаб-квартире NSO к северу от Тель-Авива не проявилась во вредоносном ПО, которое лицензиаты Pegasus использовали для шпионажа за iPhone и его владельцем. Отчасти "дерьмовое", — говорит Клаудио, когда на него нажимают. "По-настоящему сложная часть Pegasus — это не сама вредоносная программа Pegasus", — говорит Донча. "Но эксплойт, фактический способ внедрения шпионского ПО в телефон, довольно сложен, и это то, что постоянно меняется".

Сложное оружие, которое система Pegasus от NSO использовала для внедрения своих вполне обычных шпионских программ, было разработано для использования уязвимостей, скажем, в программном обеспечении Apple и приложениях, запущенных на iPhone. Лаборатория безопасности уже обнаружила эксплойты, предназначенные для атак через iMessage и Apple Photos. Такое оружие известно в сфере кибербезопасности как "эксплойты нулевого дня", потому что именно столько времени технологические компании вроде Apple, Google или Microsoft знают о проблеме, и именно столько времени у них есть, чтобы устранить проблему до атаки. Ноль дней! Ни одного. Уже слишком поздно.

Если эксплойту удастся обойти достаточное количество средств защиты и технических мер, то в конечном итоге он сможет сделать джейлбрейк устройства и записать в iPhone любой вредоносный код, который пожелает. Но, как объяснили нам Клаудио и Доннча, одного эксплойта редко бывает достаточно, чтобы сломать современную киберзащиту и получить доступ к устройству. Исследователям часто требуется цепочка из трех или более эксплойтов, чтобы сделать трюк. Это означает, что для разработки такого оружия требуется много человеко-часов и денег, и все они начинаются с того, что действительно опытный хакер или киберисследователь обнаруживает слабое место в программном обеспечении Apple и делает так, чтобы его держали в секрете до тех пор, пока не смогут продать тому, кто больше заплатит.

Клаудио и Донча достаточно разбирались в рынке "нулевых дней", чтобы понять, что одна надежная цепочка эксплойтов может стоить миллион долларов или больше. Они также видели и слышали достаточно, чтобы поверить, что NSO, скорее всего, тратит значительные средства на собственные исследования для разработки собственного оружия нулевого дня. Масштабы деятельности NSO — платящие клиенты в десятках стран — почти требовали этого. "Для NSO совершенно оправданно тратить пять миллионов в год на эксплойт для iPhone, — сказал нам Клаудио, — если они могут продать [Pegasus] пятидесяти разным клиентам, и все они заплатят миллионы".

Увиденное убедило Клаудио в том, что исследователи, кодеры и инженеры NSO ведут постоянную игру в прятки с одной из самых заботящихся о безопасности компаний на планете — Apple.

"Apple ставит заплатки, когда узнает об этом", — говорит Клаудио. "Но Apple может бороться только с теми, о ком знает. Если они не знают об этом, они не могут исправлять". Модель Apple заключается в том, чтобы исправлять то, что можно исправить, но при этом создавать как можно больше трудностей".

Помните, когда вы говорите: "Мне нужен один эксплойт для iMessage", — это никогда не один эксплойт", — пояснил он. Когда iPhone взламывают с помощью эксплойта для iMessage, они используют, возможно, три, четыре, пять различных эксплойтов, упакованных в один".

"В случае с iPhone приходится идти на компромисс со многими вещами, что значительно усложняет задачу. Им приходится нарушать целый ряд [различных] мер безопасности, которые Apple ввела специально, чтобы создать дополнительные сложности, прежде чем вы сможете успешно получить полное право собственности на устройство".

"Сложность взлома iPhone заключается в том, что вам нужно иметь действующий эксплойт для всех этих различных уровней безопасности, и все они должны быть надежными и работать одновременно. Им приходится подрывать все остальные компоненты операционной системы. Один из них может быть исправлен ночью, и им нужно найти что-то другое, чтобы заменить его. Так что все не так просто. Это довольно сложный процесс".