В феврале 2023 года на телефон сооснователя и издателя "Медузы" Галины Тимченко установили шпионскую программу Pegasus, благодаря которой злоумышленники могли получить всю информацию о работе издания. Заражение выявили только в июне, внутреннее расследование, проведенное совместно со специалистами по кибербезопасности, показало: вероятно, следить за руководителем одного из крупнейших русскоязычных независимых СМИ могла спецслужба страны ЕС.
Технический отдел "Медузы" начал проверку во второй половине июня после того, как Тимченко получила уведомление от компании Apple о возможной атаке "проправительственных хакеров" на ее айфон. Ситуацию изучали вместе с международной неправительственной организацией Access Now, которая специализируется на защите цифровых прав и цифровой безопасности, и исследователями из канадской лаборатории по вопросам кибербезопасности Citizen Lab.
Выяснилось, что 10 февраля 2023 года смартфон Тимченко заразили шпионской программой Pegasus — она открывает хакерам доступ к звуку, камере и памяти айфона, в который вставлена сим-карта, а также позволяет читать сообщения прямо с экрана и выкачивать их копии. "Медуза" утверждает, что таким образом злоумышленники могли узнать содержимое переписок (в том числе в зашифрованных мессенджерах) и личную информацию Тимченко, в том числе расписание ее встреч.
Примечательно, что на следующий день издатель "Медузы" участвовала в конференции независимых российских журналистов в Берлине (там Тимченко находилась и в день заражения). "Телефон Галины [вполне] могли использовать как жучок — чтобы послушать, что там планируют российские журналисты", — отмечает эксперт Access Now Наталья Крапива, исследующая распространение Pegasus.
Эту программу разработала израильская компания NSO Group, ее продают исключительно государственным клиентам по всему миру, в первую очередь силовикам и разведчикам. Как утверждают создатели, их разработка предназначена для слежки за террористами, однако правительства по всему миру используют ее против независимых журналистов, активистов и оппозиционеров: подобные случаи были зафиксированы в Саудовской Аравии, ОАЭ, Таиланде и других странах.
Эксперты затрудняются сказать, сколько стоит взлом одного устройства с помощью Pegasus. Старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон говорит, что просто за доступ к этой программе правительства платят "миллионы долларов". Как уточняет Крапива, каждый подобный контракт предполагает сразу несколько заражений: "Например, государство-клиент может приобрести пакет с 20 заражениями — это означает, что одновременно под наблюдением могут находиться 20 человек".
Противостоять установке Pegasus, отмечает "Медуза", практически невозможно — для взлома достаточно, чтобы на смартфоне было установлено хотя бы одно уязвимое приложение. Анализ Citizen Lab показал, что в случае Тимченко хакеры, скорее всего, использовали встроенные в айфон приложения от Apple: HomeKit и iMessage.
Хотя сама Тимченко в первые дни после выявления заражения подумала, что за атакой стоят российские спецслужбы, помогавшие "Медузе" эксперты уверены: свидетельств того, что Москва имеет доступ к Pegasus, нет. Им обладают близкие к РФ Казахстан и Азербайджан, однако эти государства обычно не применяют программу за рубежом (исключение — армянские граждане в случае Азербайджана).
Более вероятным Citizen Lab и Access Now считают сценарий, при котором телефон Тимченко заразили европейские спецслужбы. В Латвии эксперты впервые зафиксировали активность, связанную с Pegasus, еще в 2018 году, а Эстония купила доступ к программе год спустя. При этом спецслужбы в Таллине, предполагают специалисты, уже использовали израильскую разработку для заражения целей за границей, а их латвийские коллеги — нет (с другой стороны, в айфоне Тимченко была установлена именно латвийская сим-карта). Власти ФРГ, где в момент взлома находилась Тимченко, признали сотрудничество с NSO Group еще в 2021 году.
Служба государственной безопасности (СГБ) Латвии сообщила "Медузе", что "не обладает информацией о возможной атаке на смартфон Галины Тимченко". На другие вопросы ведомство отвечать не стало, сославшись на секретный характер сведений "о материально-техническом обеспечении", "тактик контрразведки" и "приобретениях". Спецслужбы Эстонии и Германии проигнорировали просьбы журналистов о комментарии.
"Я абсолютно потрясен тем, что мы всерьез обсуждаем, что это могли сделать европейские правительства. Наверное, я наивный, но мне это казалось невозможным. Последствия могут быть разрушительными, и речь не только о медиа в изгнании, но и вообще о медиа в Европе: если такой софт мог быть установлен на телефон журналиста из России, непонятно, что может удержать европейские спецслужбы от того, чтобы заразить вообще любого журналиста", — говорит главный редактор "Медузы" Иван Колпаков.
Access Now рассматривает заражение телефона Тимченко как по крайней мере четвертый эпизод в серии похожих атак. Все они произошли в Европе за последний год. "Медуза" утверждает, что редакции известны подробности, но жертвы атак не готовы публично о них рассказать.