как бы сам упал к ним в руки через несколько месяцев работы Доннчи. Сотрудница Amnesty International из Саудовской Аравии связалась с ними по поводу сообщения в WhatsApp, которое она только что получила от незнакомого человека; это было срочное предупреждение о протесте, который должен был состояться перед посольством Саудовской Аравии в Вашингтоне. "Нам нужна ваша поддержка, пожалуйста", — говорилось в сообщении, и ей предлагалось перейти по ссылке для получения дополнительной информации. Сотрудницу ИИ уже предупреждали о новом оружии киберслежки, нацеленном на мобильные телефоны, и она беспокоилась, что кто-то пытается совершить подобную атаку на нее. Клаудио и Донча согласились, что у нее есть причины для беспокойства, и провели расследование.

Изучив сообщение и ссылку, они смогли выявить причуду подписи в настройках домена и сервера. Это сообщение WhatsApp и ссылка были тщательно продуманы, чтобы скрыть любую информацию об атаке и личность злоумышленника. Ссылка и конечный сервер были настроены особым образом. Любая попытка открыть несуществующую страницу на сервере не приводила к типичному сообщению "Not Found"; сервер просто не отвечал на запрос, чтобы не насторожить жертву. Это уже наводило Клаудио и Доннча на мысль, что они имеют дело не с обычным спамом или киберпреступной атакой.

Но это еще не все.

Алгоритм шифрования на сервере был тщательно настроен для обеспечения дополнительной безопасности. Парадоксально, но все эти дополнительные заботы операторов помогли Клаудио и Доннче изолировать и идентифицировать эти серверы, потому что они выделялись как уникальные. Они отличались от всех остальных серверов в Интернете.

Когда Клаудио и Донча составили карту этой конфигурации, у них появился своего рода цифровой отпечаток пальца. Затем они провели сканирование Интернета летом 2018 года, буквально подключившись к каждому серверу в сети, в поисках других, имеющих такую же конфигурацию, такой же цифровой отпечаток. Они обнаружили почти шестьсот отдельных совпадающих серверов, которые служили стартовыми площадками для соответствующих шпионских атак.

Шансы выяснить происхождение этих серверов и доменных имен, которыми они владели, были бы невелики, если бы не несколько ранних криминалистических расследований, проведенных Citizen Lab при Университете Торонто. Исследователи из Citizen Lab уже несколько лет преследовали одного конкретного провайдера киберслежки. В 2016 году они не только нашли доказательства того, что шпионское ПО этой компании успешно заразило мобильный телефон правозащитника в Объединенных Арабских Эмиратах, но и смогли собрать воедино всю сетевую инфраструктуру компании. Среди прочего, они обнаружили сотни доменных имен, связанных с серверами компании. Citizen Lab опубликовала многие из них для всеобщего обозрения.

Компания отреагировала мгновенно, перестроив всю систему, составляющую ее "анонимизирующую сеть передачи данных", и изменив доменные имена. Но компания допустила важную ошибку: она повторно использовала два доменных имени из своей предыдущей версии: pine-sales[.]com и ecommerce-ads[.]org.

Так Клаудио и Донча их и поймали. Они нашли эти доменные имена в новой инфраструктуре, и это подсказало им, кто управляет системой. Это была NSO Group. Это был Pegasus. "Каждый инсталляционный сервер Pegasus или сервер управления и контроля (C&C) размещал веб-сервер на порту 443 с уникальным доменом и сертификатом TLS", — пишут они. "Эти пограничные серверы затем проксировали соединения через цепочку серверов, названную NSO Group "анонимной сетью передачи данных Pegasus"".

Поиск новых доменов Pegasus, соответствующих отпечатку пальца, также привел Клаудио и Дончу ко второй жертве. Яхья Ассири был бывшим офицером королевских ВВС Саудовской Аравии, который стал нежелательной занозой в боку саудовской королевской семьи. Под угрозой физической расправы Ассири бежал из родной страны, однако ему удалось создать в Саудовской Аравии сеть правозащитников и продолжить острую критику правящей монархии. Он публично ставил под сомнение религиозность саудовской королевской семьи, ее управление, плохое обращение с обнищавшими подданными и склонность к варварским наказаниям, таким как побивание камнями, порка, отсечение конечностей и обезглавливание. Другими словами, Асири говорил такие вещи, которые сами по себе навлекали на него подобные наказания. "Это абсолютная монархия, которая не позволяет своим гражданам участвовать в управлении своей страной", — сказал Ассири одному западному изданию. "Они используют ислам как оправдание для эксплуатации собственного народа. Это противоречит фундаментальным исламским учениям". Он призвал королевскую семью написать национальную конституцию, которая отстаивала бы демократические институты и обеспечивала бы справедливое и честное, но менее смертоносное верховенство закона. Или же он хотел, чтобы они уступили власть. В ответ королевская семья дала понять, что хочет получить скальп Яхьи Асири.

Когда Клаудио и Доннча проверили телефон Ассири, они обнаружили SMS-сообщение от мая 2018 года со ссылкой, приглашающей его войти во вредоносную инфраструктуру, созданную NSO. Эта находка дала паре два отдельных доказательства того, что кто-то в Королевстве Саудовская Аравия управлял системой Pegasus компании NSO, и они сделали эту находку за несколько месяцев до убийства саудовского журналиста-диссидента Джамаля Хашогги.

Amnesty International опубликовала результаты исследования, а затем и список всех доменных имен, связанных с атаками NSO. Дэнна Инглтон обрушилась на компанию с критикой: "Amnesty International не будет безучастно наблюдать за тем, как такие компании, как NSO Group, наживаются на продаже своего инвазивного программного обеспечения Pegasus репрессивным государствам по всему миру". Citizen Lab поддержала Клаудио и Доннча своими собственными выводами. Но все это не оказало большого влияния.

Инженерам компании NSO пришлось потратить время и деньги на то, чтобы заново создать всю эту инфраструктуру, в результате чего было закрыто еще шестьсот доменных имен. Прощайте alldaycooking и bargainservice и br-travels и buypresent4me и centrasia-news и classic-furnitures и easybett и freshsaladtoday и islam-today и mapupdatezone и movie-tickets и novosti247 и pine-sales и rockmusic4u и turismo-aqui и waffleswithnutella. Привет сотням новых банально выглядящих доменных имен, способных запустить одно из самых мощных кибероружий на рынке. NSO, тем временем, даже не потрудилась оспорить какую-либо конкретику в отчете Amnesty Tech. Компания просто выпустила скудное заявление о том, что ее технология лицензирована только для государственных учреждений и только для того, чтобы помочь им противостоять террористам и преступникам. Любое злоупотребление, по словам NSO, "противоречит… ценностям, которые мы отстаиваем".

Министерство обороны Израиля отклонило требование Amnesty International отозвать экспортную лицензию NSO из-за вопиющего насилия над сотрудниками AI. Суд в Тель-Авиве отклонил требование об отзыве лицензии, выдвинутое в иске, поданном Amnesty и другими организациями. Когда суд вынес решение в пользу NSO, неназванный представитель компании воспользовался победой, чтобы похвастаться: "Нормативная база, в которой мы работаем, соответствует самым высоким международным стандартам". А также для ругани: "У наших недоброжелателей, выдвигающих необоснованные обвинения в угоду собственным интересам, нет ответа на вызовы безопасности XXI века".

Но этот опыт имел реальные и серьезные последствия в берлинском офисе Amnesty Tech, который