Pegasus i oprogramowanie szpiegujące to tylko wycinek problemu. Temat, który za sprawą komisji sejmowej rozgrzewa media w Polsce, jest tylko symptomem poważniejszego zjawiska. Jest nim rozpowszechnienie komercyjnego systemu szpiegującego na coraz większą skalę. Jak wygląda ten gwałtownie rosnący na świecie rynek?
Czytasz pierwszy artykuł z cyklu o oprogramowaniu szpiegującym na świecie. Analizujemy w nim dynamicznie rosnący rynek tego typu rozwiązań i przyglądamy się skali zjawiska. W kolejnym artykule przyjrzymy się sposobom na powstrzymanie rozwoju systemu szpiegującego.
Trzy lata temu, w 2021 roku, szesnaście organizacji na świecie powołało konsorcjum nazwane Pegasus Projekt. W trakcie prac stwierdzono użycie na masową skalę programu szpiegującego izraelskiej firmy NGO Pegasus. Oprogramowanie to jest narzędziem agresywnej inwigilacji. Jakie są podstawowe cele działania? Głównie możliwość maksymalnej ingerencji w szpiegowane urządzenie.
Organizacje Forbideen Stories i Amnesty International uzyskały dostęp do 50 tysięcy numerów telefonów, które zostały zainfekowane Pegasusem. Wśród szpiegowanych osób znajdowali się biznesmeni, dziennikarze, politycy, w tym premierzy i prezydenci, obrońcy praw człowieka czy członkowie arabskiej rodziny królewskiej.
Ustalenia dokonane przez konsorcjum zszokowały świat i pokazały, iż praktycznie każdy, niezależnie od zajmowanej pozycji, może stać się celem zaawansowanego programu szpiegowskiego.
Pegasus to nie wszystko. Rynek rośnie
Pegasus i oprogramowanie szpiegujące to dla wielu Polaków niemal synonimy. Wszystko za sprawą powołanej niedawno komisji sejmowej ds. zbadania nielegalnego wykorzystania tego systemu w poprzedniej kadencji rządu Zjednoczonej Prawicy. Oprogramowanie Pegasus jest też najlepiej zbadanym i spopularyzowanym narzędziem szpiegowskim na świecie, ale – nie jest jedynym.
Bardzo gwałtownie w przestrzeni publicznej pojawił się Predator izraelskiej firmy Cytrox, który został wykorzystany przeciwko greckiemu dziennikarzowi oraz przywódcy opozycji w tym kraju. Ślady wykorzystania tego systemu znaleziono również w Serbii czy Hiszpanii, a egipskie władze wykorzystywały równocześnie Pegasusa i Predatora.
Predator i Pegasus to nie wyjątkowe narzędzia, ale oznaka pewnego trendu. Jest wiele podobnych produktów dostępnych na rynku komercyjnego systemu szpiegowskiego. Prywatne firmy sprzedają swoje oprogramowanie klientom rządowym, organom śledczym, przedsiębiorstwom, a choćby pojedynczym użytkownikom.
Zadaniem takiego systemu jest monitorowanie i zbieranie danych od użytkowników i organizacji w różnorodnych celach. Kiedy jest to podyktowane bezpieczeństwem państwa i używane zgodnie z prawem przez wyspecjalizowane służby, nie wzbudza większych kontrowersji.
Oprogramowanie użyte wbrew przeznaczeniu…
Często jednak oprogramowanie jest używane do inwigilowania dziennikarzy, aktywistów społecznych czy przeciwników politycznych. Jaki jest cel? Zbieranie informacji, potencjalne przygotowanie manipulacji i kompromitowania urządzeń i kont internetowych. Dzieje się tak pomimo tego, iż producenci zwykle zastrzegają, iż sprzedają swoje oprogramowanie na użytek demokratycznych rządów.
Taki warunek miał oficjalnie formułować producent Pegasusa, ale oprogramowanie to było używane również przez państwa autorytarne. Podobnie sytuacja wyglądała w przypadku firmy Cellebrite, która w 2021 roku ogłosiła, iż wprowadzi zakaz używania swojego sprzętu przez Rosję.
W październiku 2022 roku pojawiły się jednak ślady świadczące o tym, iż tak się nie stało, a reżim Putina cały czas używa tego oprogramowania. Oprogramowanie jest również sprzedawane na czarnym rynku i w taki sposób mogą je pozyskać firmy prywatne czy użytkownicy indywidualni. Tak miało się stać z oprogramowaniem szpiegującym Predator. Zostało ono sprzedane w ten sposób prywatnym odbiorcom pomimo zapewnień producenta, iż oferuje to oprogramowanie tylko rządom.
Jakie są możliwości oprogramowania?
Zdolności poszczególnych programów są różne i mogą umożliwiać zdalne monitorowanie komunikacji (rozmów, wiadomości tekstowych czy choćby e-maili). Oprogramowanie może śledzić miejsca przebywania ofiary, mieć dostęp do mikrofonów i kamer czy śledzić wpisywane na klawiaturze znaki. Najbardziej zaawansowane programy powodują, iż ich operatorzy uzyskują wgląd w życie ofiary praktycznie 24 godziny na dobę.
Oprócz szpiegostwa, oprogramowanie to było wykorzystywane do zastraszania dziennikarzy, aktywistów, opozycyjnych polityków krytyków czy choćby do prób wpływania na wynik wyborów. Pegasusem został zainfekowany znany krytyk saudyjskiego reżimu dziennikarz Dżamal Ahmad Chaszukdżi. Informacje zdobyte dzięki użyciu tego systemu umożliwiły zaplanowanie jego zabójstwa.
Zainfekowanie takim złośliwym oprogramowaniem może przebiegać wielotorowo. Standardową metodą działania jest phishing, czyli przekonanie celu ataku do kliknięcia i otwarcia podejrzanego linku.
W przypadku bardziej zaawansowanych programów, jak np. Pegasus, zainfekowanie może przebiegać bez interakcji z użytkownikiem. Na urządzenie ofiary wysyłana jest wiadomość push, która powoduje pobranie i zainstalowanie systemu automatycznie.
Zdaniem Komisarz Praw Człowieka Rady Europy Dunjy Mijatović jest to game-changer w cyfrowym szpiegostwie. Do obu ataków wystarczy znajomość numeru telefonu ofiary lub jej adresu e-mail.
Nie tylko zdalnie, również z bliska
Oprogramowanie można też zainstalować w inny sposób, poprzez np. infekcję z bliska. Możliwa jest po prostu ręczna instalacja. Wymaga to bezpośredniego dostępu do aparatu oraz zainfekowania po przejęciu ruchu z urządzenia ofiary. Może się to odbywać dzięki IMSI Catchera lub fałszywego hotspotu.
Bardzo istotną kwestią dla operatorów narzędzia szpiegującego jest wykorzystanie luk w oprogramowaniu. Bez nich instalacja programów szpiegujących byłaby bardzo trudna. Utrudnione byłoby także późniejsze używanie takiego oprogramowania.
Najbardziej znanym przypadkiem jest wykorzystanie błędu w obsłudze połączeń video w aplikacji WhatsApp. Złośliwe połączenie, choćby o ile nie zostało odebrane przez ofiarę, pozwalało na osadzenie Pegasusa na telefonie i dalszą inwigilację. WhatsApp oczywiście jest tu tylko przykładem, ale luka w każdym innym popularnym komunikatorze może zostać wykorzystana.
Skala komercyjnego rynku
Dokładne określenie wartości globalnego rynku komercyjnych programów szpiegujących jest bardzo trudne ze względu na jego ukrytą naturę oraz brak transparentności. Szacunkowe wartości podają liczbę setek miliardów dolarów. Znaczny wzrost rynku w ostatnim czasie spowodowany jest rosnącym popytem na takie technologie oraz dużą łatwością prowadzenia działań szpiegowskich ze względu na dynamiczny rozwój technologiczny.
Oprogramowanie cieszy się większą popularnością w państwach autorytarnych niż w demokracjach. Z 74 państw zidentyfikowanych przez amerykańską wspólnotę wywiadowczą używających systemu szpiegowskiego, 44 zostały sklasyfikowane jako autokracja, a 30 użytkowników to państwa demokratyczne.
Głównym eksporterem takich rozwiązań jest Izrael. 56 z 74 rządów zakupiło takie oprogramowanie od izraelskich firm takich jak NSO, Cellebrite, Cytrox czy Candiru. Izrael ma bardzo rozwiniętą kulturę startupów, co sprzyja powstawaniu takich firm. Często są one zakładane przez byłych pracowników wywiadu oraz wojskowych.
Przedsiębiorstwa zajmujące się sprzedażą takiego systemu regularnie zacierają ślady poprzez tworzenie skomplikowanej struktury korporacyjnej utrudniającej ustalenie miejsca rejestracji prawnej, przepisów, którym podlegają, oraz listy klientów.
Jest zła wiadomość – będzie gorzej
Producenci systemu szpiegowskiego wykorzystują wiele metod do wsparcia działania swoich produktów. Jednym z nich jest wykorzystanie narzędzi marketingowych do wsparcia złośliwej działalności. Indyjska firma CyberRoot Risk Advisory Private wykorzystała oprogramowanie Branch do stworzenia linków phisingowych. Zostały one potem wykorzystane do zarządzania nimi w celu ukrycia ich prawdziwego pochodzenia oraz wykorzystania korzyści, które dają komercyjne usługi marketingowe.
Jeżeli ofiara kliknie taki link, to zostanie przeniesiona na jedną z zainfekowanych stron internetowych. Firmy te wykorzystują również na szeroką skalę media społecznościowe do testowania swoich zdolności szpiegowskich poprzez wysyłanie złośliwych linków pomiędzy fałszywymi kontami.
Liczne fałszywe profile w mediach społecznościowych są również wykorzystywane do przeszukiwania profili prawdziwych użytkowników oraz informacji, które mogą być następnie wykorzystane przez producentów systemu szpiegowskiego.
W przyszłości będzie jeszcze gorzej. Dynamiczny rozwój generatywnej sztucznej inteligencji spowoduje rozwój jeszcze bardziej zaawansowanych i intruzyjnych technologii – przewiduje amerykańska wspólnota wywiadowcza.
Czy w ogóle możemy się chronić?
Rynek komercyjnego systemu szpiegowskiego stale się rozrasta. Jest to spowodowane tym, iż cyfryzacja przenika kolejne obszary gospodarki, społeczeństwa i państwa, ale też znacznym postępem technologicznym. Rynek szpiegowski to nie jedna czy dwie firmy, ale multum różnych korporacji.
Trudno sobie wyobrazić, żeby ten rozwój został zatrzymany, ponieważ na takie narzędzia istnieje stale rosnący popyt ze strony zarówno aktorów państwowych, jak i niepaństwowych. Niestety jednostka w tym starciu ma bardzo mało możliwości, żeby uchronić się przed takim oprogramowaniem i skutkami zainfekowania używanych urządzeń.
Czy jesteśmy jednak zdani na szpiegowanie i nie ma co myśleć o ochronie? Ochrona jest możliwa. Zarówno na szczeblu rządowym, jak i prywatnym. O tym napiszemy w kolejnym artykule.
Czytaj też: Jak działają cyberzagrożenia i jak im skutecznie zapobiegać?
Źródło zdjęcia: Hans-Peter Traunig/Unsplash