Ще гаджети двох журналістів зламали за допомогою шпигунського програмного забезпечення Paragon

Нове дослідження підтвердило, що  двох європейських журналістів було зламано за допомогою урядового шпигунського програмного забезпечення, розробленого ізраїльським постачальником технологій спостереження Paragon.

У четвер група з цифрових прав The Citizen Lab опублікувала новий звіт, у якому детально описані результати нового судово-медичного розслідування iPhone італійського журналіста Сіро Пеллегріно та неназваного «відомого» європейського журналіста. Дослідники заявили, що обох журналістів зламав один і той самий клієнт Paragon , ґрунтуючись на доказах, знайдених на пристроях обох журналістів. 

Досі не було жодних доказів того, що Пеллегріно, який працює на новинному веб-сайті Fanpage , став мішенню або був зламаний за допомогою шпигунського програмного забезпечення Paragon. Коли Apple попередила його наприкінці квітня , у повідомленні йшлося про атаку шпигунського програмного забезпечення найманців, але не згадувалося конкретно про Paragon, а також про те, чи був його телефон заражений цим шпигунським програмним забезпеченням.

Підтвердження першого в історії відомого зараження Paragon ще більше поглиблює скандал зі шпигунськими програмами, який наразі, схоже, зосереджений переважно на використанні шпигунського програмного забезпечення італійським урядом, але може поширитися на інші країни Європи.

Ці нові викриття з'явилися через кілька місяців після того, як WhatsApp вперше повідомив близько 90 своїх користувачів у понад двох десятках країн Європи та за її межами, включаючи журналістів, про те, що вони стали жертвами шпигунського програмного забезпечення Paragon, відомого як Graphite. Серед жертв було кілька італійців, зокрема колега Пеллегріно та директор Fanpage Франческо Канчелато , а також працівники некомерційних організацій, які допомагають рятувати мігрантів у морі. 

Минулого тижня парламентський комітет Італії, відомий як COPASIR, який контролює діяльність розвідувальних служб країни, опублікував звіт, у якому зазначалося, що не знайшов жодних доказів того, що за Канчелато стежили . У звіті, який підтверджував, що внутрішні та зовнішні розвідувальні служби Італії AISI та AISE були клієнтами Paragon, Пеллегріно не згадувався. 

Новий звіт Citizen Lab ставить під сумнів висновки COPASIR. 

«Тиждень тому здавалося, що Італія покладе край цьому скандалу. Тепер їм доведеться зважитися на нові судово-медичні докази», – сказав TechCrunch Джон Скотт-Рейлтон, старший науковий співробітник The Citizen Lab, перед публікацією звіту. «Справа Сіро додає ще одного великого та політично складного питання: хто зламував італійських журналістів за допомогою шпигунського програмного забезпечення Paragon? Ця таємниця потребує відповіді».

Скотт-Рейлтон сказав, що Citizen Lab вважає, що уряд Італії має можливість остаточно відповісти на питання про те, що було зроблено з використанням ними шпигунського програмного забезпечення Paragon, особливо щодо справи Сіро.

Пеллегріно заявив TechCrunch, що, на його думку, його громадянські права були «розтоптані». 

«Я розумію, що прем’єр-міністр Мелоні — професійна журналістка, як і я (я журналіст з 2005 року, вона з 2006 року)», — сказав Пеллегріно TechCrunch. «Чи піклується вона про права таких працівників? Чому вона жодним словом не висловила солідарності з журналістами, за якими стежили?»

Після того, як Канчелато повідомив, що на нього було встановлено шпигунське програмне забезпечення, італійський уряд опублікував прес-реліз, в якому заперечував свою причетність до нападів на будь-якого журналіста чи правозахисника. 

Той факт, що Канчелато та Пеллегріно працюють в одному й тому ж видавництві, свідчить про те, що вони можуть бути частиною «кластера» цілей, згідно зі звітом Citizen Lab. 

Пеллегріно заявив, що він не працював над гучним розслідуванням Fanpage щодо «Gioventù Meloniana», групи, що входить до партії Мелоні «Fratelli d'Italia», яка виявила, що деякі її члени симпатизують фашизму. Пеллегріно, який очолює неаполітанське бюро Fanpage, також сказав, що не працював над жодним розслідуванням щодо імміграції. 

«Можливо, хтось сподівався отримати інформацію про Fanpage, зламавши мій смартфон», – сказав Пеллегріно. 

TechCrunch звернувся до прес-служби COPASIR, прес-служби парламенту Демократичної партії (Partito Democratico), член якої Лоренцо Геріні очолює COPASIR, та уряду Італії. Жоден з них не відповів на наші запити про коментар. 

Посилаючись на електронний лист, надісланий TechCrunch компанії Paragon та її виконавчому голові Джону Флемінгу, Емілі Горн, яка працює в WestExec Advisors, заявила, що виробник шпигунського програмного забезпечення «не матиме нічого нового з цього приводу», окрім того, що компанія заявила на початку цього тижня . У той час Paragon повідомила ізраїльській газеті Haaretz , що пропонувала італійському уряду допомогу в розслідуванні ймовірного злому Канчелато, але уряд відмовився — і саме тому компанія розірвала зв'язки з Італією. 

З'являються нові докази судово-медичної експертизи

29 квітня 2025 року відомий європейський журналіст отримав повідомлення від Apple, таке саме, як і Пеллегріно, і того ж дня, повідомляє Citizen Lab. Дослідники лабораторії проаналізували пристрої неназваного журналіста та виявили, що один з них був заражений Graphite, на основі судово-медичних доказів, які свідчать про те, що шпигунське програмне забезпечення зв'язувалося із сервером, який, як раніше встановили дослідники з «високою впевненістю», був частиною інфраструктури Paragon. 

Citizen Lab заявила, що журналіста було зламано за допомогою «складної атаки без кліків на пристрій через iMessage», виходячи з того, що дослідники виявили певний обліковий запис iMessage, «присутній у журналах пристрою приблизно в той самий час, коли телефон зв’язувався із сервером Paragon». 

Зломи без кліків є одними з найефективніших атак, враховуючи, що, як випливає з назви, вони не потребують взаємодії з боку цілі. І в цьому випадку Citizen Lab заявила, що, на її думку, атака була непомітною для жертви. 

Згідно зі звітом, Apple повідомила Citizen Lab, що «атака, застосована в цих випадках, була пом’якшена в iOS 18.3.1», яка була випущена 10 лютого 2025 року , приблизно через два тижні після того, як WhatsApp повідомив цілі про шпигунське програмне забезпечення Paragon.

Apple не відповіла на запит TechCrunch про коментар до публікації. 

У випадку з Пеллегріно, Citizen Lab заявила, що знайшла той самий обліковий запис iMessage у журналах його iPhone. Враховуючи, що для кожного урядового клієнта типово мати власну інфраструктуру шпигунського програмного забезпечення, Citizen Lab вважає, що Пеллегріно та неназваний журналіст, ймовірно, були ціллю одного й того ж оператора Paragon. 

iPhone журналіста, чиє ім'я не наведено, був заражений у січні та на початку лютого, повідомила Citizen Lab. 

Згідно зі звітом COPASIR, Paragon та її італійські клієнти з розвідки призупинили роботу систем спостереження компанії 14 лютого 2025 року, а це означає, що шпигунські агентства AISE та AISI все ще використовували шпигунське програмне забезпечення Paragon, коли відомого європейського журналіста було зламано.  

Наразі Citizen Lab не приписує жодному уряду хакерські атаки Пеллегріно та іншого неназваного європейського журналіста. 

У звіті Citizen Lab зазначила, що можливо, що деякі люди, яких повідомили про атаку Graphite через WhatsApp, також були інфіковані, але через обмежену кількість журналів Android, а також «зусилля Paragon щодо видалення слідів зараження», підтвердити це може бути неможливо. 

Виявлено інших жертв графіту

Окрім Пеллегріно та неназваних журналістів, наразі підтверджено, що ще дві особи стали мішенню шпигунського програмного забезпечення Paragon: Лука Касаріні та Беппе Качча , які обидва працюють в італійській некомерційній організації Mediterranea Saving Humans , що рятує іммігрантів, що намагаються перетнути Середземне море. Citizen Lab підтвердила, що обидва були заражені після аналізу їхніх пристроїв. У своєму звіті COPASIR підтвердила, що за ними двома стежили італійські розвідувальні служби.

Є й інші люди, які заявили, що отримували повідомлення про те, що їх переслідували. Однак їхні справи досі дещо незрозумілі. 

Девід Ямбіо, громадянин Судану, президент і співзасновник Refugees in Libya , некомерційної організації, що працює в Італії та займається питаннями імміграції, отримав сповіщення від Apple. Після аналізу його пристрою Citizen Lab заявила, що виявила сліди зараження шпигунським програмним забезпеченням, але не змогла пов’язати компрометацію з конкретним виробником шпигунського програмного забезпечення чи будь-яким урядом. 

COPASIR заявив, що Ямбіо був законною ціллю італійських розвідувальних служб, але не за допомогою Graphite. COPASIR додав, що Ямбіо перебуває під наглядом судових органів країни для кримінального розслідування. Телефон Ямбіо був зареєстрований на Маттіа Феррарі, священика, який співпрацює з Mediterranea. 

Ferrari також отримав сповіщення про шпигунське програмне забезпечення від WhatsApp. Однак COPASIR заявив, що не знайшов жодних доказів того, що його атакували за допомогою графіту. 

Скотт-Рейлтон сказав, що судово-медична та технічна експертиза Citizen Lab триває у всіх справах, включаючи Канчелато.