Технический отдел "Медузы" начал проверку во второй половине июня после того, как Тимченко получила уведомление от компании Apple о возможной атаке "проправительственных хакеров" на ее айфон. Ситуацию изучали вместе с международной неправительственной организацией Access Now, которая специализируется на защите цифровых прав и цифровой безопасности, и исследователями из канадской лаборатории по вопросам кибербезопасности Citizen Lab.
Выяснилось, что 10 февраля 2023 года смартфон Тимченко заразили шпионской программой Pegasus — она открывает хакерам доступ к звуку, камере и памяти айфона, в который вставлена сим-карта, а также позволяет читать сообщения прямо с экрана и выкачивать их копии. "Медуза" утверждает, что таким образом злоумышленники могли узнать содержимое переписок (в том числе в зашифрованных мессенджерах) и личную информацию Тимченко, в том числе расписание ее встреч.
Примечательно, что на следующий день издатель "Медузы" участвовала в конференции независимых российских журналистов в Берлине (там Тимченко находилась и в день заражения). "Телефон Галины [вполне] могли использовать как жучок — чтобы послушать, что там планируют российские журналисты", — отмечает эксперт Access Now Наталья Крапива, исследующая распространение Pegasus.
Эту программу разработала израильская компания NSO Group, ее продают исключительно государственным клиентам по всему миру, в первую очередь силовикам и разведчикам. Как утверждают создатели, их разработка предназначена для слежки за террористами, однако правительства по всему миру используют ее против независимых журналистов, активистов и оппозиционеров: подобные случаи были зафиксированы в Саудовской Аравии, ОАЭ, Таиланде и других странах.
Эксперты затрудняются сказать, сколько стоит взлом одного устройства с помощью Pegasus. Старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон говорит, что просто за доступ к этой программе правительства платят "миллионы долларов". Как уточняет Крапива, каждый подобный контракт предполагает сразу несколько заражений: "Например, государство-клиент может приобрести пакет с 20 заражениями — это означает, что одновременно под наблюдением могут находиться 20 человек".
Противостоять установке Pegasus, отмечает "Медуза", практически невозможно — для взлома достаточно, чтобы на смартфоне было установлено хотя бы одно уязвимое приложение. Анализ Citizen Lab показал, что в случае Тимченко хакеры, скорее всего, использовали встроенные в айфон приложения от Apple: HomeKit и iMessage.
Хотя сама Тимченко в первые дни после выявления заражения подумала, что за атакой стоят российские спецслужбы, помогавшие "Медузе" эксперты уверены: свидетельств того, что Москва имеет доступ к Pegasus, нет. Им обладают близкие к РФ Казахстан и Азербайджан, однако эти государства обычно не применяют программу за рубежом (исключение — армянские граждане в случае Азербайджана).
Более вероятным Citizen Lab и Access Now считают сценарий, при котором телефон Тимченко заразили европейские спецслужбы. В Латвии эксперты впервые зафиксировали активность, связанную с Pegasus, еще в 2018 году, а Эстония купила доступ к программе год спустя. При этом спецслужбы в Таллине, предполагают специалисты, уже использовали израильскую разработку для заражения целей за границей, а их латвийские коллеги — нет (с другой стороны, в айфоне Тимченко была установлена именно латвийская сим-карта). Власти ФРГ, где в момент взлома находилась Тимченко, признали сотрудничество с NSO Group еще в 2021 году.
Служба государственной безопасности (СГБ) Латвии сообщила "Медузе", что "не обладает информацией о возможной атаке на смартфон Галины Тимченко". На другие вопросы ведомство отвечать не стало, сославшись на секретный характер сведений "о материально-техническом обеспечении", "тактик контрразведки" и "приобретениях". Спецслужбы Эстонии и Германии проигнорировали просьбы журналистов о комментарии.
"Я абсолютно потрясен тем, что мы всерьез обсуждаем, что это могли сделать европейские правительства. Наверное, я наивный, но мне это казалось невозможным. Последствия могут быть разрушительными, и речь не только о медиа в изгнании, но и вообще о медиа в Европе: если такой софт мог быть установлен на телефон журналиста из России, непонятно, что может удержать европейские спецслужбы от того, чтобы заразить вообще любого журналиста", — говорит главный редактор "Медузы" Иван Колпаков.
Access Now рассматривает заражение телефона Тимченко как по крайней мере четвертый эпизод в серии похожих атак. Все они произошли в Европе за последний год. "Медуза" утверждает, что редакции известны подробности, но жертвы атак не готовы публично о них рассказать.
