Канадская лаборатория Citizen Lab, занимающаяся исследованиями в области информационной безопасности, опубликовала отчёт о диагностике телефона журналиста New York Times (NYT) Бена Хаббарда. Согласно отчёту, он неоднократно становился мишенью для шпионской программы Pegasus с июня 2018 по июнь 2021 года. Заражение телефона происходило во время работы Хаббарда в Саудовской Аравии и написании книги о наследном принце страны — Мухаммеде ибн Салмане.
По словам Citizen Lab, впервые Хаббард заявил о возможном заражении в группе израильской компании NSO (разработчика программы) в 2020 году. Он боялся, что стал мишенью для Pegasus. Артефакты на смартфоне, свидетельствующие о деятельности Pegasus, присутствуют ещё с 2018 года. Но специалисты Citizen Lab не уверены, что тогда он произошёл именно этой шпионской программой. Два других инцидента произошли в июле 2020 года и июне 2021 года, и в них точно участвовала Pegasus. Специалистам не удалось установить страну, ответственную за взлом.
Подробности взлома в 2021 году исследователи выяснили благодаря эксплойту FORCEDENTRY, найденному в резервной копии iPhone журналиста. Его доставили в 31 вложении, отправленными из учётной записи iMessage. Эксплойт использовался для развёртывания на телефоне Pegasus, в процессе которого в папки Библиотека/Кэш помещался файл.
Следы прошлогоднего взлома Citizen Lab нашла через файл DataUsage.sqlite. 13 июля 2020 специалисты обнаружили свидетельства активности процесса bh. Название процесса соответствует тому, что использует Pegasus в качестве термина, обозначающего начальную стадию вредоносной полезной нагрузки. Как предположили специалисты лаборатории, bh — это сокращение от bridgehead. В резервной копии iPhone от 2021 года записей в файле DataUsage.sqliteуже не было, они были удалены. Как добавила Citizen Lab, в 2020 году клиенты NSO для развёртывания Pegasus использовали преимущественно эксплойт KISMET.
В июне 2018 года, как предполагают специалисты, взлом произошёл через СМС и сообщения в WhatsApp. Они содержали ссылки, ведущие на страницу для загрузки эксплойта KINGDOM и развёртывания Pegasus. NSO опубликовала неофициальное опровержение того, что Хаббарду направляли подобные ссылки. Но специалисты практически уверены, что взлом в этому году связан именно с Pegasus.
В файлах com.apple.identityservices.idstatuscache.plist смартфонов Хаббарда Citizen Lab также обнаружила следы предполагаемого взлома с использованием функции облачных вызовов Apple Thumper. Однако неизвестно, что это было на самом деле — взлом или проверка смартфона на наличие взлома. В нескольких уже изученных достоверных свидетельств заражения есть следы использования Apple Thumper.
Подробности исследования Citizen Lab опубликованы в статье «New York Times Journalist Ben Hubbard Hacked with Pegasus after Reporting on Previous Hacking Attempts».
Бен Хаббард стал одним из журналистов, опубликовавших в середине июля этого года серию статей с результатами журналистского расследования о заражении программой Pegasus телефонов репортёров, активистов, политиков и других общественных деятелей. В них был представлен так называемый «шпионский список» из 50 тысяч потенциальных целей Pegasus. В частности, в списке оказались арабские журналистки, с чьих телефонов скачали личные фотографии, и главы 15 государств. В шпионском списке также обнаружили основателя Telegram Павла Дурова, но он не удивился этому факту. По словам Дурова, Apple и Google участвуют в глобальной программе слежки и намеренно внедряют бэкдоры в свои мобильные операционные системы, чтобы оставить лазейку для государственных спецслужб.
14 сентября Apple выпустила обновление для защиты от слежки Pegasus, заявив что устранила уязвимость в своих операционных системах. Обновления вышли для iOS, iPadOS, watchOS и macOS, начиная с версии Catalina. Citizen Lab подтвердила, что указанные уязвимости были устранены.
