Velika baza podataka odnedavno dostupna putem interneta potvrđuje najgore slutnje sigurnosnog stručnjaka Edwarda Snowdena - tržište špijunskim softverom vrlo je unosan posao, a kupci su, među ostalim, i brojni opresivni režimi
Nedavno otkriće pariške organizacije Forbidden Stories pokazuje da je sofisticirani softver izraelskog proizvođača NSO Group od 2016. korišten za špijuniranje odvjetnika za ljudska prava, aktivista i disidenata diljem svijeta - putem njihovih hakiranih telefona.
U bazi podataka nalazi se preko 50.000 telefonskih brojeva, a Guardian pretpostavlja da su izabrani kao potencijalni ciljevi vlada, klijenata kompanije NSO Group, prodavača špijunskog softvera. Podaci također sadrže vrijeme i datum kad su brojevi bili izabrani ili ubačeni u sustav. Sve ove informacije proširila je neprofitna novinarska organizacija Forbidden Stories došavši do baze preko Amnesty Internationala.
Forbidden Stories kontaktirao je 16 drugih medijskih organizacija, a one su tijekom višemjesečne istrage i suradnjom s preko 80 novinara otkrile detalje špijunskih operacija u kojima su, pretpostavlja se, vlade diljem svijeta špijunirale 'nepoželjan kadar'. Za forenzičku analizu projekta Pegasus, objašnjava Guardian, zaslužan je sigurnosni laboratorij Amnesty Internationala.
Što sugeriraju podaci
Konzorcij je uvjeren da se među otkrivenim podacima nalazi lista osoba koje su vlade diljem svijeta nabrojale kao ciljeve softvera NSO-a prije potencijalne operacije. Guardian naglašava da, premda podaci sugeriraju namjeru, sam broj ne potvrđuje da je svaki od njih dobio inficiranu poruku koja bi na njihov smartfon instalirala špijunski softver poput Pegasusa. Podaci o brojevima na mrežama koje, tvrde iz NSO-a, nije moguće inficirati Pegasusom pokazuju da je broj ljudi na popisu veći od onog na čijim se smartfonima nalazi spyware. Forenzička analiza nekolicine mobilnih uređaja s liste pronašla je usku povezanost među datumom i vremenom unošenja broja te početka špijuniranja, a što je u nekim slučajevima iznosilo svega nekoliko sekundi.
Što kažu forenzičari
Amnesty je pregledao 67 smartfona na koje su izvršeni napadi - 23 od 67 bilo je inficirano dok je 14 pokazalo znakove pokušaja napada. Rezultati analize ostalih 30 smartfona dali su nedorečene rezultate dijelom zato što su vlasnici u nekom trenu odlučili zamijeniti uređaj. Petnaest uređaja imalo je instaliran Android i oni nisu bili inficirani, za razliku od iPhonea. Doduše, uređaji s Androidom ne bilježe korisne informacije za ovakvu vrstu detektivskog posla. Tri su Androida pak pokazala znakove da su bili ciljani SMS porukama vezanima uz Pegasus.
Amnesty je podijelio 'sigurnosne kopije' četiri iPhonea s Citizen Labom, grupom za istraživanje na Sveučilištu u Torontu koja proučava Pegasus, nakon čega su dobili potvrdu o infekciji tim špijunskim softverom. Laboratorij je također potvrdio metode koje je koristio Amnesty te ih ocijenio kao 'adekvatne'.
Tko je točno koristio špijunski softver
Premda su podaci što su procurili svrstani u skupine koje, pretpostavlja izvor, pripadaju određenim klijentima, nigdje se eksplicitno ne ističe koji je klijent odgovoran za što. NSO tvrdi da je prodao alate šezdesetorici klijenata iz 40 zemalja, no odbija objaviti njihova imena. Pažljivom analizom uzoraka i ciljanja pojedinih klijenata, medijski su partneri prepoznali deset vlada koje su, uvjereni su, odgovorne za biranje ciljeva: Azerbajdžan, Bahrein, Kazahstan, Meksiko, Maroko, Ruanda, Saudijska Arabija, Mađarska, Indija i UAE. Citizen Lab također je pronašao dokaze da su te vlade zbilja klijenti NSO-a.
Što kaže NSO Group
NSO Group je nakon otkrića afere objavio izjavu u kojoj tvrdi da ne posjeduje pristup podacima sakupljenima špijunažom te su preko odvjetnika poručili da su donijeli 'pogrešne pretpostavke' o izboru klijenata. Kompanija tvrdi da je broj od 50.000 ciljeva 'pretjeran' te da se nipošto ne radi o listi svih ciljeva koje 'vlade žele postići Pegasusom'. Odvjetnici tvrde da NSO ima razlog vjerovati kako lista koja je došla do konzorcija 'nije lista brojeva koje vlade ciljaju Pegasusom, već da je riječ o većoj listi koju klijenti NSO-a koriste za druge namjene'. Nakon dodatnih pitanja odvjetnici su rekli da konzorcij temelji svoja otkrića na 'netočnim interpretacijama 'lako dostupnih i prejednostavnih' informacija koje su iscurile, poput usluga HLR lookup, i koje nemaju veze s listom što su je klijenti pokušali ciljati proizvodima NSO-a'.
Što je to HLR lookup data
Termin HLR, skraćeno od home location register, služi za osnovne funkcije mobilnih mreža. Registri poput ovog sadrže informacije o mrežama i telefonskim brojevima, kao i lokacijama određenih brojeva, uključujući ostale usluge za identificiranje informacija koje služe za usmjeravanje poziva i tekstualnih poruka. Koristi se u ranim fazama digitalnog praćenja, odnosno dok pokušavaju otkriti je li moguće uopće doći do telefona koji koristi neka osoba.
Konzorcij razumije to da su klijenti NSO-a putem sustava Pegasus imali pristup HLR upitima. Doduše, nije još jasno treba li korisnik Pegasusa napraviti pretragu putem HLR-a prije nego što na smartfon pošalje spyware. Izvor iz NSO-a naveo je istražiteljima da klijenti imaju više razloga, nevezanih uz Pegasus, provoditi HLR pretragu pomoću NSO-ova sustava.
Alat za opresivne vlade ili oružje protiv terorizma?
NSO je nekoliko puta spomenuo da Pegasus zbog pristupa svim podacima na korisnikovom uređaju može pretvoriti ga u video ili audiosnimač te da je napravljen za borbu protiv terorista i opasnih kriminalaca. Brojevi mobilnih telefona ciljanih osoba pojavili su se u bazama podataka koje su procurile, što znači da su klijenti izabrali mete prije potencijalne špijunaže pomoću softvera Pegasus.
Lista aktivista, disidenata i novinara koje su klijenti NSO-a odlučili pratiti opisuje vrlo loš scenarij u kojem alat protiv svojih građana koriste opresivne vlade diljem svijeta.
NSO Group je nakon objave otkrića odgovarajući na upite rekao da će prestati pružati uslugu klijentima koji odluče zlorabiti sustav Pegasus te napomenuo da su netočni otkriveni dokazi ciljanja. NSO Group će 'nastaviti istraživati pouzdane optužbe o zlouporabi i poduzimati adekvatne mjere ovisno o rezultatima tih istraga'.