10 państw wykorzystuje szpiegowski program Pegasus do inwigilacji dziennikarzy, aktywistów i polityków opozycji. Wśród nich są Węgry

Według wielkiego dziennikarskiego śledztwa służby co najmniej 10 państw podsłuchiwały dziennikarzy czy działaczy społecznych (Photo by NordWood Themes on Unsplash)

Według wielkiego dziennikarskiego śledztwa służby co najmniej 10 państw podsłuchiwały dziennikarzy czy działaczy społecznych (Photo by NordWood Themes on Unsplash)

Jak ustaliło konsorcjum kilkunastu redakcji z różnych krajów świata, co najmniej 10 państw na świecie używa szpiegowskiego oprogramowania izraelskiej firmy NSO Group nie tylko do walki ze zorganizowaną przestępczością czy terroryzmem, ale także do podsłuchiwania osób nie zajmujących się żadną nielegalną działalnością.

 

Dziennikarskie śledztwo przeprowadziło w sumie 17 mediów, w tym m.in. brytyjski dziennik „The Guardian”, francuski „Le Monde”, niemiecki „Süddeutsche Zeitung” czy amerykański „Wall Street Journal”. Wspierały je w nim francuska organizacja medialna Forbidden Stories oraz międzynarodową organizacja obrony praw człowieka – Amnesty International.

Jak działa Pegasus?

Redakcje uzyskały listę 50 tys. numerów telefonów komórkowych, na które wgrano prawdopodobnie oprogramowanie szpiegowskie Pegasus. Izraelska firma NSO Group, która stworzyła ten system do inwigilacji, dostała bowiem zlecenie na podsłuchiwanie tych smartfonów od służb specjalnych z krajów, które dostęp do Pegasusa wykupiły.

A jest to oprogramowanie bardzo skuteczne i ma opinię najlepszego na świecie, a przynajmniej wśród tych programów, o których istnieniu wiadomo. Nie służy jednak do masowej inwigilacji (nie jest więc typem komputerowego wirusa czy trojana), ale do śledzenia konkretnych smartfonów. Każdorazowe użycie Pegasusa jest więc osobną procedurą. A do tego prawdopodobnie bardzo kosztowną.

Nie wiadomo kiedy powstał ten program, ale świat dowiedział się o jego istnieniu w 2016 r. Wówczas to służby Zjednoczonych Emiratów Arabskich usiłowały objąć monitoringiem Pegasusa telefon należący do obrońcy praw człowieka Ahmeda Mansoora.

Emirackie służby przeprowadziły akcję mało zręcznie i aktywista zorientował się, że z jego telefonem dzieje się coś dziwnego. Dostał bowiem specjalnie spreparowanego SMS-a z linkiem do kliknięcia, jednak wzbudził on jego podejrzenia.

Holandia: Huawei podsłuchiwał użytkowników jednej z sieci komórkowych, w tym premiera i kilku ministrów?

Zagrożenie wykazał w 2010 r. wewnętrzny audyt bezpieczeństwa, ale spółka KPN go utajniła.

Pegasusa odkryli Kanadyjczycy

Mansoor po pomoc zgłosił się do Citizen Lab, jednostki badawczej przy Uniwersytecie w Toronto, która zajmuje się m.in. analizą cyberzagrożeń. Kanadyjscy eksperci odkryli, że w smartfonie służby specjalne usiłowały zainstalować mu izraelski program szpiegujący.

Od tamtego czasu Pegasusa udoskonalono. Nowsze wersje programu można zainstalować komuś całkowicie bez jego wiedzy i bez jakichkolwiek działań z jego strony. Wystarczy, że telefon połączy się np. z odpowiednio zainfekowaną siecią wi-fi lub operator programu znajdzie się ze swoim urządzeniem w tej samej sieci co potencjalna osoba do inwigilacji.

Ponadto izraelski program nie zostawia łatwych do wykrycia śladów w smartfonie ofiary. Aby je znaleźć, trzeba dokładnie wiedzieć, czego szukać. Pegasus jest bowiem tzw. „exploitem”, czyli programem, który wykorzystuje luki w zabezpieczeniach urządzenia bądź systemie operacyjnym.

Kiedy służbom specjalnym uda się komuś wgrać Pegasusa, zawartość telefonu danej osoby staje się dla nich całkowicie jawna – można podsłuchiwać rozmowy głosowe, czytać SMSy i wiadomości w komunikatorach (nawet tych niezwykle trudnych do zhakowania jak Signal czy Wire), a nawet uruchamiać mikrofon i kamerę, aby rejestrować to co dzieje się wokół danej osoby albo pobrać dane geolokalizacyjne urządzenia.

Irlandzki regulator wszczął śledztwo ws. wielkiego wycieku danych z Facebooka

Wielki wyciek danych z Facebooka ujawniono 3 kwietnia, ale doszło do niego prawdopodobnie wiele tygodni wcześniej.

Program teoretycznie do walki z terroryzmem

Teoretycznie Pegasus jest programem, który służby stosują do walki z terroryzmem bądź przestępczością zorganizowaną. Jeśli jakaś agencja przyznała się do korzystania z tego systemu, uzasadniała swoje działania właśnie takimi celami. Zapewne większość przypadków użycia Pegasusa jest związana z niebezpieczną i nielegalną działalnością.

Ale już przypadek ujawnienia istnienia izraelskiego programu w 2016 r. pokazał, że agencje wywiadowcze i kontrwywiadowcze nie wahają się inwigilować za jego pomocą także osób, które wcale nie robią niczego nielegalnego, ale albo są dla danego państwa niewygodne, albo mogą mieć ciekawe informacje.

Według ustaleń międzynarodowego śledztwa robiły tak służby przynajmniej dziesięciu państw – Azerbejdżanu, Bahrajnu, Kazachstanu, Meksyku, Maroka, Rwandy, Arabii Saudyjskiej, Indii, Zjednoczonych Emiratów Arabskich oraz Węgier.

Dziennikarze 17 redakcji przeanalizowali bowiem listę owych 50 tys. numerów telefonów, w sprawie których NSO Group otrzymało „zamówienie” na inwigilację. Ponad 1 tys. z nich zidentyfikowali.

Jak się okazało, ponad 600 numerów należało do polityków i wysokich rangą urzędników państwowych, co najmniej 189 numerów telefonów dziennikarzy, 85 numerów należących do działaczy na rzecz praw człowieka i 65 numerów używanych przez biznesmenów, a także kilka numerów należących do członków rodzin królewskich, głównie tej najbardziej rozległej na świecie, czyli saudyjskiej.

Oczywiście sam fakt znajdowania się na tej liście jakiegoś numeru nie oznaczał jeszcze, że Pegasusa wobec tej osoby ostatecznie użyto, a jedynie, że czyniono o to starania. Pewność, że doszło do inwigilacji danego smartfona można mieć jedynie po przebadaniu samego urządzenia.

Międzynarodowa grupa dziennikarzu śledczy to zrobiła. Skontaktowano się z częścią zidentyfikowanych osób z listy i poproszono o użyczenie smartfona. 67 osób się na to zgodziło. Na 37 urządzeniach odnaleziono ślady działania Pegasusa. W innych nie, ale to niekoniecznie musi znaczyć, że programu wobec nich nie użyto. Operatorzy mają bowiem możliwość odpowiedniego zatarcia śladów.

Duńczycy pomagali Amerykanom podsłuchiwać europejskich polityków

Duński wywiad pomógł Amerykanom podsłuchiwać Angelę Merkel.

Podsłuchiwani saudyjscy i węgierscy dziennikarze?

Wśród osób, u których ponad wszelką wątpliwość potwierdzono fakt użycia w ich smartfonach Pegasusa są jednak dwie osoby z bardzo bliskiego otoczenia pochodzącego z Arabii Saudyjskiej dziennikarza amerykańskiego dziennika „Washington Post” Dżamala Chaszodżiego, który w 2018 r. został zamordowany w konsulacie swojego kraju w Stambule przez specjalnie w tym celu sprowadzone z Rijadu do Turcji komando.

Jednym z krajów, którego służby bardzo intensywnie używały Pegasusa i jednocześnie jedynym europejskim na ujawnionej liście, okazały się Węgry. Bardzo wiele numerów telefonów okazało się węgierskich. Co najmniej w przypadku dwóch dziennikarzy z tego kraju Pegasusa użyto na pewno.

Chodzi o dwóch reporterów niezależnego portalu śledczego Direkt36, w tym jednego z najbardziej cenionych węgierskich dziennikarzy śledczych i laureata Europejskiej Nagrody Dziennikarskiej Szabolcsa Panyia. W ciągu zaledwie 7 miesięcy w 2019 r. jego telefon był hakowany za pomocą Pegasusa aż 11 razy.

Panyi to dziennikarz znany z głośnych demaskatorskich artykułów na temat afer na Węgrzech pod rządami Viktora Orbána. Od lat wiadomo, że ma świetne źródła w kręgach polityków, dyplomatów czy oficerów różnych służb. Jego smartfon był sprawdzany wówczas, kiedy do różnych węgierskich instytucji państwowych wysyłał pytania związane z pisanymi przez niego tekstami.

Rzecznik prasowy węgierskiego rządu Zoltán Kovács pytany przez dziennikarzy „Guardiana” stwierdził, że „nie ma żadnej wiedzy o rzekomej inwigilacji elektronicznej kogokolwiek”.

Niemcy: Asystenci głosowi Google już nie mogą podsłuchiwać

O sprawie zrobiło się głośno, gdy wyszło na jaw, że nie tylko Google, ale także firmy będące podwykonawcami amerykańskiego giganta, podsłuchiwały w Holandii użytkowników Asystenta Google, czyli systemu do wydawania urządzeniom poleceń głosowych. W odpowiedzi na decyzję niemieckiego komisarza ds. …

Pegasus używany w Polsce?

Wśród dotąd opublikowanych przez europejskie gazety ustaleń z dziennikarskiego śledztwa na temat Pegasusa nie ma informacji o tym czy na liście numerów telefonów przekazywanych do NSO Group są jakieś polskie numery.

Jest to jednak niewykluczone (na liście są numery obywateli 50 państw świata) – po części dlatego, że agencje wywiadowcze i kontrwywiadowcze 10 wspomnianych już wyżej krajów podsłuchiwały też (lub chcieli to zrobić) korespondentów zagranicznych mediów, m.in. AFP, Reutersa, Associated Press, CNN czy France24.

Ale po części zapewne także dlatego, że – jak ustalił badający używanie Pegasusa od 2016 r. – Citizen Lab, licencję na izraelski program szpiegujący kupiły już służby 45 państw. Według Kanadyjczyków na liście tej jest także Polska, a Pegasus ma być w użyciu od 2017 r. Citizen Lab nie ustalił jednak, jaka służba miała oprogramowanie zakupić.

Podejrzenie padło jednak w 2019 r. na Centralne Biuro Antykorupcyjne. W 2019 r. podczas audytu prowadzonego w CBA przez Najwyższą Izbę Kontroli odkryto bowiem opiewającą na 25 mln złotych fakturę za usługi informatyczne, które wykonała spółka powiązana z izraelską firmą. Sprawę ujawniła w swoim reportażu telewizja TVN24, która wyliczyła, że razem z wdrożeniem i szkoleniami system Pegasus mógł kosztować nawet 34 mln złotych.

Izrael: Firma zajmująca się cyfrowym wywiadem twierdzi, że złamała zabezpieczenia komunikatora Signal

Signal uchodził dotąd za jeden z najbezpieczniejszych komunikatorów na świecie, a jego zabezpieczenia za niemożliwe do złamania. Ale izraelska spółka, która dostarcza między innymi technologie cyfrowe dla służb policyjnych i wywiadowczych twierdzi, że potrafi już włamać się do tej aplikacji.

 

Opracowana …

CBA nie potwierdza i nie zaprzecza

CBA jednak nigdy nie potwierdziło tych ustaleń. Rzecznik służby Temistokles Brodowski odpowiadał dziennikarzom w myśl formuły „Nie potwierdzamy, nie zaprzeczamy”, a powoływał się przy tym ma ustawę o CBA, która zapewnia „ochronę środków, form i metod realizacji zadań, zgromadzonych informacji oraz własnych obiektów i danych identyfikujących funkcjonariuszy”. „W związku z powyższym nie zajmuję stanowiska wobec zadanych pytań” – konkludował Brodowski.

W innej odpowiedzi na dziennikarskie pytania stwierdził natomiast: „W związku z doniesieniami mediów informujemy, że Centralne Biuro Antykorupcyjne nie zakupiło żadnego >>systemu masowej inwigilacji Polaków<<.” Tyle że Pegasus nie służy do inwigilacji masowej, ale do punktowego podsłuchiwania konkretnych smartfonów.