● Это — оригинал статьи на русском.
Tulkojums latviski pieejams šeit.
Summary of this report in English is available here.
Цели в Латвии
Что такое «Пегас»
Комплекс программного обеспечения Pegasus — разработка израильской NSO Group, клиентами которой являются, согласно ее утверждениям, только государственные структуры (в основном, но не только, союзники США и страны НАТО). Поставка требует разрешения Минобороны Израиля. Изначально «Пегас», устанавливаемый удаленно, предназначался для наблюдения за преступниками и террористами — но в мире были и многие случаи слежки за журналистами, правозащитниками и политическими противниками правящих партий. В некоторых случаях за электронным шпионажем следовало физическое убийство объекта. «Пегас» позволяет получить доступ к абсолютно всей информации в телефоне, управлять камерой и микрофоном, пересылать записи — и владелец аппарата ничего не заметит.
В августе 2023 года Мария Епифанова — живущая с 2016 года в Риге российская журналистка и генеральный директор «Новая газета Европа» — получила на свой телефон Apple уведомление от операционной системы: похоже, что ваш аппарат пытались атаковать связанные с государством хакеры. Мария не придала этому значения. (В тот момент была другая, более явная угроза — кто-то из-за рубежа проник в ее аккаунт в Телеграмм). Спустя несколько недель Епифанова увидела расследование базирующегося в Риге оппозиционного российского СМИ «Медуза» — о том, что шпионской программой «Пегас» неизвестные взломали телефон издателя «Медузы» Галины Тимченко, которая до этого получила аналогичное сообщение об атаке.
Через соцсеть Facebook быстро выяснилось: такие сообщения от Apple в Латвии получали еще несколько журналистов — живущий в Риге гражданин Израиля и России Евгений Эрлих (экс-ведущий программы «Балтия. Неделя» на канале «Настоящее Время» — совместном проекте «Голоса Америки» и Радио Свобода—Свободная Европа), а также латвийский гражданин Евгений Павлов (сотрудничал и с «Балтия. Неделя», и с «Новой газетой Балтия»).
Что их всех (включая Галину Тимченко), на первый взгляд, объединяет — русскоязычные журналисты, либо из РФ, либо сотрудничали с российскими или работающими на аудиторию в России СМИ. Все живут в Латвии. И у всех латвийские телефонные номера.
Вслед за Тимченко, Епифанова, Эрлих и Павлов осенью прошлого года обратились к техническим экспертам — в международное НГО Access Now и Citizen Lab, лабораторию при Университете Торонто. Всего в Балтии и Восточной Европе аналогичным образом тогда поступили около 50 журналистов и политических активистов — в основном из эмигрантского русскоязычного «комьюнити» в странах Балтии и Восточной Европы.
Результат спустя полгода: не считая Галины Тимченко (взлом ее аппарата был подтвержден почти сразу же), есть еще 7 человек, телефоны которых точно взломали или точно пытались взломать. Трое в Латвии, двое в Литве, двое в Польше.
Послушать разговоры в курилке?
Расследователи попытались понять, в чем мог заключаться интерес спецслужб. В половине случаев можно усмотреть логику, связанную с профессиональной деятельностью журналистов. Например, телефоны заражались перед посещением важных мероприятий.
- Телефон Марии Епифановой был успешно заражен «Пегасом» примерно 18 августа 2020 года — вскоре после того, как Мария аккредитовалась на первую пресс-конференцию белорусского оппозиционного лидера Светланы Тихановской в Вильнюсе. Пока это самый ранний известный пример заражения «Пегасом» российского журналиста где бы то ни было.
- В случае Эрлиха и Павлова нет предположений, к каким событиям было «приурочено» заражение. Их телефоны впервые атаковали примерно 28-29 ноября 2022 года. И еще примерно 24 апреля 2023 года телефон Павлова был атакован повторно (в отличие от случая с Эрлихом, по поводу Павлова неясно, были ли атаки успешными).
- Аппарат известного российского журналиста, живущего в Литве (его имя в отчете расследователей не упоминается по его просьбе), попытались взломать (неудачно) приблизительно 15 июня 2023 года. Днем позже, 16 июня, он запланированно приезжал в Ригу — на закрытое мероприятие для российских журналистов в изгнании, организованное Baltic Centre for Media Excellence, DW Academy и Sustainability Foundation.
- Телефон известной белорусской журналистки, диссидентки, редактора новостного сайта Charter97.org Натальи Радиной, живущей в Варшаве, заражался «Пегасом» трижды — примерно 2 и 7 декабря 2022 года, а также примерно 16 января 2023 года. Первое проникновение было совершено через день после участия Радиной в Вильнюсском антивоенной конференции, которую устраивал «Форум свободной России».
- Телефон белорусского активиста, живущего в Литве (в отчете он анонимен), был взломан в 2021 году, примерно 25 марта — в этот день белорусская оппозиция отмечает «День свободы», с отсылкой к провозглашению Белорусской Народной Республики в 1918 году.
- Аппарат живущего в Варшаве известного белорусского оппозиционного политика, кандидата на президентских выборах Беларуси 2010 года (второй результат после Лукашенко) Андрея Санникова был заражен «Пегасом» примерно 7 сентября 2021 года. В этом случае нет догадок, с чем конкретно это могло быть связано.
Россияне и казус Павлова
Версия, что за уехавшими из России журналистами могли следить европейские, в том числе латвийские спецслужбы — была среди «рабочих» у экспертов Citizen Lab и Access Now еще во время расследования дела издателя «Медузы» Галины Тимченко.
Латвийские спецслужбы и политики тогда не стали комментировать Rus.LSM.lv, есть ли у Латвии «Пегас». Однако эксперты, отслеживающие следы применения этой программы во всем мире, заявляли о почти уверенности в том, что — есть: такие признаки Citizen Lab впервые обнаружил в 2018 году. Об этом свидетельствуют «следы»: «выносимые» программой с телефонов данные хранятся на серверах в стране (в обзоре Citizen Lab был упомянут Lattelecom).
Но случай Павлова выбивается из общего ряда; он на сегодня — единственная известная жертва «Пегаса» с гражданством Латвии
(была ли атака успешной, установить не удалось, но о самом факте атаки эксперты в отчете пишут, как об установленном). Проверки смартфонов еще нескольких латвийских журналистов, получавших тревожные сообщения от Apple, не выявили ни заражений, ни попыток.
У Евгения Эрлиха, впрочем, есть гипотеза, почему «казус Павлова» мог быть случайностью.
«У меня на продюсерскую компанию были зарегистрированы несколько мобильных телефонов, — их я раздал журналистам, которые работали в моей программе “Балтия. Неделя”. В том числе Жене Павлову. А также моей супруге, которая в итоге тоже получила сообщение о попытке взлома.
Возможно, спецслужбы не знали, где чей именно телефон, и “били по площадям”»,
— предположил в разговоре с Rus.LSM.lv Евгений Эрлих.
Опубликованное сегодня расследование Access Now и Citizen Lab косвенно согласуется с этой версией.
Согласно отчету экспертов, телефоны Павлова и Эрлиха взламывали практически одновременно — 28-29 ноября 2022 года. И — главная улика: в обоих случаях атака осуществлялась с одного аккаунта электронной почты Apple ID. (было ли такое же совпадение с телефоном супруги Эрлиха, выяснить не удалось: данные в нем были уничтожены «откатом» настроек к заводским).
Остались следы
Это не единственное подобное совпадение.
Судя по оставленным «следам», с еще одного аккаунта Apple ID повторно взламывали телефон Павлова (Латвия), белорусской журналистки Радиной (Польша) и российского журналиста (Литва).
С третьего аккаунта — повторно проникли в аппарат Радиной (Польша) и Санникова (Польша).
Перекрестные совпадения целей, возможно, указывают на то, что «автор» всех этих атак — одна и та же спецслужба,
но пользующаяся несколькими Apple ID, допускает представитель Access Now Наталья Крапива. Как минимум — есть четкое свидетельство, что один оператор стоит за атаками на трех человек в Латвии, Литве и Польше, говорится в отчете.
«Кто ответственен?»
В Access Now и Citizen Lab пока не могут сообщить, из какой страны (или стран) осуществлялись атаки, но сужают круг вероятных причастных. Россия и Беларусь — не исключены, но крайне маловероятны: не было и нет признаков, что эти страны имеют доступ к «Пегасу», сообщают авторы расследования. То же самое касается и Литвы. Польша, как сообщалось ранее, прекратила использовать комплекс в 2021 году.
У Латвии Pegasus, скорее всего, есть, но ранее не было признаков, чтобы местный оператор системы заражал телефоны за пределами страны,
указывают авторы расследования.
У Эстонии другой послужной список: согласно отчету, она активно использовала Pegasus и на своей территории, и за рубежом, в том числе во многих странах ЕС.
«Мы предполагаем, что, если за этими атаками стоит одна страна Балтии, например, Эстония, то, судя по некоторым деталям расследования, скорее всего, она действовала не без участия или по крайней мере информирования других государств Балтии — Латвии и Литвы», — заявила Rus.LSM.lv представитель Access Now Наталья Крапива.
Кто чем дышит. На самом деле
«Прийти к умозаключению, что это могли быть европейские или конкретно латвийские спецслужбы — очень логично, но я не делаю таких выводов. Все еще не хватает фактов», — сообщила Rus.LSM.lv Мария Епифанова.
Версию про российский след она со счетов тоже не сбрасывает. Но вот что странно, говорит Епифанова: Службе государственной безопасности Латвии должно было бы быть интересно, если кто-то посторонний пытается извлечь информацию из телефонов жителей страны, которую она защищает.
Ведь «Пегас» — это не какой-то юный хакер, а чьи-то спецслужбы.
Обращались ли латвийские спецслужбы к Марии по поводу атаки на ее телефон? Нет, отвечает гендиректор «Новой газеты Европа».
Просто спецслужбы хотят понять, чем эти россияне дышат, предлагает свое объяснение Евгений Эрлих. И сразу оговаривается: это не рабочая версия, а «паранойя журналиста Эрлиха». Она вкратце такова.
После начала войны спецслужбы всех европейских стран пересмотрели концепцию этих «странных понаехавших к ним русских». Поскольку шпионы и спецслужбы — люди системные, там могут рождаться конспирологические теории. Например, а не являются ли эти россияне заброшенными сюда агентами?
Открывают тут свои якобы независимые СМИ, а на самом деле — шпионят для Кремля. А давайте мы их проверим, а то мало ли. Тем более что эти журналисты, освещая Латвию и Балтию, нередко позволяли себе отнюдь не комплиментарный взгляд.
В ответ на вопрос Rus.LSM.lv — а вы бы на месте спецслужб не проверяли бы такого журналиста Эрлиха? — журналист Эрлих соглашается. Наверное, проверял бы: «По программе ВНЖ в обмен на инвестиции в Латвию за все годы приехало множество россиян. Мы общаемся, у нас есть свое комьюнити. Люди разные, но почти все социально активные, большинство москвичи. Не миллионеры, но есть и вполне серьезные бизнесмены средней руки. И почти все наше комьюнити — прямо сильно антипутинское.Так вот, очень многих местные спецслужбы вызвали на разговор. Не сразу, через пару-тройку лет жизни в Латвии. И все подписывали документ о неразглашении [содержания] этого разговора. Поэтому, когда вы говорите, с чего бы службам безопасности реагировать на Эрлиха — я говорю: вызывали учителей, юристов, айтишников. Очень лояльно относящихся к Латвии. Я спецслужбистов понимаю: они занимаются безопасностью, а главная опасность сегодня — Россия.
Поэтому у меня, может быть, есть свои претензии: это довольно серьезная история про негласный контроль со стороны госструктур. Но и понимание тоже есть.
Как мы живем [после взлома телефона]? Нам нечего скрывать. Все, что про нас могли узнать — видимо, узнали. Ну, не арестовали пока…»
Вместо постскриптума. Перезагружайтесь чаще!
Известные правила «гигиены» телефона против взлома — регулярно его перезагружать (выключать и включать заново), сразу загружать все доступные обновления.
- Выставите режим исчезающих сообщений во всех мессенджерах, советует эксперт Access Now Наталья Крапива. Если ваш телефон все-таки заразят, «пролезшему» в него достанется гораздо более короткая история вашей переписки.
- Периодически меняйте пароли. Это тоже хорошая практика, ведь злоумышленники могут украсть доступ к вашим паролям через password manager на вашем устройстве.
- Если опасаться не «Пегаса», а других программ, например Predator, которые «1-click» (для заражения телефона нужно действие — кликнуть на ссылку, открыть файл и т д), то важно не нажимать на ссылки и перепроверять, от кого пришло сообщение.
