Zaawansowany system podsłuchowy wykryty na telefonach w polskich sieciach

dodał 18 września 2018 o 19:20 w kategorii Mobilne, Prawo, Prywatność  z tagami:
Zaawansowany system podsłuchowy wykryty na telefonach w polskich sieciach

Bogate rządy mogą kupić gotowe narzędzia umożliwiające szpiegowanie podejrzanych obywateli, nawet jeśli ci korzystają z najnowszych iPhone’ów. Badacze odkryli, że także w Polsce działa jedno z najbardziej znanych narzędzi tego typu – Pegasus.

Pegasus to oprogramowanie szpiegujące stworzone przez izraelską firmę NSO Group. Dzięki niemu można zainfekować wiele modeli telefonów, a następnie kontrolować wszystkie przetwarzane na nich informacje – podsłuchiwać rozmowy, czytać zaszyfrowane czaty czy zbierać dane o lokalizacji lub dźwięki z otoczenia. Co najmniej kilka osób zainfekowanych Pegasusem znajduje się według badaczy w Polsce.

Jak działa spyware Pegasus?

Z użyciem Pegasusa można śledzić właściwie wszystko, co szpiegowana osoba robi na swoim telefonie. Oprogramowanie daje kontrolę nad mikrofonem i kamerą urządzenia, dzięki czemu problemu nie stanowi również monitoring otoczenia smartfona. Pegasus umożliwia wgląd w treść wiadomości tekstowych SMS, e-maili, aktywność w mediach społecznościowych i obsługiwane na telefonie dokumenty. Z jego użyciem można także dowolnie modyfikować ustawienia urządzenia, jak i śledzić lokalizację użytkownika.

Żeby rozpocząć korzystanie z Pegasusa celem szpiegowania ofiary, należy zainstalować złośliwe oprogramowanie na urządzeniu celu operacji. Najczęściej wystarczy skłonić ją do kliknięcia w specjalny link, który dostarczy na telefon użytkownika odpowiednie narzędzia, oparte o niezałatane jeszcze błędy, umożliwiające instalację spyware’u bez świadomości właściciela smartfona.

Pegasus działa na całym świecie

Organizacja Citizen Lab w ciągu ostatnich dwóch lat przeprowadziła testy, z których wynika, że obecnie na całym świecie spyware używany jest w 45 krajach. Z działaniem Pegasusa powiązano 1091 adresów IP i 1014 nazw domen. W użyciu jest 36 różnych systemów szpiegujących z Pegasusem, z których każdy – według raportu opublikowanego przez Citizen Lab – może mieć własnego operatora (potwierdzono jednak wykrycie 33 operatorów).

Badacze z Citizen Lab postanowili wyśledzić, gdzie Pegasus jest używany. W tym celu przeanalizowali komunikację urządzeń zainfekowanych tym spyware’em z serwerami kontrolowanymi przez jego operatorów, na które trafiają zbierane przez Pegasusa dane. Okazało się, że oprogramowanie jest aktywne m.in. w Meksyku, USA, Kanadzie, Francji i Wielkiej Brytanii, a także w Polsce, Szwajcarii, na Węgrzech i w krajach Afryki. Autorzy badania jednocześnie podkreślili, że w grę wchodzi fałszowanie lokalizacji przez VPN-y, wobec czego dane nie muszą być całkowicie wiążące. W Polsce wskazano jednak na co najmniej kilka ofiar powiązanych w jeden klaster.

W jakim celu można wykorzystać Pegasusa?

Według Citizen Lab – m.in. do celów politycznych. W swoim raporcie badacze przytaczają przypadek z 2016 roku, do którego doszło w Meksyku. Z pomocą Pegasusa szpiegowano wówczas dziesiątki osób zaangażowanych w działania o charakterze opozycyjnym, a także dziennikarzy, prawników, obrońców praw człowieka i działaczy antykorupcyjnych. Sprawa wywołała międzynarodowy skandal, ale wykorzystywanie Pegasusa w Meksyku trwa w najlepsze – według Citizen Lab w kraju tym wciąż aktywnie działa trzech operatorów tego oprogramowania.

Znane z nadużywania narzędzi szpiegowskich są również kraje Zatoki Perskiej. Za pomocą Pegasusa śledzono tam dysydentów politycznych. Oprogramowanie notorycznie wykorzystują kraje takie jak Bahrajn czy Zjednoczone Emiraty Arabskie, a także Arabia Saudyjska, która przymierza się właśnie do egzekucji pięciu podsłuchiwanych wcześniej aktywistów działających na rzecz praw człowieka.

Jak wyśledzić operatora?

Żeby lepiej zidentyfikować operatorów Pegasusa, badacze z Citizen Lab użyli własnej techniki analitycznej, którą nazwali Athena. Dzięki niej pogrupowali adresy IP charakterystyczne dla poszczególnych operatorów, którym nadano nazwy związane z krajem, na który orientują swoje działania (w przypadku Polski nazwa operatora nadana przez badaczy to “ORZELBIALY”).

Badacze przeanalizowali również adresy IP wykorzystywane przez operatorów pod kątem nazw domen wyekstraktowanych z TLS. Dzięki temu możliwe stało się określenie obszaru zainteresowania każdego z operatorów Pegasusa. Domeny pozwoliły również na określenie, czy za wykorzystaniem Pegasusa w danym kraju mogą stać motywy polityczne. Okazało się, że w przypadku większości krajów w regionie Bliskiego Wschodu i Afryki – w istocie tak jest. Ostatecznie zespół Citizen Lab na podstawie analizy pamięci podręcznej serwerów DNS wygenerował listę krajów, w których mogą być aktywne infekcje dokonane przez określonych operatorów.

Pegasus w Europie

Zespół Citizen Lab ocenia, że Europą zainteresowanych jest pięciu aktywnych operatorów Pegasusa. Działają oni w Polsce, Szwajcarii, na Łotwie, Węgrzech i w Chorwacji. W przypadku Polski operator “ORZELBIALY” swoje działania zdaje się prowadzić wyłącznie lokalnie, a prowadzone są one od listopada 2017 roku. Badacze nie wykazali, by były one w jakikolwiek sposób powiązane z aktywnością polityczną.

Interesująca jest także lista operatorów sieci, w których wykryto działania powiązane z aktywnością operatora “ORZELBIALY”. Widać, że polskie ofiary Pegasusa korzystają z usług różnych dostawców internetu.

Kto w Polsce może używać Pegasusa i w jakim celu?

Spyware tego rodzaju może być częścią prowadzenia normalnych czynności operacyjnych ze strony służb i organów ścigania. Innymi słowy, Pegasus może po prostu być narzędziem wykorzystywanym w czynnościach śledczych. Warto wspomnieć, że w przeszłości udowodniono już używanie przez CBA analogicznych narzędzi innego dostawcy, a produktami zainteresowane były także inne polskie służby.

Pegasus może też jednak być wykorzystywany do szpiegowania celów (konkretnych, narzędzie to bowiem nie jest ergonomiczne w zastosowaniach takich jak prowadzenie inwigilacji i nadzoru na masową skalę) przez podmioty zagraniczne – wówczas celowe jest zainteresowanie się działalnością operatora Pegasusa przez polskie organy ścigania.

Warto przy tym pamiętać, że Pegasus niejednokrotnie był już używany do operacji niezgodnych z prawem lokalnym i międzynarodowym, a firma NSO Group w dystrybucji tego oprogramowania bynajmniej nie kieruje się etyką. Na marginesie – w lipcu tego roku media ujawniły sprawę byłego pracownika NSO, którego firma samodzielnie wyśledziła w związku z kradzieżą kodu, jaki próbował sprzedać za 50 mln dolarów (w bitcoinach). 

Citizen Lab zwraca uwagę, że niektórzy operatorzy Pegasusa ujęci w badaniu mogą naruszać prawo, bo prowadzą działania operacyjne na terenie Stanów Zjednoczonych, znajdując się poza terytorium tego kraju.

Konsekwencje użycia Pegasusa do celów niezgodnych z prawem

Oprogramowanie szpiegujące Pegasus według raportu Citizen Lab wykorzystywane jest w wielu krajach, które znane są z nadużywania tego rodzaju narzędzi (o czym już była mowa wcześniej), a także – delikatnie rzecz ujmując – nie słyną z wysokiej jakości ochrony praw człowieka.

Bahrajn, Arabia Saudyjska, Meksyk i Togo to jedne z przykładów państw, które z użyciem Pegasusa znacznie wpłynęły na wolność i bezpieczeństwo tych mieszkańców, którym nie zawsze po drodze z linią światopoglądową i polityczną prezentowaną przez władze.

Pegasus i podobne narzędzia mogą więc przyczyniać się do popularyzacji autorytaryzmu i zmniejszania wolności słowa. W przeszłości wykorzystywane były do ataków na dziennikarzy, polityków, aktywistów międzynarodowych organizacji (potwierdzone przypadki użycia przeciwko działaczom Amnesty International).

Pod tym linkiem znajdziecie szczegółowy opis techniczny jednego z poprzednich ataków Pegasusa na iPhone’a, a pod tym na Androida.