О том, что в телефон, возможно, установлена шпионская программа Pegasus, пользователя уведомляет Apple, производитель iPhone (и операционной системы к нему).
«Скорее всего, злоумышленники нацелились на вас индивидуально из-за того, кем вы являетесь или чем занимаетесь… Хотя существует вероятность того, что это ложная тревога, отнеситесь к этому предупреждению серьезно».
Такое сообщение, помимо Галины Тимченко, получили Мария Епифанова (гендиректор издания «Новая газета Европа»), Евгений Павлов (гражданин Латвии, сотрудничал с «Новой газетой Балтия» и телеканалом «Настоящее время», созданным Радио «Свободная Европа»/Радио «Свобода» и «Голосом Америки»), Евгений Эрлих (гражданин Израиля, бывший шеф-редактор программы «Неделя. Балтия» на «Настоящем времени») и его жена (она не журналист, но на ее телефон зарегистрирована продюсерская компания Эрлиха). На 25 сентября все, кроме Тимченко, еще ожидали полных результатов экспертной проверки (в одном из случаев, как выяснил Rus.LSM.lv, она затруднена тем, что журналист, получивший сообщение от Apple, «откатил» телефон к заводским настройкам. Такой factory reset означает полное удаление всего содержимого — часть которого потом можно пытаться восстановить, но без гарантии успеха).
Производитель Pegasus публично настаивает, что продает свой продукт только госструктурам — спецслужбам и полиции. Главный редактор Медузы Иван Колпаков в разговоре с Rus.LSM.lv последовательно воздерживается от предположений, какое из государств из опубликованного «Медузой» списка кажется ему наиболее вероятным заказчиком атаки. Уверяет, что дело не в самоцензуре (редакция «Медузы» находится в Риге, у работников — виды на жительство в Латвии).
В своей колонке он, однако, пишет: вероятно, это было европейское правительство, — и напоминает про лишение латвийской лицензии телеканала «Дождь» (в качестве причины официально называлась угроза национальной безопасности и общественному порядку).
Что могли узнать (спецслужбы) из телефона Тимченко? По словам главреда «Медузы» — скорее всего, только личные данные. «Если все ваши личные фотографии и личные сообщения оказались в руках неизвестных вам людей...
Если вы в такой ситуации не будете нервничать, будете абсолютно адекватны — наверное, тогда вы Джеймс Бонд.
Мы люди, и нам бывает очень тяжело», — говорит Колпаков Rus.LSM.lv.
Отнеситесь серьезно
Комплекс программного обеспечения Pegasus — разработка израильской NSO Group, клиентами которой являются, согласно ее утверждениям, только государственные структуры (в основном, но не только, союзники США и страны НАТО). Поставка требует разрешения Минобороны Израиля.
Изначально «Пегас», устанавливаемый удаленно, предназначался для наблюдения за преступниками и террористами — но в мире были и многие случаи слежки за журналистами, правозащитниками и политическими противниками правящих партий. В некоторых случаях за электронным шпионажем следовало физическое убийство объекта. «Пегас» позволяет получить доступ к абсолютно всей информации в телефоне, управлять камерой и микрофоном, пересылать записи — и владелец аппарата ничего не заметит.
Редакция портала «Медуза» за годы работы в Риге пережила тысячи кибератак, но эта — одна из самых серьезных. Несколько недель сотрудники портала разбирались, что произошло, как, кто мог за этим стоять, какие данные могли утечь. Вывод Колпакова: «Мы точно знаем, что никакие наши источники в результате этого взлома не стали известны, — как и те, с кем мы сотрудничаем на территории России. Но все равно это был запредельно стрессовый период.»
Обрадуетесь, если в итоге выяснится, что это не латвийские спецслужбы? — спрашивает Rus.LSM.lv Колпакова. Кажется, тому становится некомфортно —
отвечает, как на уроке: «Конечно, я обрадуюсь, если в итоге выяснится, что это не латвийские спецслужбы».
«Пусть лучше окажется что это была Эстония, да?» Колпаков отвечает, что не хочется на такую тему шутить, но, кто бы это ни был, «ситуация очень плохая».
Если это Россия — значит, она способна проводить такие операции в Европе.
Если это европейские страны — для работающих тут журналистов это чудовищная новость:
«Получается, налево пойдешь — коня потеряешь, направо — голову, других вариантов нет».
А может, это просто «Дождь»?
Евгений Эрлих, до недавнего времени — шеф-редактор программы «Неделя. Балтия» на телеканале «Настоящее время» – также пока не хочет строить версии, кому это было нужно. Говорит, будет смешно, если он начнет называть страны, а в итоге выяснится, что его телефон все-таки не был заражен: «Мы не знаем, кто за этим стоит, и в моем случае — пока не знаем даже, был ли взлом. Если действительно выяснится, что мой телефон тоже взломан через Pegasus — буду думать, почему».
Насколько в таких случаях возможна «ложная тревога»? Крайне маловероятна,
говорит Rus.LSM.lv Наталья Крапива, эксперт международного НГО Access Now, занимающегося защитой цифровых прав человека (представительства в США, Бельгии, Коста-Рике и Тунисе, гранты от Microsoft, Meta, госструктур Германии, Швейцарии, Нидерландов и др.). Как правило, все получившие такое сообщение подвергались по крайней мере попытке заражения – иногда успешной, иногда нет: «Те, у кого подозрение не подтвердилось — это буквально единицы из сотен случаев, из нашего опыта. И, как правило, в таких случаях мы ничего не находим лишь потому, что жертва сделала factory reset или потеряла/выбросила телефон», — говорит Крапива.
Эрлих видит только один вариант, почему он со своим телефоном гипотетически мог быть интересен спецслужбам — и вряд ли это интерес к его программе «Балтия. Неделя». Скорее, дело может быть в круге знакомых: у него в Facebook пять тысяч друзей, из них примерно триста-четыреста — журналисты оппозиционных российских СМИ, большинство которых уже не живут в РФ:
«Если я скажу, что со всем коллективом “Дождя” мы много раз водку пили — то, предполагаю, через меня к ним добраться гораздо проще, если спецслужбы захотели понять, а что тут думают оппозиционные журналисты».
Эта гипотеза, пусть и высказанная в форме шутки — про особый интерес к «Дождю» — мог бы показаться не лишенным логики. Когда в декабре прошлого года телеканал был лишен латвийской лицензии и назван латвийским регулятором электронных СМИ в контексте угроз национальной безопасности, редакция заявляла о намерениях судиться, «Медуза» публично выступила в защиту «Дождя». Эту же версию в свежей публикации упоминает и британская The Guardian: «Именно в этой критике журналисты [«Медузы»] видят причину, возможно, подтолкнувшую латвийские власти или другие [государства] к выбору “Медузы” в качестве цели для слежки». В разговоре с The Guardian главред «Медузы» Колпаков также высказался более определенно: «Теперь вероятно, что взлом произвела одна из европейских спецслужб».
Однако никаких подтверждений этой версии нет (впрочем, как и любой другой). Но логично было бы предположить, что прослушивание сторонников «Дождя» в связи со скандалом вокруг «Дождя» должно было бы лишь дополнять наблюдение за персоналом самого «Дождя». Но, как выяснил Rus.LSM.lv, предупреждений от Apple в редакции «Дождя» не получали. За несколько недель до публикации «Медузы», рассказал Rus.LSM.lv главный редактор «Дождя» Тихон Дзядко, его телефон благополучно прошел профилактическую проверку.
Телефоны других сотрудников «Дождя» были проверены уже после публикации — с тем же результатом: никаких признаков взлома.
В хорошей компании
Журналист и гражданин Латвии Евгений Павлов вообще не понимает, чем он мог бы заинтересовать спецслужбы — любой страны. Первое предупреждение от Apple он получил в тот же день, что и Тимченко, 22 июня (Павлов говорит, что не ездил в это время в Германию, где был заражен телефон Тимченко). Второй раз — 29 августа. Оба раза не придал значения. Только когда увидел расследование Медузы — задумался:
«Конечно, лестно оказаться в такой компании,
но чем я мог кого-то заинтересовать — не понимаю. За 30 лет работы я вряд ли когда-либо вызывал интерес каких-то спецслужб, и вряд ли вызываю теперь. Расследованиями не занимался, все мои темы — открытые и публично обсуждаемые».
Павлов не собирается писать в латвийские спецслужбы, чтобы выяснить, взламывали ли его телефон, но обратился в Access Now. Жить собирается так же, как жил: «Если кто-то мне установил “Пегас" — они зря потратили деньги.»
Впрочем, слишком полагаться на суждение, что «такой человек, как я, не интересен властям», — не стоит, считает эксперт Access Now Крапива. В практике организации — много примеров заражения дорогостоящими программами телефонов людей, на их взгляд, не имевших доступа к какой-либо секретной информации.
Но, во-первых, нельзя знать, что на уме у тех, кто стоит за «подсадкой», говорит Крапива. Во-вторых, иногда заражают непубличных людей в окружении главной цели — например родственников, коллег, друзей: «Может быть, в окружении этого журналиста кто-то был конечной целью. Может, он брал интервью или посещал встречи с интересными людьми, и его микрофон или камера в телефоне полезны, чтобы вести наблюдение или прослушку?»
Pegasus у спецслужб Латвии: следы есть, а жертвы?
Версия, что за «Медузой» следили латвийские спецслужбы — среди «рабочих» у экспертов организаций Citizen Lab и Access Now.
В заявлении Access Now в качестве подозреваемых рассматриваются 7 стран, в том числе в Европе — Латвия, Эстония, Германия, а также Россия (но Citizen Lab не нашел доказательств того, что власти РФ используют Pegasus) и другие страны СНГ.
Латвийская Служба госбезопасности на запрос «Медузы» заявила, что ничего не знает об атаке на Тимченко, но не ответила на вопрос, используют ли латвийские «органы» Pegasus в принципе. В других странах, которые упоминались в расследовании Медузы, на вопросы журналистов либо не ответили вовсе, либо, как в Германии, очень вежливо обьяснили, почему не смогут ответить.
Признаки того, что израильский Pegasus используется латвийскими структурами, эксперты Citizen Lab впервые обнаружили в 2018 году. Об этом свидетельствуют «следы»: изымаемые этой программой с телефонов данные хранятся на серверах в стране (в обзоре Citizen Lab упомянут Lattelecom).
Степень уверенности экспертов в том, что спецслужбы Латвии применяют Pegasus, довольно высокая, говорит Rus.LSM.lv Наталья Крапива. «Однако Эстония тоже является пользователем Pegasus, поэтому так же вероятно, что это они, или их спецслужбы [в деле Тимченко] действовали сообща. Как мы написали в докладе, судя по техническим данным Citizen Lab,
Латвия, заражает людей внутри страны, а Эстония активно использует Pegasus за пределами государства»,
— поясняет Крапива.
В Access Now не могут разглашать конкретные случаи, но говорят Rus.LSM.lv, что ранее у них уже были жертвы «Пегаса» и из Латвии, и из Эстонии. Крапива полагает, что после недавних публикаций таких примеров станет больше.
Телефон Тимченко заразили в Германии. Можно ли поэтому исключить из списка подозреваемых латвийские спецслужбы? Такой уверенности у Access Now нет.
«В Citizen Lab сказали, что [раньше] не видели, чтобы латвийские операторы Pegasus заражали людей за пределами страны. Однако, поскольку заражения происходят по номеру телефона (у Тимченко он латвийский — С.П.), неясно, знали ли бы латвийские службы, что Галина в это время была в Берлине. Сложно поверить, что нет, но мы не знаем наверняка.
Если знали и заразили все равно — получили ли они разрешение от [производителя Pegasus] NSO или [властей] Германии, например?
Этого мы тоже не знаем, но вероятно, что страны ЕС действуют на территории друг друга сообща. И, как мы упомянули в нашем докладе, Эстония активно заражает жертв в других странах, поэтому Эстония, как близкий союзник Латвии, тоже под подозрением. И Германия, которая сама является пользователем Pegasus — тоже. Однако, насколько известно, немецкое агентство, которой располагает программой — не секретные службы, а полиция», — указывает Крапива.
Увидеть полную картину заражений — и, например, ответить, телефоны скольких людей пытались взломать в Латвии, кто больше интересует взломщиков — вряд ли вообще возможно. Во-первых, пользователи нечасто реагируют на предупреждения от Apple. Во-вторых, те, у кого телефоны других производителей (почти всегда — «андроиды»), таких предупреждений о возможном взломе не получают — и, соответственно, редко решают проверить свое устройство.
- Кто и как контролирует латвийские спецслужбы в практике технического шпионажа и прослушки, что по этому поводу говорят латвийские политики и госструктуры, и что делать, если возникли подозрения, что вас «хакнули» (спойлер: проверяться) — об этом в следующих материалах Rus.LSM.lv.
