Дослідники підтвердили, що двоє журналістів стали жертвами хакерської атаки з використанням шпигунського ПЗ Paragon
Нові факти про хакерство журналістів в Європі
Дослідження підтвердило, що двох європейських журналістів стали жертвами хакерських атак з використанням урядового шпигунського ПЗ, розробленого ізраїльською компанією Paragon.
В четвер правозахисна організація Citizen Lab опублікувала звіт, що містить результати судово-медичної експертизи, проведеної на iPhone журналіста з Італії Чиро Пеллегріно та невідомого “відомого” європейського журналіста. Дослідники стверджують, що обидва журналісти стали жертвами одного й того ж клієнта Paragon на основі даних, отриманих з їхніх пристроїв.
Досі не було підтвердження, що Пеллегріно, який працює для онлайн-видання Fanpage, був цілеспрямовано атакований чи заражений шпигунським програмним забезпеченням Paragon. Коли в кінці квітня Apple попередила його про можливу атаку, у сповіщенні йшлося про використання меркантиного шпигунського ПЗ, але без згадки Paragon чи факту зараження його телефону.
Підтвердження перших відомих інфекцій Paragon лише підсилює існуючий скандал, який наразі в основному стосується використання шпигунського програмного забезпечення італійським урядом, хоча можливе розширення до інших країн Європи.
Нові факти з’являються через кілька місяців після того, як WhatsApp сповістив приблизно 90 своїх користувачів у більше ніж двух десятках країн, включаючи журналістів, про те, що вони стали жертвами шпигунського ПЗ Paragon, відомого як Graphite. Серед цих журналістів виявився колега Пеллегріно, директор Fanpage Франческо Канчеллато, а також працівники НУО, що допомагають рятувати мігрантів на морі.
Минулого тижня парламентський комітет Італії, відомий як COPASIR, який контролює діяльність розвідувальних агентств країни, опублікував звіт, в якому зазначено, що не знайшли доказів шпигунства за Канчеллато. Звіт підтвердив, що італійські внутрішні та зовнішні розвідувальні агенції AISI та AISE були клієнтами Paragon, але про Пеллегріно не йшлося.
Звіт Citizen Lab ставить під сумнів висновки COPASIR.
“Тиждень тому здавалося, що Італія закриває цю справу. Тепер їй належить розібратися з новими даними”, – заявив Джон Скотт-Рейлтон, старший дослідник Citizen Lab, перед публікацією звіту. “Ситуація з Чиро піднімає важливе питання: хто хакери італійських журналістів за допомогою шпигунського ПЗ Paragon? Цю загадку потрібно розгадати.”
Скотт-Рейлтон зазначив, що Citizen Lab вважає, що італійський уряд здатний дати чіткі відповіді на запитання щодо використання шпигунського ПЗ, особливо у випадку Чиро.
Пеллегріно висловив TechCrunch, що вважає, що його громадянські права були “порушені”.
“Я розумію, що прем’єр-міністр Мелоні – професійний журналіст, як і я (я журналіст з 2005 року, вона – з 2006 року),” – зазначив Пеллегріно. “Чи дбає вона про права таких працівників? Чому вона не висловила жодного слова на підтримку журналістів, які стали жертвами шпигунства?”
Після того, як Канчеллато вказав, що на нього була здійснена атака, італійський уряд опублікував прес-реліз, в якому заперечив свою причетність до атаки на будь-якого журналіста чи правозахисника.
Той факт, що Канчеллато і Пеллегріно працюють в одному виданні, свідчить про можливість існування “кластеру” жертв, за даними звіту Citizen Lab.
Пеллегріно зазначив, що не працював над розслідуванням, яке викликало резонанс у Fanpage щодо “Gioventù Meloniana”, групи, пов’язаної з партією Мелоні Fratelli d’Italia, яка виявила симпатії до фашизму. Як керівник фанпейджу в Неаполі, він також не займався жодним розслідуванням щодо міграції.
“Можливо, хтось сподівався дізнатися інформацію про Fanpage через злам мого смартфона”, – відзначив Пеллегріно.
Італійський уряд не відповів на запит TechCrunch про коментарі.
Представник COPASIR відслав TechCrunch до звіту, опублікованого минулого тижня, зокрема до його частини, де комітет “залишає за собою право проводити подальші розслідування, у тому числі після публікації цього звіту”, у тому числі щодо “потрапляння у мобільні пристрої, про які повідомляли два інших журналісти в останні тижні”.
Окрім Пеллегріно, ще один журналіст в Італії, Моніка Макчіоні, в early травня також отримала сповіщення від Apple. Ймовірно, COPASIR має на увазі її як другого журналіста.
Нові свідчення про шпигунство
29 квітня 2025 року відомий європейський журналіст також отримав сповіщення від Apple, таке саме, як і Пеллегріно, за даними Citizen Lab. Дослідники лабораторії проаналізували пристрої невідомого журналіста і виявили, що один з них був заражений Graphite, спираючись на судово-медичні дані, що показують, що шпигунське ПЗ взаємодіяло з сервером, який дослідники раніше встановили з “високою ймовірністю” належним Paragon.
Citizen Lab зазначив, що журналіст став жертвою “складної атаки без кліків через iMessage”, виходячи з того, що у журналі пристрою був виявлений конкретний обліковий запис iMessage “приблизно в той же час, коли телефон встановлював зв’язок з сервером Paragon”.
Атаки типу zero-click є одними з найефективніших, адже, як випливає з назви, не вимагають жодної взаємодії з боку жертви. І в даному випадку Citizen Lab вважає, що атака була невидимою для постраждалого.
Згідно з доповіддю, Apple повідомила Citizen Lab, що “атака, проведена в цих випадках, була зменшена в iOS 18.3.1”, яка була випущена 10 лютого 2025 року, за два тижні після повідомлення WhatsApp про атаки зі шпигунським ПЗ Paragon.
Apple не надала коментарів TechCrunch до публікації.
У випадку з Пеллегріно Citizen Lab виявив той же обліковий запис iMessage в журналі його iPhone. Оскільки зазвичай кожен урядовий клієнт має власну інфраструктуру шпигунського ПЗ, Citizen Lab вважає, що Пеллегріно та невідомий журналіст, ймовірно, стали жертвами одного й того ж оператора Paragon.
В iPhone невідомого журналіста інфекція сталася в січні та лютому, зазначили в Citizen Lab.
Згідно з доповіддю COPASIR, Paragon і його італійські клієнти з розвідувальних агентств призупинили використання системи спостереження 14 лютого 2025 року, що означає, що розвідувальні агенції AISE та AISI все ще використовували шпигунське ПЗ Paragon, коли сталося хакерство відомого європейського журналіста.
Наразі Citizen Lab не пов’язує атаки на Пеллегріно та іншого невідомого європейського журналіста з певним урядом.
Citizen Lab вказав у звіті, що можливо, деякі з осіб, яких сповістили про націленість на них з Graphite за допомогою WhatsApp, також могли бути заражені, але через обмежені журнали Android та “спроби Paragon стерти сліди зараження” це може бути неможливо підтвердити.
Інші жертви Graphite
Окрім Пеллегріно та невідомого журналіста, ще двоє осіб були підтверджені як жертви шпигунського ПЗ Paragon: Лука Казаріні та Беппе Чачча, обидва працюють для італійської НУО Mediterranea Saving Humans, яка рятує мігрантів, що намагаються перетнути Середземне море. Citizen Lab підтвердив, що обидва були заражені після аналізу їхніх пристроїв. У своєму звіті COPASIR підтвердив, що за ними велося спостереження італійськими розвідувальними агентствами.
Є й інші особи, які заявляли, що отримали повідомлення про шпигунство. Проте їхні випадки залишаються дещо неясними.
Девід Ямбіо, громадянин Судану і президент НУО Refugees in Libya, яка працює в Італії над питаннями імміграції, також отримав сповіщення від Apple. Citizen Lab, проаналізувавши його пристрій, виявила сліди зараження шпигунським програмним забезпеченням, але не змогла зв’язати компрометацію з певним розробником шпигунського ПЗ або з державою.
COPASIR заявив, що Ямбіо законно потрапив під нагляд італійських розвідувальних служб, але не з Graphite. COPASIR додав, що Ямбіо перебував під спостереженням судових органів країни у справі про кримінальне правопорушення. Телефон Ямбіо перебував на реєстрації у Маттіа Феррарі, священника, який співпрацює з Mediterranea.
Феррарі також отримав сповіщення про шпигунство від WhatsApp. COPASIR, однак, повідомив, що не знайшов доказів, що він став жертвою Graphite.
Скотт-Рейлтон зазначив, що Citizen Lab продовжує судово-медичний та технічний аналіз усіх випадків, включаючи Канчеллато.
