Softver se koristi 'za nezakonito ciljanje novinara, ekoloških aktivista i drugih pojedinaca u tajnoj kampanji nadzora', izjavio je Amnesty International u ponedjeljak. Mnogi pojedinci koji su bili meta nisu uhićeni ni optuženi za bilo kakvo kazneno djelo, dodaje se.

Srpska sigurnosno-obavještajna agencija, poznata kao BIA, odbacila je optužbe da je špijunski softver nezakonito korišten. 'Ovaj forenzički alat na isti način koriste i druge policijske snage diljem svijeta', stoji u priopćenju. 'Stoga nismo u mogućnosti komentirati besmislene navode iz njihovog teksta, kao što inače ne komentiramo slične sadržaje.'

Što se točno dogodilo u Srbiji i što sve to znači?

Kako je korištenje špijunskog softvera izašlo na vidjelo? Prema izvješću Amnestyja na 87 stranica pod naslovom 'Digitalni zatvor: Nadzor i suzbijanje civilnog društva u Srbiji', nezavisni novinar Slaviša Milanov priveden je u policijsku postaju u sklopu, kako se činilo, rutinske kontrole prometa u veljači, piše Al Jazeera.

Kad je nakon policijskog razgovora uzeo svoj telefon, Milanov je primijetio da su i podaci i Wi-Fi postavke na njemu bili onemogućeni. Prepoznavši to kao moguću indikaciju hakiranja, obratio se Sigurnosnom laboratoriju Amnesty Internationala i zatražio pregled svog mobilnog uređaja. Laboratorij je pronašao digitalne tragove tehnologije Universal Forensic Extraction Device (UFED) softverske grupe Cellebrite, a koja je, čini se, korištena za otključavanje Milanovljevog uređaja s operativnim sustavom Android.

Također je u telefonu pronađen špijunski softver za koji je Amnesty rekao da im je prethodno bio nepoznat, a radi se o programu pod nazivom NoviSpy.

Milanov je rekao da nikada nije bio obaviješten da policija namjerava pretražiti njegov telefon te mu nije dano nikakvo zakonsko obrazloženje za to. Rekao je da ne zna koji su točno podaci izvučeni iz njegova telefona.

Amnesty je rekao da je korištenje ove vrste tehnologije bez odgovarajućeg odobrenja nezakonito. 'Naša istraga otkriva da su srbijanske vlasti primijenile tehnologiju nadzora i taktike digitalne represije kao instrumente šire državne kontrole i represije usmjerene protiv civilnog društva', rekla je Dinushika Dissanayake, zamjenica regionalne direktorice Amnesty Internationala za Europu.

Što je otkrila istraga?

Istraga Amnesty Internationala došla je do dva značajna otkrića. Prvo, pronašla je 'forenzičke dokaze' koji ukazuju na korištenje Cellebriteove tehnologije za pristup uređaju novinara.

Cellebrite, digitalna obavještajna tvrtka sa sjedištem u Izraelu, proizvodi tehnologiju za ekstrakciju podataka koju naširoko zakonito koriste odjeli za provedbu zakona širom svijeta, posebno u SAD-u.

Kao odgovor na izvješće Amnestyja, Cellebrite je izdao izjavu u kojoj stoji: 'Istražujemo tvrdnje iznesene u ovom izvješću i spremni smo poduzeti mjere u skladu s našim etičkim vrijednostima i ugovorima, uključujući prekid odnosa Cellebritea sa svim relevantnim agencijama.'

Drugo, za špijunski softver NoviSpy, pronađen u uređaju novinara, čini se da je sposoban omogućiti napadačima daljinski pristup i izvlačenje povjerljivih informacija sa zaraženih pametnih telefona.

Špijunski softver povezan sa srpskom BIA-om

NoviSpy, koji se može koristiti za dohvaćanje podataka s uređaja s Androidom, također može dopustiti neovlaštenu kontrolu nad mikrofonom i kamerom, što predstavlja značajne rizike za privatnost i sigurnost, pokazalo je izvješće.

Izvješće Amnestyja navodi: 'Analizom višestrukih uzoraka špijunskih aplikacija NoviSpy, otkrivenih na zaraženim uređajima, utvrđeno je da su svi komunicirali sa serverima hostiranim u Srbiji, kako za dohvaćanje naredbi, tako i podataka za nadzor. Naime jedan od ovih uzoraka špijunskog softvera bio je konfiguriran za izravno povezivanje s IP adresama koje su pak izravno povezane sa srpskom BIA-om.'

Slično komercijalnom špijunskom softveru kao što je Pegasus, sofisticirani špijunski softver NoviSpy razvila je izraelska kibernetička obavještajna tvrtka NSO, a koja je bila umiješana u skandal s hakiranjem 2020. godine.

Prema izvješću, program NoviSpy infiltrira se u uređaje i snima niz snimki zaslona koje prikazuju osjetljive informacije, poput sadržaja računa e-pošte, razgovora preko Signala i WhatsAppa te interakcije na društvenim mrežama.

Zašto su novinari i aktivisti na meti?

Amnesty International i druge organizacije za ljudska prava kažu da se napadi špijunskim softverom koriste za ograničavanje slobode medija i šire kontrole nad komunikacijama unutar zemalja.

'Ovo je nevjerojatno učinkovit način potpunog obeshrabrivanja komunikacije među ljudima. Sve što kažete moglo bi se upotrijebiti protiv vas, što je paralizirajuće i na osobnoj i na profesionalnoj razini', rekao je aktivist koji je bio na meti špijunskog softvera Pegasus i koji je u izvješću nazvan Branko. Amnesty je rekao da je promijenio neka imena kako bi zaštitio identitet pojedinaca.

Goran (čije je ime također promijenjeno), aktivist koji je isto napadnut Pegasusom, rekao je: 'Svi smo mi u formi digitalnog zatvora, digitalnog gulaga. Imamo iluziju slobode, ali u stvarnosti nemamo nikakvu slobodu. To ima dva učinka: ili se odlučite za autocenzuru, koja duboko utječe na vašu sposobnost obavljanja posla, ili odlučite progovoriti bez obzira na sve, a u tom slučaju morate biti spremni suočiti se s posljedicama.'

Špijunski softver također se može koristiti za zastrašivanje ili odvraćanje novinara i aktivista od izvještavanja o informacijama o ljudima na vlasti, istaknuo je Amnesty.