Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →
Trzech urzędujących prezydentów, trzech premierów, jeden król. Do tego siedmiu byłych szefów rządów, wielu ministrów, urzędników, działaczy związkowych, obrońców praw człowieka, naukowców i dziennikarzy. Łącznie około 50 tys. numerów telefonów. Wszystkie miały być inwigilowane przy pomocy programu Pegasus.
Gdy zaczęły się pojawiać pierwsze informacje na temat wielkiego dziennikarskiego śledztwa przeprowadzonego przez najbardziej szanowane redakcje na świecie, sygnalista Edward Snowden napisał na Twitterze: „Rzućcie wszystko i to przeczytajcie. Ten wyciek będzie tematem roku”. Nie sposób się z nim nie zgodzić. Gdy kilka lat temu wyszło na jaw, że Amerykanie podsłuchiwali kanclerz Angelę Merkel, wywołało to potężny zgrzyt na linii Waszyngton–Berlin i wielomiesięczne ochłodzenie relacji. Teraz przeciek może dotyczyć najbardziej wpływowych ludzi na świecie podsłuchiwanych przez około 40 państw, które były klientami izraelskiej NSO Group, twórcy Pegasusa. A w tle są morderstwa, prześladowania i realne zagrożenie dla wolności.
Taki przypadek
Teoretycznie lista 50 tys. numerów, którą zdobyła organizacja Forbidden Stories, mogłaby nie mieć nic wspólnego z Pegasusem. Redakcjom, które opisały sprawę, NSO początkowo zagroziła nawet pozwami za „skandaliczne i odległe od rzeczywistości zniesławienie”. Dokładnie w ten sposób broniła się od lat. Np. gdy w 2016 r. pojawiły się oskarżenia o wykorzystywanie Pegasusa do szpiegowania działaczy praw człowieka w Zjednoczonych Emiratach Arabskich i meksykańskiego dziennikarza, który został zamordowany. Groźby pozwów wróciły też trzy lata temu i dotyczyły redakcji drążących temat morderstwa dysydenta i publicysty Dżamala Chaszodżdżiego.
Teraz dowody są jednak jeszcze mocniejsze, ale przede wszystkim jest ich znacznie więcej. Analitycy Security Lab Amnesty International zbadali ślady w 67 telefonach, które znajdowały się na liście 50 tys. numerów. W 24 smartfonach znaleziono ślady Pegasusa. W przypadku 13 kolejnych stwierdzono, że były celem ataków. Dwa spośród zaatakowanych telefonów należały do Szabolcsa Panyiego i Andrása Szabó, reporterów śledczych często zajmujących się korupcją rządu w Budapeszcie – a wśród państw, które kupiły Pegasusa, wymieniane są Węgry. Inny należał do Hatice Cengiz, narzeczonej Chaszodżdżiego. Jako cel ataku wymieniany jest prezydent Emmanuel Macron i jego byli ministrowie – w Paryżu w tej sprawie zebrała się rada bezpieczeństwa, ogłoszono serię śledztw i zmianę protokołów obejmujących najważniejsze osoby w państwie.
NSO Group zmienia linię obrony. Twierdzi, że nie ma z listą nic wspólnego. Założyciel i prezes firmy Shalev Hulio oświadczył, że o całej sprawie dowiedział się miesiąc temu, gdy cztery osoby niezależnie od siebie poinformowały go, iż hakerzy próbują sprzedać listę rzekomo wykradzioną z cypryjskich serwerów firmy. Hulio oświadczył, że NSO nie ma serwerów na Cyprze ani listy „celów” klientów firmy. „Co więcej, nasi klienci nie są ze sobą w żaden sposób powiązani, każdy jest traktowany osobno, więc taka lista w ogóle nie powinna nigdzie istnieć” – tłumaczył, dodając: „To jak otwarcie książki telefonicznej, wybranie 50 tys. numerów i wyciąganie z tego jakichś wniosków”. Hulio podkreślał też, że każdy z klientów NSO śledzi rocznie średnio około stu celów. „Więc od samego początku naszego działania celów nie było łącznie z pewnością 50 tys.” – powiedział.
Dlaczego więc w połowie sprawdzonych urządzeń znaleziono ślady Pegasusa? Dopytywany o to przez BBC News rzecznik firmy stwierdził, że musi to być „przypadek”.
Outsourcing inwigilacji
Pegasus to w zasadzie legalny wirus. Aplikacja ta, podrzucona na smartfona, może czytać wiadomości, przeglądać maile, ściągać zapisane zdjęcia, podsłuchiwać rozmowy, podglądać przez kamerę czy na żywo śledzić ruchy obserwowanej osoby za pośrednictwem GPS i innych czujników urządzenia. Szyfrowanie, jak to stosowane przez WhatsApp i Signal, nic nie daje, bo Pegasus rejestruje połączenia i treści wpisywane za pomocą klawiatury.
TRZEBA GRAĆ W OTWARTE E-KARTY
"Pod przykrywką walki z epidemią władza może łatwo przyznać sobie szerokie prerogatywy. Musimy pilnować, by tak się nie stało" - mówi KATARZYNA SZYMIELEWICZ, prezeska fundacji Panoptykon.
Program na urządzenie musi jednak najpierw trafić. I tu trwa niekończący się wyścig z producentami telefonów i firmami zajmującymi się cyberbezpieczeństwem. Wszystko opiera się na tzw. exploitach, czyli niezałatanych dziurach w oprogramowaniu, przez które, jak przez wyrwę w murze twierdzy, można przejść niepostrzeżenie przez zabezpieczenia systemu operacyjnego. Najcenniejsze, tzw. exploity „dnia zerowego”, czyli luki, o których istnieniu nie wie jeszcze producent oprogramowania. Są one niezwykle wartościowym towarem na internetowym czarnym rynku. Niezależni hakerzy za znalezienie takiej dziury dostają miliony dolarów.
Pierwsze wersje Pegasusa wykorzystywały dość prymitywne sposoby na przedostanie się do systemu. Najczęściej – sfabrykowane SMS-y czy wiadomości na komunikatorach zawierające link, pod którym kryło się złośliwe oprogramowanie. Dziś Pegasus jest w stanie wedrzeć się do smartfona, nawet jeśli użytkownik w nic nie kliknie. Przed takim atakiem w zasadzie nie ma obrony.
Kiedyś podobne możliwości miały jedynie największe i najbogatsze agencje wywiadowcze świata. Ich opracowanie kosztowało NSA, FSB czy brytyjskie GCHQ lata prac i setki milionów dolarów. Dziś takie możliwości może mieć każdy za kilka milionów. To szpiegostwo w abonamencie. Outsourcing inwigilacji.
Aktorzy ofensywni
Shalev Hulio i Omri Lavie znają się od dzieciństwa. 20 lat temu, tuż po zakończeniu obowiązkowej służby w izraelskiej armii założyli internetowy start-up. Poszczęściło im się. Ich aplikacja dla agencji marketingowych szybko przyniosła dwudziestolatkom małą fortunę. Gdy w 2008 r. wybuchł światowy kryzys, biznes padł. Ale na rynku popularny stawał się właśnie pierwszy iPhone, a oni mieli już kolejny pomysł – na oprogramowanie pozwalające zdalnie przejmować kontrolę nad smartfonem. Miało to służyć wsparciu technicznemu klientów sieci komórkowych. Gdy jednak w 2010 r. do młodych przedsiębiorców dołączył Niv Carmi, były agent Mosadu, szybko zaczęli się pojawiać nowi klienci – rządowe agencje ze świata. Formalnie zainteresowane były ściganiem pedofilów, handlarzy narkotyków i terrorystów. Pegasus, główny produkt NSO, teoretycznie do tego właśnie służy.
Firmy takie jak NSO Group to cyfrowi najemnicy, znani w branży jako „aktorzy ofensywni z sektora prywatnego” (PSOA). NSO ma konkurencję w brytyjsko-niemieckim Gamma Group, włoskim Memento Labs (znanym dawniej jako Hacking Team), DarkMatter ze Zjednoczonych Emiratów Arabskich czy zarejestrowanej na Cyprze Intelleksie. Mają się o co bić, bo rynek cyberszpiegostwa wyceniany jest na 12 mld dol. Tal Dilian, prezes Intelleksy, dwa lata temu opowiadał „Forbesowi”, że na rynku dostępne są także narzędzia pozwalające identyfikować twarz śledzonej osoby czy podsłuchiwać jej rozmowy. Są też programy „pozwalające w ciągu kilku minut zlokalizować każdy telefon w kraju”.
Większość z takich firm oferuje wielo- poziomowy abonament. Źródła izraelskiego dziennika „Haaretz” twierdzą, że podstawowy poziom Pegasusa pozwala klientowi na jednoczesne śledzenie 25 urządzeń jedynie na terytorium własnego państwa. Za pakiet dla bardziej wymagających trzeba dopłacić. Ile? W przypadku NSO nie jest to jasne, ale organizacja Citizen Lab dotarła do cennika innej izraelskiej firmy, znanej m.in. pod nazwą Candiru (jej oprogramowanie stosuje m.in. Uzbekistan, Arabia Saudyjska, Singapur czy Katar). Opcja podstawowa kosztuje 16 mln euro. Za dodatkowe 1,5 mln klient może śledzić kolejnych 15 urządzeń i infekować telefony w jednym obcym kraju. Za kolejnych 5,5 mln może dodać 25 urządzeń w nawet pięciu następnych państwach. Moduł wyprowadzający dane z Signala czy Vibera to kolejne 200 tys. euro od numeru. Wreszcie, za dodatkowych 6 mln Candiru oferuje narzędzie Sherlock, które najprawdopodobniej służy do „bezkliknięciowego” infekowania wybranych telefonów.
Wyśledzenie takich firm jest trudne, bo często korzystają z sieci spółek wydmuszek. Kiedy już uda się je zmusić do odpowiedzi, zapewniają, że sprzedają swoje usługi jedynie rządom i to wyłącznie w celu chwytania przestępców.
Według „Haaretza” NSO ma osobny zespół pracujący wyłącznie z państwami z regionu Zatoki Perskiej. Wszyscy jego członkowie posługują się paszportami państw innych niż Izrael. To najbardziej dochodowy dział, przynoszący setki milionów dolarów rocznie, ale nawet w wewnętrznej komunikacji firma nie posługuje się nazwami tych państw. Każde ma kryptonim: Arabia Saudyjska to Subaru, Bahrajn to BMW, a Jordania to Jaguar. Według „Haaretza” w ostatnich latach NSO podpisała kontrakty w Bahrajnie, Omanie, Arabii Saudyjskiej oraz emiratach Abu Zabi i Ras al-Chajma. „Produkt, który w Europie sprzedasz za 10 mln, w państwach Zatoki można sprzedać za dziesięć razy więcej” – mówił informator gazety, według którego NSO świadczy też usługi analityczne i przetwarza dane ze zhakowanych urządzeń. Ta usługa pojawiła się ponoć w ofercie po tym, jak klienci znad Zatoki Perskiej doświadczyli problemu ze zbyt dużą ilością pozyskanych danych. Spenetrowanie urządzenia przy pomocy Pegasusa zajmuje zwykle góra kilka godzin.
NSO ma też mieć możliwość wyłączenia usługi w każdej chwili – tak jak np. w Meksyku, gdy wyszło na jaw, że Pegasusa wykorzystano do inwigilowania dziennikarzy badających słynną sprawę uprowadzenia i zamordowania 43 studentów. Podobnych kroków, jak utrzymuje informator „Haaretza”, nie podjęto jednak w przypadku żadnego z arabskich klientów firmy. Program ma też automatycznie usuwać się z telefonu, który trafia do Izraela, Iranu, Rosji, Chin lub USA. Chodzi o próbę uniknięcia problemów z krajami, które bardzo surowo podchodzą do szpiegostwa na swoim terytorium, lub o uniemożliwienie państwom wrogim dostępu do technologii.
Po morderstwie Dżamala Chaszodżdżiego w 2018 r. i doniesieniach, że saudyjski wywiad śledził dysydenta przy pomocy technologii NSO, pracownicy firmy mieli, według źródeł „Haaretza”, protestować przeciwko wykorzystywaniu ich oprogramowania do przygotowywania zabójstwa. Kilka osób zwolniło się ponoć nawet z pracy. Prezes Hulio miał jednak w rozmowie z zespołem zaprzeczyć, jakoby firma była powiązana z tym zdarzeniem.
Włamania bezkarne
NSO Group nie działa poza prawem. Licencji udzielił jej rząd Izraela. Na razie kancelaria premiera Naftalego Bennetta odmówiła komentarza. Jednak już wcześniej resort obrony zapowiedział, że cofnie licencje eksportowe wydawane każdej izraelskiej firmie, która sprzedaje je z naruszeniem zasad, „zwłaszcza w razie jakichkolwiek naruszeń praw człowieka”. Teraz przewodniczący komisji spraw zagranicznych i obrony Knesetu ogłosił, że powołuje specjalną komisję, która przyjrzy się zarzutom. Shalev Hulio w wywiadzie dla należącego do izraelskiej armii radia Galatz oświadczył, że cieszy się z tego, iż „firma będzie mogła oczyścić swoje dobre imię”. Co ciekawe, przekonywał też, że zarzuty pod adresem NSO to część większej kampanii oczerniania całego izraelskiego przemysłu cyberbezpieczeństwa. Powtórzył, że publicznie nie ujawni, kto jest klientem firmy, ale jednocześnie wszystkim rządom, które będą tego oczekiwały, „zapewni pełną przejrzystość”.
W zeszłym miesiącu firma opublikowała pierwszy „raport transparentności”. W 32-stronicowym dokumencie twierdzi, że odrzuciła kontrakty warte łącznie ponad 300 mln dolarów, bo potencjalni kupcy nie trzymali się międzynarodowych standardów praw człowieka. Poinformowała również, że zerwała pięć z już podpisanych kontraktów z tego samego powodu. „Oddanie NSO dla sprawy praw człowieka to public relations, a nie próba istotnej zmiany kursu. Ich niedawny raport transparentności czyta się jak broszurkę handlową” – stwierdziła jednak w rozmowie z Forbidden Stories Danna Ingleton, dyrektorka Amnesty Tech.
Security Lab Amnesty International ma dowody, że NSO było w stanie włamać się nawet na najnowsze iPhone’y z w pełni zaktualizowaną wersją systemu operacyjnego. Wykryło ślady włamań z lipca tego roku. „Niepokoją nas kwestie zarówno praw człowieka, jak i bezpieczeństwa, w tym szeroka proliferacja, która prowadzi do braku kontroli i nadzoru nad najbardziej agresywnymi systemami technologicznymi” – pisała w marcu Marietje Schaake, prezeska CyberPeace Institute i dyrektorka ds. polityki Cyber Policy Center Uniwersytetu Stanforda: „Działania NSO Group i innych firm nie mogą być objęte immunitetem i co za tym idzie – bezkarnością”.
W lutym tego roku Amnesty International doniosło, że aktywiści praw człowieka w Wietnamie byli atakowani przez oprogramowanie szpiegowskie pochodzące od nieznanej organizacji, której śledczy nadali kryptonim „Ocean Lotus”. Inne dochodzenia powiązały oprogramowanie FinSpy firmy Gamma Group z próbami monitorowania opozycjonistów przez rząd Bahrajnu. Zidentyfikowano też obecność oprogramowania na serwerach Turkmenistanu. DarkMatter z kolei stworzyło własny komunikator, ToTok, który w rzeczywistości szpiegował użytkowników.
„Jeśli jestem producentem samochodów, a ktoś po pijanemu potrąci moim samochodem człowieka, to nie idzie się z pretensjami do producenta, tylko do kierowcy – broni się NSO Group w swoim nowym oświadczeniu. – Przekazujemy ten system rządom. Robimy wszystko legalnie. Oskarżenia i wskazywanie palcem powinny być wymierzone w klienta”.
Analiza pochodzących z wycieku danych pozwoliła zidentyfikować co najmniej dziesięć rządów będących klientami NSO. Są wśród nich Azerbejdżan, Bahrajn, Kazachstan, Meksyk, Maroko, Rwanda, Arabia Saudyjska, Węgry, Indie i Zjednoczone Emiraty Arabskie. A lista ta z pewnością jest niepełna. Samo NSO przyznaje, że ma pozwolenia izraelskiego rządu na eksport swojego oprogramowania do łącznie 45 państw.©
