"Pegasus — это очень плохой знак". Эксперт по цифровым правам о том, кто мог заразить телефоны журналистов в Латвии

В середине сентября "Медуза" сообщила, что телефон гендиректора и сооснователя издания Галины Тимченко был заражен довольно дорогой и редкой шпионской программой Pegasus. За заражением, по мнению экспертов в сфере кибербезопасности, скорее всего, стоят спецслужбы. Под подозрением в том числе и Служба госбезопасности Латвии.

Delfi поговорил с юристом международной неправительственной организацией Access Now Натальей Крапивой о том, что известно об использовании Pegasus в Латвии и странах Балтии, кто может оказаться объектом цифровой слежки, что нужно делать в случае возникновения подозрений и главное — насколько вероятно, что телефон издателя "Медузы" и других живущих в Латвии журналистов заразила именно СГБ.

Pegasus, изначально предназначавшийся для борьбы с террористами, далеко не впервые используют для слежки за журналистами и активистами — он позволяет злоумышленникам скрытно получить почти полный контроль над устройством. При этом разработчик программы, израильская компания NSO Group, утверждает, что продает ее только государственным ведомствам — и исключительно "союзникам США и Израиля". Исходя из этого "Медуза", Access Now и канадская лаборатория по вопросам кибербезопасности Citizen Lab пришли к выводу, что за атакой на Тимченко, судя по всему, стояли спецслужбы одной из европейских стран (в числе подозреваемых — разведки Латвии, Германии или Эстонии).

Заметить заражение практически невозможно. В случае "Медузы" поводом для начала расследования стало уведомление от Apple, в котором говорилось, что айфон Тимченко могли атаковать проправительственные хакеры. Вскоре после публикации расследования еще несколько журналистов рассказали, что получали такие же предупреждения. Среди них — бывший шеф-редактор программы "Балтия. Неделя" телеканала "Настоящее время" Евгений Эрлих, генеральный директор "Новой газеты. Европа" Мария Епифанова и латвийский журналист Евгений Павлов, сотрудничающий, в том числе, с "Новой газетой. Балтия".

Эксперты затрудняются сказать, сколько стоит взлом одного устройства с помощью Pegasus, но очевидно, что это очень недешевый софт. Старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон говорит, что просто за доступ к программе правительства платят "миллионы долларов". Судя по имеющимся данным, что каждый подобный контракт предполагает сразу несколько заражений: "Например, государство-клиент может приобрести пакет с 20 заражениями — это означает, что одновременно под наблюдением могут находиться 20 человек".

О Латвии в расследовании написано не так много. Расскажите чуть подробнее, что известно о доступе латвийских спецслужб к Pegasus. Насколько вы уверены, что он есть у Службы госбезопасности (СГБ) и что она его применяет?

NSO Group — давно известная компания, которая производит это вредоносное программное обеспечение. Оно уже стало визитной карточкой диктаторов, которые преследуют и следят за журналистами, активистами и оппозиционерами. К сожалению, как мы узнали из [прошлогодних] слушаний в Европарламенте, это программное обеспечение используют как минимум 14 стран ЕС. Комитет [ЕП по расследованию использования Pegasus и аналогичного шпионского программного обеспечения для наблюдения] не назвал все эти страны, но из расследования Citizen Lab мы знаем, что Латвия была среди них. Как минимум с 2018 года Латвию подозревают в том, что здесь использовали Pegasus. Citizen Lab фиксирует активность серверов, которые находятся в этой стране и ассоциируются именно с NSO и Pegasus. В основном, активность идет в пределах страны. Заражения продолжаются и сейчас.

Эстония — другой предполагаемый клиент Pegasus, который, судя по расследованиям Citizen Lab, активно его использует. По имеющимся данным, заражения происходят и за пределами страны. Мы назвали правительство Эстонии потенциальным подозреваемым, потому что телефон Галины Тимченко в феврале был заражен в Берлине. Есть основание полагать, что, возможно, за этим стояла и Германия, на территории которой Тимченко находилась в тот момент.

Мы ожидали, что будет очень много спекуляций, связанных с тем, кто за этим стоит, спекуляций, может быть, не всегда оправданных фактами. Чтобы обосновать наши заключения, мы выложили все известные на сегодняшний день факты. Мы надеемся, что журналисты, особенно в тех странах, которые мы назвали, смогут провести собственные расследования и добиться большей информации от властей.

Известно ли о ком-то, кто за эти пять лет подвергся атакам с использованием Pegasus на территории Латвии?

Я не знала о таких случаях до июля 2023 года (уведомление от Apple о вероятном заражении пришло на айфон Тимченко в конце июня — прим. Delfi). Дело в том, что зачастую жертвы такого рода вредоносного ПО предпочитают по разным причинам не указывать свое личность. Одновременно с Галиной оповещения от Apple пришли и другим людям. Некоторые из них уже говорили с прессой. Я не могу давать комментарии по поводу конкретных людей, которые к нам обратились, потому что мы гарантируем их конфиденциальность.

К нам [после выхода расследования] обратилось очень много людей. Есть потенциальные жертвы в Латвии и других балтийских странах. Я думаю, в ближайшие несколько недель мы узнаем больше о жертвах, найдем подтвержденные заражения. Исходя из этого анализа, мы сможем лучше понимать, кто за этим стоит и какие у них были мотивы.

От редакции: Служба госбезопасности, отвечая на запрос Delfi, сообщила, что никакой дополнительной информации о возможной атаке на телефон Галины Тимченко у нее нет. "С учетом специфики работы службы и имеющую основания секретность, СГБ не комментирует, какие средства она использует или не использует в своей работе", — говорится в ответе ведомства. СГБ также отмечает, что случаи, связанные с нарушением тайны корреспонденции или информации, передающейся по электронным сетям, находится в ведении Госполиции.

Сколько обращений, связанных с Латвией, за прошедшие с момента публикации две недели получил Access Now?

Много. Я думаю, что десятки, но нужно понимать, что некоторые люди просто забеспокоились.