Przerażająca skala inwigilacji. Szpieg Pegasus wykryty u kilkudziesięciu tysięcy ludzi

Amnesty International, przy pomocy 17 dziennikarzy z wiodących światowych dzienników, przeprowadziła śledztwo dotyczące narzędzia Pegasus – jego wyniki są przerażające. Pegasus to cyberbroń o ponoć niezwykłej skuteczności. Potrafi przeniknąć zabezpieczenia nawet najnowszych wersji mainstreamowych systemów operacyjnych i funkcjonować jako pluskwa wysyłająca operatorowi wszelkie pożądane przez niego dane użytkownika urządzenia.

Za Pegasusa odpowiada izraelska firma NSO Group. Ta na swojej witrynie internetowej deklaruje dwie rzeczy. Po pierwsze, Pegasus jest sprzedawany wyłącznie podmiotom, które chcą walczyć z terroryzmem i zorganizowanymi grupami przestępczymi. Oraz że oprogramowanie nie zostawia po sobie żadnych śladów.

To, według śledztwa, dwa kłamstwa.

Amnesty International i Forbidden Stories pozykały listę 50 tys. numerów telefonicznych, których użytkownicy byli szpiegowani za pomocą Pegasusa. Na witrynie AI dostępne jest narzędzie, które wykrywa pozostałości po szpiegu. Z oczywistych względów nie daje ono pełnej gwarancji wykrycia śladów po Pegasusie, ale też zdało egzamin przy badaniu wielu różnych urządzeń. Warto też podkreślić, że narzędzie wykrywa ślady po próbie włamania – a więc dowodzi, że ktoś próbował dany cel zainfekować, jednak nie jest jasne, czy to się powiodło.

Czytaj również: Czy na pewno doszło do inwigilacji Pegasusem? „Jesteśmy pewni wyników” – zapewnia ekspert Citizen Lab

AI zwróciło się o pomoc do dziennikarzy w ustaleniu, kto właściwie jest inwigilowany. Okazało się, że na celowniku klientów NSO Group pojawili się również topowi redaktorzy wiodących mediów opiniotwórczych. Na liście inwigilowanych są, między innymi, dziennikarze New York Timesa, Wall Street Journal, Bloomberga, Al Jazeery, Radia Wolna Europa, El Pais, Le Monde, Reutersa, Associated Press i Economist.

Jak zauważa The Guardian, niektórzy dziennikarze z listy zostali zamordowani. Jako jeden z przykładów wskazuje Cecilia Pinedę Birto z Meksyku, który został zastrzelony raptem miesiąc po założeniu mu pegasusowego podsłuchu. Jak wykazało śledztwo, klienci rządowi NSO Group zlecali inwigilację dziennikarzy między innymi w Arabii Saudyjskiej, Azerbejdżanie, Bahrajnie, Indiach, Kazachstanie, Meksyku, Rwandzie i na Węgrzech.

Dziennikarze pod lupą to niejedyne szokujące nadużycie. Na liście znaleźli się też biznesmeni, naukowcy, pracownicy organizacji pozarządowych, urzędnicy, rodziny polityków, związkowcy czy przywódcy duchowni.

Do grona klientów NSO Group należy polskie Centralne Biuro Antykorupcyjne, co rodzi oczywiste pytanie, czy politycy bieżącej władzy nie poszli w ślady kolegów i koleżanek, na przykład, z Węgier. I czy również nie inwigilują swoich licznych politycznych oponentów.

Według opublikowanej na GitHubie listy inwigilowanych numerów i domen wygląda na to, że w obrębie granic Polski nie doszło do podobnego skandalu. Choć nie jest jasne, czy opublikowana lista jest kompletna. W każdym razie jedyny polski akcent na tej liście, co zauważył Niebezpiecznik.pl, to domena emonitoring-przesylek[.]pl, która była wykorzystana dłuższy czas temu.

Niestety, żadna metoda nie daje gwarancji. Z uwagi na charakter tego oprogramowania szpiegowskiego, niemożliwa jest dokładna jego analiza i ustalenie, które luki bezpieczeństwa wykorzystuje, by móc włamać się na telefony swoich celów. Użytkownikom pozostaje więc tylko dbać o bezpieczeństwo swoich urządzeń w tradycyjny sposób.

Po pierwsze, warto dbać o aktualność swojego oprogramowania. Wbrew częstym spiskowym teoriom dziejów, NSO Group nie współpracuje z producentami sprzętu i oprogramowania. Nie ma żadnych dowodów, by ci intencjonalnie pozostawiali tak zwane backdoory ułatwiające Pegasusowi infekcję. Z punktu widzenia Apple’a, Google’a i innych: Pegasus to taki sam malware jak inne. Wykorzystujący luki bezpieczeństwa, które są – wedle kompetencji i możliwości – łatane tak szybko, jak zostaną wykryte.

Warto też pamiętać o tym, co przypomina Niebezpiecznik.pl w linkowanym wyżej materiale. Wiele podatności w urządzeniach mobilnych da się wykorzystać tylko do momentu, w którym jest odcięte zasilanie urządzenia. Innymi słowy, może się okazać, że samo ponowne uruchomienie telefonu wyczyści go z malware’u. Dobrym zwyczajem jest więc rutynowe restartowanie urządzenia – nie rzadziej niż raz na kilka dni.