Dziesiątki firm monitorujących dostarczają technologię systemu szpiegującego wykorzystywaną przez rządy na całym świecie do szpiegowania telefonów komórkowych dziennikarzy, obrońców praw człowieka, dysydentów i przeciwników politycznych.
Grupa analizy zagrożeń Google zidentyfikowała i aktywnie śledzi aż 40 firm zajmujących się sprzedażą exploitów bezpieczeństwa i możliwości nadzoru rządom, które nie przestrzegają praw człowieka.
Handel wykracza poza dobrze znane firmy zajmujące się oprogramowaniem szpiegującym, takie jak izraelska NSO Group, włoskie Cy4Gate i Intellexa w Grecji, i obejmuje rozszerzony łańcuch dostaw mniejszych firm zapewniających możliwości nadzoru.
Publikacja raportu przez Google zbiegła się w czasie ze wspólną francusko-brytyjską inicjatywą znaną jako Proces w Pall Malluzgodniona na międzynarodowej konferencji w Lancaster House w Londynie, której celem jest wprowadzenie zabezpieczeń przed wykorzystaniem komercyjnego systemu szpiegującego.
Według Google za większość najbardziej wyrafinowanych narzędzi hakerskich i narzędzi nadzoru wykrytych przez grupę Google Threat Analysis Group (TAG) odpowiadają firmy z sektora prywatnego, zwane komercyjnymi dostawcami nadzoru (CSV), a nie agencje rządowe i organy ścigania.
Z 25 luk dnia zerowego – luk w zabezpieczeniach niepublicznych, które mogą umożliwiać oprogramowaniu szpiegowskiemu dostęp do prywatnych danych na telefonach i laptopach – zidentyfikowanych przez badaczy Google w zeszłym roku, 20 zostało wykorzystanych przez dostawców systemów monitorowania.
Google śledzi w tej chwili 40 firm świadczących usługi nadzoru komercyjnego na rzecz rządu, choć przyznaje, iż nie jest możliwe zidentyfikowanie ani policzenie wszystkich organizacji zaangażowanych w ten handel.
Mrożący wpływ na demokrację i wybory
Zdolność rządów do kupowania gotowych usług szpiegostwa elektronicznego przenosi ryzyko inwigilacji z rządów na same CSV i zwiększa prawdopodobieństwo wykorzystania systemu szpiegującego przeciwko osobom wysokiego ryzyka.
Z raportu, który przedstawia osobiste historie działaczy i działaczy, którzy stali się celem sponsorowanego przez rząd systemu szpiegującego, wynika, iż handel oprogramowaniem szpiegującym ma efekt mrożący na wolność słowa i stanowi zagrożenie dla wolnych i uczciwych wyborów.
Na przykład w zeszłym roku TAG odkryła, iż narzędzia nadzoru dostarczone przez Intellexa, grecki sojusz dostawców komercyjnych systemów nadzoru, wykorzystywały wybory i kandydatów politycznych do łapania celów w Indonezji i na Madagaskarze. Oprogramowanie szpiegowskie „Predator” tej firmy było również wykorzystywane w Egipcie do atakowania polityków opozycji.
Zapotrzebowanie rządu na oprogramowanie szpiegowskie doprowadziło do zawarcia lukratywnych kontraktów dla firm i osób fizycznych tworzących łańcuchy dostaw komercyjnych dostawców systemów nadzoru, jak wykazały wcześniej ujawnione dokumenty cytowane przez Google.
Na przykład dokument opublikowany na forum poświęconym cyberprzestępczości ujawnił, iż Intellexa za 8 milionów euro oferowała klientom rządowym implanty „Nova” umożliwiające infekowanie 10 telefonów z systemem Android lub IoS jednocześnie w kraju przyjmującym. Za kolejne 1,2 miliona euro klienci będą mogli zdecydować się na infekowanie telefonów z pięciu dodatkowych państw spoza kraju przyjmującego.
Większość klientów płaci za regularne ponowne infekowanie swoich telefonów docelowych oprogramowaniem szpiegującym, aby uniknąć ryzyka wykrycia go poprzez pozostawanie w telefonie. Ale Intellexa oferowała również opcję instalowania trwałych infekcji, które pozostają w telefonie po jego wyłączeniu, w celu dalszych dużych płatności.
Inne CSV współpracowały z dostawcami usług internetowych, aby przekonać użytkowników do instalowania fałszywych aplikacji w celu uzyskania dostępu do danych klientów. Jedna z kampanii zidentyfikowanych przez TAG w 2021 r. wykazała, iż do ofiar we Włoszech i Kazachstanie wysyłano wiadomości SMS zachęcające je do pobrania fałszywych aplikacji Vodafone, które umożliwiały atakującym dostęp do zawartości ich telefonów komórkowych.
Gry w kotka i myszkę
Google i inni badacze bezpieczeństwa zrewolucjonizowali modele biznesowe komercyjnych dostawców systemów nadzoru, odkrywając, ujawniając i łatając luki w zabezpieczeniach wykorzystywane przez dostawców systemu szpiegującego.
Na przykład w kwietniu 2023 r. Google zakłócił działalność firmy Intellexa na 40 dni po opublikowaniu łatek eliminujących luki dnia zerowego wykorzystywane przez exploit systemu szpiegującego. Chociaż Intellexa opracowała zastępczy exploit dnia zerowego, przetrwał zaledwie tydzień, zanim Google naprawił lukę.
Firma Apple wypuściła łatkę znaną jako „BlastDoor” w aktualizacji systemu operacyjnego iOS 14, aby utrudnić atakującym opracowanie exploitów „zero kliknięć” w stosunku do usługi wiadomości tekstowych iMessage. Izraelska grupa zajmująca się oprogramowaniem szpiegującym, NSO, znalazła sposób na obejście tej ochrony, dostarczając ładunki w postaci plików PDF zamaskowanych jako pliki graficzne. Firma Apple rozwiązała ten problem w późniejszych aktualizacjach.
CSV kontynuują działalność pomimo wysiłków rządów i firm technologicznych mających na celu ograniczenie ich działalności, które podjęły przeciwko nim bezpośrednie działania prawne. Na przykład Grupa NSO kontynuuje działalność pomimo sankcji ze strony rządu USA i procesów sądowych Meta i Apple.
Google twierdzi, iż potrzebne są dalsze działania, aby ograniczyć rozprzestrzenianie się komercyjnych technologii nadzoru, i nalega, aby rząd USA podjął wysiłki dyplomatyczne z krajami, w których działają dostawcy komercyjnego nadzoru, oraz z rządami korzystającymi z ich usług.
27 państw popiera proces Pall Mall
Google wraz z Meta, Microsoft i BAE Systems Digital Intelligence znalazły się w zróżnicowanej grupie 14 firm, które wspierały Pall Mall Process, brytyjską i francuską inicjatywę mającą na celu opracowanie zabezpieczeń i wytycznych dotyczących korzystania z komercyjnych usług nadzoru.
Proces Pall Mall, uzgodniony podczas dwudniowej konferencji w Lancaster House w dniu 6 lutego 2023 r., w której wzięło udział 27 krajów, wzywa do pociągnięcia rządów i organizacji sektora prywatnego zaangażowanych w inwigilację do odpowiedzialności, jeżeli ich działania są niezgodne z prawem dotyczącym praw człowieka.
W dokumencie stwierdza się, iż możliwości nadzoru należy wykorzystywać z „precyzyjnością”, aby złagodzić „niezamierzone, nielegalne lub nieodpowiedzialne konsekwencje”.
Rządy i dostawcy branżowi powinni przeprowadzać oceny należytej staranności, aby zapewnić, iż technologia nadzoru jest wykorzystywana legalnie i odpowiedzialnie. Według dokumentu Pall Mall jego stosowanie powinno być zgodne z prawem, konieczne i proporcjonalne.
Jej zdaniem dostarczanie możliwości nadzoru powinno odbywać się w sposób przejrzysty, tak aby użytkownicy i dostawcy rozumieli łańcuchy dostaw zaangażowane w zapewnianie komercyjnego nadzoru i systemu szpiegującego.
Wyłączone grupy zajmujące się prawami cyfrowymi
Wśród zwolenników zauważalna była nieobecność szeregu krajów, które rzekomo rozmieściły komercyjne oprogramowanie szpiegowskie, w tym Hiszpanii, Meksyku, Serbii, Egiptu i Jordanii. Izrael, siedziba NSO i innych twórców systemu szpiegującego, również nie był obecny na konferencji.
Organizacje zajmujące się prawami cyfrowymi, w tym Amnesty International, Big Brother Watch i inne, które prowadziły kampanie i badały oprogramowanie szpiegowskie, również nie znalazły się na liście uczestników.
Profesor wizytujący i specjalista ds. prywatności, Ian Brown, skomentował X„W tym procesie naprawdę brakuje ogromnej części zainteresowanych stron: grup zajmujących się prawami cyfrowymi, które ściśle współpracują nad tą kwestią od ponad dziesięciu lat”.
Francja ma zorganizować kolejną konferencję w 2024 r.
